Beruflich Dokumente
Kultur Dokumente
PERUANA
NTP-ISO/IEC 27004
2012
2012-09-19
1 Edicin
NDICE
pgina
NDICE
PREFACIO
ii
0.
INTRODUCCIN
iv
1.
OBJETO
2.
REFERENCIAS NORMATIVAS
3.
TRMINOS Y DEFINICIONES
4.
5.
6.
RESPONSABILIDADES DE LA DIRECCIN
18
7.
20
8.
OPERACIN DE MEDICIN
31
9.
33
10.
36
41
43
PREFACIO
A.
RESEA HISTRICA
A.1
La presente Norma Tcnica Peruana ha sido elaborada por el Comit
Tcnico de Normalizacin de Codificacin e intercambio electrnico de datos, mediante
el Sistema 1 o de Adopcin, durante los meses de junio a julio de 2012, utilizando como
antecedente a la norma ISO/IEC 27004:2009 Information technology -- Security
techniques -- Information security management -- Measurement).
A.2
El Comit Tcnico de Normalizacin de Codificacin e intercambio
electrnico de datos present a la Comisin de Normalizacin y de Fiscalizacin de
Barreras Comerciales No Arancelarias CNB-, con fecha 2012-08-03, el PNTPISO/IEC 27004:2012, para su revisin y aprobacin, siendo sometido a la etapa de
discusin pblica el 2012-08-16. No habindose presentado observaciones fue
oficializada como Norma Tcnica Peruana NTP-ISO/IEC 27004:2012
TECNOLOGA DE LA INFORMACIN. Tcnicas de seguridad. Gestin de la
seguridad de la informacin. Medicin, 1 Edicin, el 12 de octubre de 2012.
A.3
Esta Norma Tcnica Peruana es una adopcin de la norma ISO/IEC
27004:2009. La presente Norma Tcnica Peruana presenta cambios editoriales referidos
principalmente a terminologa empleada propia del idioma espaol y ha sido
estructurada de acuerdo a las Guas Peruanas GP 001:1995 y GP 002:1995.
B.
INSTITUCIONES QUE PARTICIPARON EN LA ELABORACIN
DE LA NORMA TECNICA PERUANA
Secretara
GS1 PERU
Presidente
Roberto Puy
Secretaria
Mary Wong
ii
ENTIDAD
REPRESENTANTE
ASSENDA S.A.C.
Milagros Montenegro
Daniella Orellana
B2IMPROVE S.A.C.
Beln Alvarado
Ricardo Dioses
CONSULTOR
Carlos Horna
Christiam Garratt
Diana Lagos
Adela Barcenas
Walter Equizabel
FOLIUM S.A.C.
Roberto Huby
INDECOPI
Judith Blanco
Martha Arce
Ral Miranda
Roberto Puy
Viktor Khlebnikov
Willy Carrera
Max Lzaro
Cesar Vilchez
SUPERINTENDENCIA DE ADMINISTRACION
TRIBUTARIA SUNAT
Daniel Llanos
Janet Snchez
Luis Chvez
Ral Adriazola
TCI S.A.
Renzo Alcntara
WEB TECHNOLOGY
Ana Otoya
GS1 PERU
Tatiana Pea
iii
INTRODUCCIN
(ISO)
0.1
General
Esta Norma Tcnica Peruana provee guas para el desarrollo y uso de medidas y
mediciones, con el objetivo de evaluar la efectividad de un sistema de gestin de
seguridad de la informacin (SGSI) implantado y los controles o grupo de controles
como se especifica en ISO/IEC 27001.
Esta Norma Tcnica Peruana asume que el punto de partida para el desarrollo de
mtricas y mediciones est en una buena comprensin de los riesgos de seguridad de la
informacin a los que una organizacin se enfrenta y que las actividades de evaluacin
del riesgo de una organizacin se han realizado correctamente (es decir, basadas en
ISO/IEC 27005), como exige la norma ISO/IEC 27001. El Programa de Medicin de
Seguridad de la Informacin fomentar que una organizacin proporcione informacin
fiable a las partes interesadas sobre sus riesgos de seguridad de la informacin y la
situacin del SGSI implantado para la gestin de estos riesgos.
0.2
El enfoque adoptado por una organizacin para cumplir los requisitos de medicin
especificados en ISO/IEC 27001 variar en funcin de una serie de factores
significativos, incluidos los riesgos de seguridad de la informacin a los que la
organizacin se enfrenta, su tamao, los recursos disponibles y los requisitos legales,
reglamentarios y contractuales aplicables. La seleccin cuidadosa y la justificacin del
mtodo utilizado para cumplir los requisitos de medicin son importantes para
garantizar que no son dedicados recursos excesivos a esta actividad del SGSI en
detrimento de otros. De manera ideal, las actividades de medicin continua se integran
en las operaciones regulares de la organizacin con requisitos de recursos adicionales
mnimos.
Esta Norma Tcnica Peruana se recomienda para una organizacin que implemente las
siguientes actividades como base para cumplir con los requisitos de medicin
especificados en ISO/IEC 27001:
a)
El desarrollo de medidas (es decir, medidas base, medidas derivados e
indicadores);
b)
Implementacin y operacin de un Programa de Medicin de Seguridad
de la Informacin
c)
d)
e)
Comunicacin de los resultados de las mediciones desarrolladas a las
partes interesadas pertinentes;
v
f)
Uso de resultados de la medicin como factores que contribuyen a las
decisiones relacionadas con el SGSI;
g)
Uso de resultados de la medicin para identificar necesidades de mejorar
al SGSI implementado, incluyendo su alcance, polticas, objetivos, controles,
procesos y procedimientos; y
h)
Facilitar la mejora continua del Programa de Medicin de Seguridad de
la Informacin.
Uno de los factores que influirn en la capacidad de la organizacin para lograr una
medicin es su tamao. En general, el tamao y la complejidad del negocio en
combinacin con la importancia de la seguridad de la informacin afecta a la extensin
de la medicin necesaria, tanto en trminos del nmero de medidas seleccionadas como
en la frecuencia de recoleccin y anlisis de datos.
---oooOooo---
vi
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
1 de 72
1.
OBJETO
Esta Norma Tcnica Peruana provee guas para el desarrollo y uso de medidas y
mediciones, con el objetivo de evaluar la efectividad de un sistema de gestin de seguridad
de la informacin (SGSI) implantado y los controles o grupo de controles tal como se
especifica en ISO/IEC 27001.
2.
REFERENCIAS NORMATIVAS
Para las referencias fechadas, slo se aplica la edicin citada. Para las referencias no
fechadas, se aplica la ltima edicin del documento referenciado (incluida cualquier
correccin).
ISO/IEC 27000:2009
NORMA TCNICA
PERUANA
ISO/IEC 27001:2005(*)
3.
NTP-ISO/IEC 27004
2 de 72
TRMINOS Y DEFINICIONES
Para los efectos de esta Norma Tcnica Peruana, se aplican los trminos y las definiciones
de la ISO/IEC 27000 y los siguientes.
3.1
modelo analtico
Algoritmo o clculo combinando una o ms medidas base o derivadas con los criterios de
decisin correspondiente
[ISO/IEC 15939:2007]
3.2
atributo
3.3
medida base
(*)
NORMA TCNICA
PERUANA
3.4
NTP-ISO/IEC 27004
3 de 72
datos
3.5
criterios de decisin
3.6
medida derivada
Medida que se define como una funcin de dos o ms valores de las medidas base
[ISO/IEC 15939:2007]
3.7
indicador
3.8
necesidad de informacin
3.9
medida
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
4 de 72
EJEMPLO: Una comparacin de una tasa de defectos medida con una tasa de defectos
prevista junto con una evaluacin de si la diferencia no indica un problema.
3.10
medicin
funcin de medicin
mtodo de medicin
3.13
resultados de la medicin
objeto
NORMA TCNICA
PERUANA
3.15
NTP-ISO/IEC 27004
5 de 72
escala
unidad de medida
Cantidad concreta, definida y aprobada por convencin, con la cual otras cantidades de la
misma naturaleza se comparan con el fin de expresar su magnitud relativa a la cantidad
[ISO/IEC 15939:2007]
3.17
validacin
NORMA TCNICA
PERUANA
3.18
NTP-ISO/IEC 27004
6 de 72
verificacin
4.
Esta Norma Tcnica Peruana proporciona una explicacin de las medidas y las actividades
de medicin necesarias para evaluar la eficacia de los requisitos del SGSI para la gestin
de los controles de seguridad adecuados y proporcionales tal como es requerido en
ISO/IEC 27001 el apartado 4.2.
Esta Norma Tcnica Peruana est estructurada de la siguiente forma:
Visin general sobre el Programa de Medicin de Seguridad de la
Informacin y el Modelo de Medicin de Seguridad de la Informacin (Captulo 5);
Las responsabilidades de la direccin en las mediciones de seguridad de la
informacin
(Captulo 6) y
Constructores de medicin y los procesos (es decir, planificacin y
desarrollo, implementacin y operacin y mejora de las mediciones: comunicando
los resultados de la medicin) que se implementarn en el Programa de Medicin de
Seguridad de la Informacin (Captulos 7-10).
Adems, el anexo A proporciona un ejemplo de modelo para el constructor de medicin
que contiene los elementos del Modelo de Medicin de Seguridad de la Informacin (vase
captulo 7).
El Anexo B proporciona ejemplos de constructores de medicin para controles o procesos
especficos de un SGSI, utilizando el modelo que figura en el Anexo A.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
7 de 72
Estos ejemplos intentan brindar ayuda a una organizacin sobre cmo implementar la
Medicin de la Seguridad de la Informacin y cmo registrar las actividades de medicin y
los resultados de las mismas.
5.
VISIN GENERAL SOBRE LA MEDICIN DE LA SEGURIDAD
DE LA INFORMACIN
5.1
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
8 de 72
Planificar
Actuar
Hacer
Verificar
c)
Estructura organizacional;
d)
Costos y beneficios de la implementacin de medidas de seguridad de la
informacin;
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
9 de 72
e)
f)
5.2
b)
c)
9) y
d)
Evaluacin y mejora del Programa de Medicin de la Seguridad de la
Informacin (vase Captulo 10).
La estructura de organizacin y funcionamiento de un Programa de Medicin de Seguridad
de la Informacin debera determinarse teniendo en cuenta la escala y complejidad del
SGSI del que forma parte. En todos los casos, los roles y responsabilidades sobre el
Programa de Medicin de Seguridad de la Informacin deberan ser expresamente
asignados al personal competente (vase el apartado 7.5.8).
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
10 de 72
5.3
Factores de xito
Los siguientes son algunos factores que contribuyen al xito del Programa de Medicin de
Seguridad de la Informacin como facilitador de la mejora continua del SGSI:
a)
b)
c)
Un proceso repetible capaz de capturar e informar datos significativos para
proporcionar tendencias pertinentes durante un perodo de tiempo;
d)
e)
Datos que puedan ser obtenidos fcilmente los cuales puedan ser utilizados
para la medicin;
f)
Evaluacin de la eficacia del Programa de Medicin de Seguridad de la
Informacin y la implementacin de las mejoras identificadas;
g)
Recoleccin peridica y consistente, anlisis e informe de los datos de
medicin de una manera til;
h)
El uso de los resultados de medicin por las partes interesadas
(stakeholders) para determinar las necesidades para la mejora del SGSI
implementado, incluyendo su alcance, polticas, objetivos, controles, procesos y
procedimientos;
i)
Aceptacin de la retroalimentacin de las partes interesadas (stakeholders)
pertinentes, acerca de los resultados de la medicin y
j)
Evaluaciones de la utilidad de los resultados de la medicin e
implementacin de las mejoras identificadas.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
11 de 72
1)
Demostrar el cumplimiento de una organizacin con los requisitos legales o
reglamentarios y las obligaciones contractuales;
2)
Apoyo a la identificacin de aspectos de seguridad no detectados
previamente o desconocidos;
3)
Ayudar a satisfacer las necesidades de informacin de gestin al declarar las
medidas de actividades histricas y actuales y
4)
Ser utilizado como insumo en el proceso de gestin de riesgos de seguridad
de la informacin, auditoras internas del SGSI y revisiones por la direccin.
5.4
5.4.1
Visin General
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
12 de 72
Necesidad de informacin
Procesos de Gestin de
Seguridad de la Informacin
Resultados de medicin
Eficacia
Objetivos de control
Criterio de decisin
Controles
Procesos,
Procedimientos de
implementacin
Indicador
Modelo
analtico
Medida derivada
Objeto de medicin
Atributo
Mtodo de
Medicin
Funcin de
medicin
Atributo
Medida base
Atributo
Medicin
5.4.2
Una medida base es la medida ms simple que puede obtenerse. Una medida base resulta
de aplicar un mtodo de medicin a los atributos seleccionados de un objeto de medicin.
Un objeto de medicin puede tener muchos atributos, de los cuales slo algunos pueden
proporcionar valores tiles a ser asignados a una medida base. Un atributo dado puede
usarse para diferentes medidas base.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
13 de 72
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
14 de 72
Las tablas 1-4 de abajo presentan la aplicacin del modelo de seguridad de la informacin
para los siguientes controles:
NORMA TCNICA
PERUANA
Objeto de medicin
(O)
Control 1:
NTP-ISO/IEC 27004
15 de 72
Atributo (A)
Mtodo de medicin
(M)
M.1 Contar el
personal
programado para
firmar (A.2.1) y
que debiera haber
completado
la
formacin a la
fecha (A.1.1)
O.1.1 Plan de
concientizacin en
seguridad de la
informacin
A.1.1
Personal
identificado en el
plan (O.1.1)
O.1.2
Personal
cuya formacin se
ha completado o
est en curso
M.2
Pedir al
responsable
el
porcentaje
del
personal que ha
completado
la
formacin (A.1.2)
y ha firmado
(A.2.2)
A.2.1
Personal
identificado en el
plan que debe
firmar acuerdos de
usuario (O.2.1)
M.3 Contar el
personal
programado para
firmar a esta fecha
(A.2.1)
B.3
Personal
planeado
para
firmar a la fecha
(A.2.1)
O.2.2
Personal
que
tiene
acuerdos firmados
M.4 Contar el
personal que ha
firmado a esta
fecha (A.2.2)
Control 2:
B.1
Personal
planificado hasta
la fecha (A.2.1,
A.1.1)
5.4.3
Una medida derivada es una agregacin de dos o ms medidas base. Una medida base dada
puede servir como entrada para varias medidas derivadas.
Una funcin de medicin es un clculo utilizado para combinar medidas base para crear
una medida derivara.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
16 de 72
La escala y unidad de la medida derivada depende de las escalas y unidades de las medidas
base de las cuales est compuesta y tambin de cmo se combinan por la funcin de
medicin.
La funcin de medicin puede involucrar una variedad de tcnicas tales como promediar
medidas base, aplicar pesos a medidas base, o asignar valores cualitativos a medidas base.
La funcin de medicin puede combinar medidas base usando diferentes escalas, tales
como porcentajes y resultados de valoraciones cualitativas.
Un ejemplo de la relacin de los elementos adicionales de la aplicacin del modelo de
medicin de la seguridad de la informacin, es decir, medida base, funcin de medicin y
medida derivada, se presenta en la Tabla 2.
Medida base (B)
B.1 Personal
planificado hasta
la fecha (A.2.1
A.1.1)
B.3
Personal
planeado
para
firmar a la fecha
(A.2.1)
F.2
Dividir
el
personal que ha
firmado a la fecha
(B.4)
por
el
personal
planificado a la
fecha (B.3)
D.1 Progreso a la
fecha (B.2)
D.2 Progreso a la
fecha de las firmas
(B.4, B.3)
NORMA TCNICA
PERUANA
5.4.4
NTP-ISO/IEC 27004
17 de 72
Indicador (I)
D.1 Progreso a la
fecha (B.2)
D.2 Progreso a la
fecha de las firmas
(B.4, B.3)
AM.1 [Dividir
progreso a la fecha
(D.1) por personal
planificado a la
fecha (B.1) 100
veces] y progreso a
la fecha con las
firmas (D.2)
AM.2 Comparar
estado I.1 con el
valor previo de I.1
I.1 Estado
expresado como
una combinacin
de ratios
(D.1/B.1*100, D.2)
NORMA TCNICA
PERUANA
5.4.5
NTP-ISO/IEC 27004
18 de 72
I.1 Estado
expresado como
una combinacin
de ratios
(D.1/B.1*100, D2)
Resultados de medicin
Interpretacin para I.1: Se cumple
satisfactoriamente el criterio
organizacional sobre el cumplimiento
de la poltica de concientizacin en
seguridad de la organizacin si 0.9
D.1 / B.1 1.1 y 0.99 D.2 1.01
El criterio de la organizacin no se ha
alcanzado satisfactoriamente si
D.1/B.1<0.9 o el primer valor D.1/B.1
>1.1 y si 0.99 D.2 1.01
No se cumple con el criterio
organizacional si D.2<0.99 o D.2 >
1.01
Interpretacin para I.2: una
tendencia ascendente indica mejora
en el cumplimiento, una descendente
indica deterioro. El grado de cambio
en la tendencia puede proporcionar
elementos para entender la
efectividad del control
NORMA TCNICA
PERUANA
6.
RESPONSABILIDADES DE LA DIRECCIN
6.1
Visin General
NTP-ISO/IEC 27004
19 de 72
h)
Asegurar que la medicin proporciona informacin suficiente a las partes
interesadas (stakeholders) con respecto a la eficacia del SGSI y las necesidades para
mejorar el SGSI implementado, incluyendo su alcance, polticas, objetivos,
controles, procesos y procedimientos, y
i)
Asegurar que la medicin proporciona informacin suficiente a las partes
interesadas (stakeholders) con respecto a la eficacia de los controles o grupo de
controles y las necesidades para la mejora de los controles implementados.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
20 de 72
6.2
Gestin de recursos
La direccin debera asignar y proporcionar recursos para apoyar las actividades esenciales
de medicin, tales como recopilacin de datos, anlisis, almacenamiento, reporte y
distribucin. La asignacin de recursos debera incluir la asignacin de:
a)
Las personas con responsabilidad para todos los aspectos del Programa de
Medicin de Seguridad de la Informacin;
b)
c)
Apoyo de infraestructura apropiado, como ser la infraestructura fsica y las
herramientas utilizadas para llevar a cabo el proceso de medicin.
NOTA: el apartado 5.2.1 de ISO/IEC 27001 especifica el requisito de provisin de recursos para la
implementacin y operacin de un SGSI.
6.3
NORMA TCNICA
PERUANA
7.
7.1
Visin General
NTP-ISO/IEC 27004
21 de 72
Este captulo da una orientacin sobre cmo desarrollar medidas y la medicin con el fin
de evaluar la efectividad del SGSI implementado y los controles o grupo de controles, y la
identificacin de conjuntos especficos de constructores de medicin de la organizacin. Se
recomienda que sean establecidas y documentadas las actividades necesarias para
desarrollar medidas y mediciones, incluyendo las siguientes:
a)
b)
c)
d)
e)
f)
Establecimiento de la recoleccin de datos, procesos de anlisis y
herramientas (vase 7.7), y
g)
Establecimiento del enfoque de aplicacin de la medicin y la
documentacin (vase 7.8).
Se recomienda que al establecer estas actividades, la organizacin tenga en cuenta los
recursos financieros, humanos y de infraestructura (fsica y herramientas).
7.2
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
22 de 72
7.3
La poltica y los objetivos del SGSI, los objetivos de control y los controles;
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
23 de 72
b)
Priorizar la identificacin de la necesidad de informacin basados en
criterios tales como:
1)
2)
3)
4)
c)
Seleccionar un subconjunto de la informacin que debe considerarse en las
actividades de medicin de la lista de prioridades y;
d)
Documentar y comunicar la necesidad de informacin a todos los
interesados pertinentes.
Todas las medidas pertinentes aplicadas a un SGSI implementado, controles o grupos de
controles deben aplicarse sobre la base de la necesidad de informacin seleccionada.
7.4
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
24 de 72
Productos y servicios;
Procesos;
Unidades de negocio;
Localizaciones geogrficas y
b)
La recopilacin de datos ha sido definida para garantizar que se encuentre
un nmero suficiente de atributos para permitir una medicin efectiva.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
25 de 72
Slo deben seleccionarse los atributos que son pertinentes para la medida de base. Aunque
la seleccin de los atributos debera tener en cuenta el grado de dificultad en la obtencin
de los atributos a medir, no debera hacerse solo en los datos que se obtienen fcilmente, o
el atributo es fcil de medir.
7.5
7.5.1
Visin General
Este apartado (7.5) gua el desarrollo del constructor de medicin desde 7.5.2 (seleccin de
la medida) hasta 7.5.8 (partes interesadas).
7.5.2
Seleccin de la Medida
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
26 de 72
base;
Facilidad de interpretacin;
7.5.3
Mtodo de medicin
Para cada medida de base debe ser definido un mtodo de medicin. Este mtodo de
medicin se utiliza para cuantificar un objeto de medicin a travs de la transformacin de
los atributos en el valor asignado en a la medida de base.
Un mtodo de medicin puede ser subjetivo u objetivo. Los mtodos subjetivos se basan
en la cuantificacin, recabando la opinin humana, mientras que los mtodos objetivos
utilizan cuantificacin base de reglas numricas como el recuento de lo que puede ser
aplicado a travs de medios humanos o automatizados.
El mtodo de medicin cuantifica los atributos como valores mediante la aplicacin de una
escala adecuada. Cada escala utiliza unidades de medida. Slo las cantidades expresadas en
la misma unidad de medida son comparables directamente.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
27 de 72
Cuando sea necesario para obtener un valor vlido, las herramientas utilizadas para obtener
los atributos deben ser normalizadas y verificarse a intervalos especificados.
Un mtodo de medicin debe ser coherente (consistente) en el tiempo para que sean
comparables los valores tomados en diferentes momentos y asignados a una medida base y
para que tambin sean comparables los valores asignados a una medida derivada y a un
indicador.
7.5.4
Funcin de medicin
Para cada medida derivada debera definirse una funcin de medicin que se aplique a dos
o ms valores asignados a las medidas base. Esta funcin de medicin es utilizada para
transformar los valores asignados a una o ms medidas base en el valor a asignar a una
medida derivada. En algunos casos, una medida base puede contribuir directamente al
modelo de anlisis, adems de a una medida derivada.
Una funcin de medicin (por ejemplo, un clculo) puede implicar una variedad de
tcnicas, como el promedio de todos los valores asignados a las medidas base, aplicar
ponderaciones a los valores asignados a las medidas base, o la asignacin de valores
cualitativos a los valores asignados a las medidas base antes de agregarlo en el valor que se
asignar a una medida derivada. La funcin de medicin puede combinar medidas base
usando diferentes escalas, tales como porcentajes y resultados de valoraciones cualitativas.
7.5.5
Modelo analtico
El modelo de anlisis combina las medidas pertinentes de forma de producir una salida que
sea significativo para partes interesadas.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
28 de 72
Al definir el modelo de anlisis tambin deberan considerarse los criterios de decisin que
se aplican a un indicador.
A veces, un modelo de anlisis puede ser tan simple como la transformacin de un valor
nico asignado a una medida derivada en el valor que se asigna a un indicador.
7.5.6
Indicadores
Los valores que se asignan a los indicadores sern producidos por la agregacin de los
valores asignados a la medida derivada e interpretando esos valores basados en los criterios
de decisin.
Como parte del formato del informe por cada indicador que debera se informado al cliente
debera definirse un formato de presentacin del indicador (vase el apartado 7.7)
7.5.7
Criterios de decisin
Para cada elemento deberan establecerse los objetivos (metas) mirando el rendimiento de
los procesos y controles del SGSI, el logro de los objetivos, y la eficacia del SGSI a ser
evaluado.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
29 de 72
La direccin no puede decidir qu objetivos establecer para los indicadores hasta que los
datos iniciales sean recogidos. Una vez basadas en los datos iniciales son identificadas las
acciones correctivas, pueden definirse los criterios de decisin adecuados y las fases de
aplicacin realistas para un SGSI especficos. Si en este punto no pueden establecerse los
criterios de decisin, la direccin debe evaluar si el objeto de medicin y las
correspondientes medidas estn aportando el valor esperado por la organizacin.
7.5.8
Deberan identificarse y documentarse las partes interesadas pertinentes para cada medida
base y / o derivada. Partes interesadas pueden incluir lo siguiente:
a)
Cliente de la medicin: la direccin u otras partes interesadas que soliciten o
que requieran informacin acerca de la eficacia de un SGSI, los controles o el grupo
de los controles;
b)
Revisor de la medicin: la persona o unidad organizativa que valida que el
constructor de medicin desarrollado es apropiado para evaluar la eficacia de un
SGSI, los controles o el grupo de los controles;
c)
propietario de la Informacin: la persona o unidad organizativa que posee la
informacin sobre un objeto de medicin y los atributos y es responsable de la
medicin;
d)
Colector de informacin: la persona o unidad organizativa responsable de
recopilar, registrar y almacenar los datos, y
e)
Comunicador de informacin e): la persona o unidad organizativa
responsable de analizar los datos y comunicar los resultados de la medicin.
NORMA TCNICA
PERUANA
7.6
NTP-ISO/IEC 27004
30 de 72
Constructor de medicin
a)
Propsito de la medicin;
b)
Objetivo de control que debera alcanzarse con los controles y los controles
especficos, el grupo de los controles y procesos del SGSI que debe medirse;
c)
Objeto de la medicin;
d)
e)
f)
Proceso para informar de los resultados de la medicin, incluyendo los
formatos de los informes;
g)
h)
Un ciclo de revisin de la medicin para garantizar su utilidad en relacin
con una necesidad de informacin.
El Anexo A proporciona un ejemplo de constructor de medicin genrico que incorpora los
puntos a) al h). El Anexo B proporciona ejemplos de constructores de medicin aplicados a
la medicin de los procesos y los controles del SGSI.
7.7
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
31 de 72
b)
Anlisis de datos y presentacin de informes de los resultados de la
medicin desarrollada. Los procedimientos debern especificar las tcnicas de
anlisis de datos (vase el aparatado 9.2), y la frecuencia, el formato y los mtodos
para informar de los resultados de la medicin. Deberan identificarse la variedad de
herramientas que pueden ser necesarias para realizar el anlisis de datos.
Ejemplos de formatos de informes incluyen:
Tableros para proporcionar informacin estratgica mediante la integracin
de indicadores de alto nivel;
Cuadros de mando ejecutivos y operacionales menos centrados en los
objetivos estratgicos y ms ligados a la eficacia de los controles y procesos
especficos;
Informes, desde los simples y estticos por la naturaleza, hasta reportes ms
sofisticados de tablas cruzadas una lista de medidas para un perodo de tiempo
determinado, para cruzar ms sofisticados con la agrupacin anidada, resmenes
de rodadura y de perforacin dinmica a travs de o vinculacin. Los informes se
utiliza mejor cuando el usuario tiene que mirar los datos en bruto en un formato
fcil de leer el formato, y
Indicadores para representar valores dinmicos incluidas las alertas, otros
elementos grficos y etiquetado de los puntos finales (extremos.)
7.8
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
32 de 72
b)
c)
d)
e)
datos;
f)
el calendario (cronograma) de plan para llevar a cabo actividades de
medicin;
g)
Los registros creados realizando actividades de medicin, incluidos los
datos recopilados y el anlisis de los registros; y
h)
los formatos de los informes de presentacin de resultados de la medicin a
ser informados a la direccin / partes interesadas (vase ISO / IEC 27001:2005 el
captulo 7, "Revisin de la gestin").
8.
OPERACIN DE MEDICIN
8.1
Visin general
a)
SGSI.
b)
NORMA TCNICA
PERUANA
8.2
NTP-ISO/IEC 27004
33 de 72
Procedimiento de integracin
a)
Definicin y documentacin de las funciones, autoridad y responsabilidad,
viendo el desarrollo, implementacin y mantenimiento de la medicin de la
seguridad de la informacin;
b)
Recoleccin de los datos y, en caso necesario, modificacin del
funcionamiento actual del SGSI para dar cabida a la generacin de datos y recogida
de las actividades;
c)
Comunicacin de los cambios en las actividades de recoleccin de datos a
las partes interesadas;
d)
Mantenimiento de la competencia de los recolectores de la informacin y la
comprensin de los tipos de datos necesarios, herramientas de recoleccin de datos y
procedimientos de recoleccin;
e)
Desarrollo de polticas y procedimientos que definen el uso de la medicin
dentro de la organizacin, la difusin de la informacin de la medicin, auditora y
revisin del Programa de Medicin de Seguridad de la informacin;
f)
Integracin del anlisis de datos y la presentacin de informes en los
procesos pertinentes para asegurar su funcionamiento regular;
g)
h)
Establecimiento de un proceso para la eliminacin de las medidas y el
agregado de nuevas medidas para garantizar que evolucionan con la organizacin, y
i)
Establecimiento de un proceso para determinar la vida til de los datos
histricos para el anlisis de tendencias.
8.3
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
34 de 72
a)
Recolectar los datos requeridos en intervalos regulares utilizando un mtodo
de medicin designado;
b)
2)
recolector de la informacin;
3)
propietario de la informacin;
4) cualquier situacin que ocurra durante la recoleccin de datos que pueda ser
til;
5)
c)
Verificacin de los datos recolectados contra el criterio de medicin
seleccionado y el criterio de validacin del constructor de medicin.
9.
ANLISIS DE DATOS Y REPORTE DE LOS RESULTADOS DE LA
MEDICIN
9.1
Visin general
Los datos recolectados deberan ser analizados para desarrollar resultados de la medicin y
los resultados de la medicin desarrollados deberan ser comunicados.
Esta actividad incluye lo siguiente:
a)
b)
Comunicar los resultados de las mediciones a las partes interesadas
pertinentes.
NORMA TCNICA
PERUANA
9.2
NTP-ISO/IEC 27004
35 de 72
Los datos recolectados deberan ser analizados e interpretados en trminos de los criterios
de decisin. Los datos deberan ser agregados, transformados o re-codificados previo al
anlisis.
Durante esta tarea, los datos deberan ser procesados para producir los indicadores. Pueden
ser aplicadas un nmero de tcnicas de anlisis. La profundidad del anlisis debera ser
determinado por la naturaleza de los datos y de la necesidad de informacin.
NOTA: Una gua para la realizacin de anlisis estadstico puede encontrarse en la norma ISO TR
10017 (Gua de tcnicas estadsticas para la norma ISO 9001).
El resultado del anlisis de los datos debera ser interpretado. La persona analizando los
resultados (comunicador) debera ser capaz de sacar algunas conclusiones iniciales basado
en los resultados. Sin embargo, como el comunicador puede no estar directamente
involucrado en el proceso tcnico y de gestin, estas conclusiones necesitan ser revisadas
por las partes interesadas. Todas las interpretaciones deberan tener en cuenta el contexto
de las mediciones.
a)
Falla en la implementacin del plan de tratamiento de riesgos o en
implementar, operar y gestionar los controles o procesos del SGSI suficientemente.
(e.j., controles y procesos del SGSI pueden ser bypassed por las amenazas);
b)
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
36 de 72
1) Los controles o procesos del SGSI son inefectivos porque son insuficientes
para contar las amenazas estimadas (Por ejemplo: porque la probabilidad de las
amenazas fue subestimada) o las nuevas amenazas;
2) Controles o procesos del SGSI no fueron implementados, porque se pasaron
por alto amenazas.
Los reportes que son usados para comunicar los resultados de las mediciones a las partes
interesadas pertinentes, deberan ser preparados utilizando formatos de reporte apropiados
(vase el apartado 7.7) de acuerdo con el plan de implementacin del Programa de
Medicin de Seguridad de la Informacin.
Las conclusiones del anlisis deberan ser revisadas por las partes interesadas pertinentes
para asegurar la apropiada interpretacin de los datos. Los resultados del anlisis de los
datos deberan ser documentados para la comunicacin a las partes interesadas.
9.3
resultados
de
medicin
sern
reportados
internamente
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
37 de 72
10.
EVALUACIN Y MEJORA DEL PROGRAMA DE MEDICIN DE
SEGURIDAD DE LA INFORMACIN
10.1
Visin general
2)
3)
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
38 de 72
3)
10.2
Identificacin de criterios de evaluacin para el Programa de Medicin
de Seguridad de la Informacin
La organizacin debera definir el criterio para evaluar la efectividad del Programa de
Medicin de Seguridad de la Informacin, as como la utilidad de los resultados de las
mediciones desarrolladas. El criterio debera definirse al comienzo de la implementacin
del Programa de Medicin de Seguridad de la Informacin, teniendo en cuenta el contexto
de los objetivos tcnicos y de negocio de la organizacin.
Los criterios ms probables cuando las organizaciones deben evaluar y mejorar el
Programa de Medicin de Seguridad de la Informacin implementado son:
-
Los siguientes criterios pueden aplicar para evaluar los resultados de las mediciones
desarrolladas:
NORMA TCNICA
PERUANA
a)
NTP-ISO/IEC 27004
39 de 72
Fciles de entender;
2)
Comunicados en tiempo; y
3)
b)
Bien definidos;
2)
Fciles de operar; y
3)
Seguidos correctamente.
c)
Los resultados de las mediciones son tiles para mejorar la seguridad de la
informacin
d)
Los resultados de las mediciones consideran las correspondientes
necesidades de la informacin.
10.3
Monitorear, revisar y evaluar el Programa de Medicin de Seguridad
de la Informacin
a)
Revisar o remover los constructores de medida adoptados que ya no son
adecuados; y
b)
Re-ubicar los recursos para soportar el Programa de Medicin de Seguridad
de la Informacin.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
40 de 72
10.4
Implementar mejoras
La organizacin debera garantizar que las partes interesadas relevantes identificaran las
mejoras necesarias del Programa de Medicin de Seguridad de la Informacin (vase el
apartado 7.3 e) de la norma ISO/IEC 27001). Las mejoras identificadas deberan ser
aprobadas por la gerencia. El plan aprobado debera ser documentado y comunicado a las
partes interesadas apropiadas.
La organizacin debera garantizar que las mejoras aprobadas del Plan de Medicin de
Seguridad de la Informacin se implementen segn lo planificado.
La organizacin podra aplicar tcnicas de gestin de proyectos para lograr las mejoras.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
41 de 72
ANEXO A
(INFORMATIVO)
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
42 de 72
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
43 de 72
ANEXO B
(INFORMATIVO)
Tabla de contenidos
B.1
B.1.1
B.1.2
B.1.3
B.2
B.2.1
B.2.2
B.3
B.4
B.4.1
B.4.2
B.5
B.6
B.7
B.8
B.9
B.10
Formacin en SGSI
Personal formado en SGSI
Formacin en Seguridad de la Informacin
Cumplimiento de la Concientizacin en Seguridad de la Informacin
Polticas de Contraseas
Calidad de las contraseas - manual
Calidad de las contraseas - automatizado
Proceso de revisin del SGSI
Mejora continua del SGSI
Efectividad de la Gestin de Incidentes de Seguridad de la Informacin
Implementacin de Acciones Correctivas
Compromiso de la Direccin
Proteccin Contra Cdigo Malicioso
Controles de Acceso Fsico
Revisin de Archivos de Registro
Gestin de Mantenimiento Peridico
Seguridad en Acuerdos con Terceras Partes
Ejemplos de
Constructor de
Procesos y Controles Relacionados
Medicin
(Apartado de ISO/IEC 27001:2005 o
relacionados
nmero de control en Anexo A)
(referencias a este
Anexo)
Apartado 4.2.2 h)
B.4.1
Apartado 5.2.2 d)
Apartado 8.2
Control A.6.1.8
Control A.6.1.1 y A.6.1.2
B.1.1
B.4.2
B.3
B.5
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
44 de 72
Control A.6.2.3
B.10
B.1.2
B.1.3
Control A.9.1.2
Control A.9.2.4
B.7
B.9
Control A.10.4.1
Control A.10.10.1 y A.10.10.2
Control A.11.3.1
Control A.11.3.1
B.6
B.8
B.2.1
B.2.2
B.1
Formacin en SGSI
B.1.1
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
45 de 72
B.1.2
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
46 de 72
NORMA TCNICA
PERUANA
Resultados de la Medicin
Interpretacin del Indicador
Formatos de reporte
Partes interesadas
Cliente de la Medicin
Revisor de la medicin
Dueo de la informacin
Recolector de la informacin
Comunicador de la informacin
Frecuencia/Perodo
Frecuencia de la Recoleccin de
datos
Frecuencia del Anlisis de los
Datos
Frecuencia de reporte de los
resultados de las mediciones
Revisin de la medicin
Perodo de Medicin
B.1.3
NTP-ISO/IEC 27004
47 de 72
Especficos de la organizacin.
Grafica de barras con barras de cdigo de colores basados en los
criterios de decisin. Se deberan adjuntar a la grfica de barras,
pequeos resmenes del significado de las medidas y las posibles
acciones de la direccin.
Gerentes responsables del SGSI. Gerente de Seguridad. Gerente de
capacitacin
Gerente de Seguridad
Oficial de Seguridad de la Informacin y Gerente de capacitacin
Gerente de capacitacin - Departamento de Recursos Humanos
Gerentes responsables del SGSI
Mensualmente, el primer da laboral del mes.
Trimestral
Trimestral
Revisin anual
Anual
Especfico de la Organizacin
Evaluar el estado del cumplimiento con la poltica de concientizacin
en seguridad de la organizacin entre el personal relevante
Objetivo de control/proceso
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
48 de 72
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
49 de 72
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
50 de 72
B.2
Polticas de contraseas
B.2.1
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
51 de 72
NORMA TCNICA
PERUANA
Frecuencia/Perodo
Frecuencia de la Recoleccin de
datos
Frecuencia del Anlisis de los
Datos
Frecuencia de reporte de los
resultados de las mediciones
Revisin de la medicin
Perodo de Medicin
B.2.2
NTP-ISO/IEC 27004
52 de 72
Anual.
Anual.
Anual.
Revisin y actualizacin todos los aos
Anual.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
53 de 72
Tipo de escala
1 Ordinal
2 Ordinal
Unidad de Medida
1 Contraseas
2 Contraseas
Especificacin de Medida Derivada
Medida Derivada
Ninguna
Funcin de Medicin
Ninguna
Especificacin del indicador
Indicador
a) Ratio de contraseas craqueables en 4 horas.
b) Tendencia del ratio a).
Modelo
a) Dividir [Nmero de contraseas no craqueables] por [Nmero total
Analtico
de contraseas].
b) Comparar el ratio con el ratio previo.
Especificacin de los Criterios de Decisin
Criterios de Decisin
Si el ratio resultante es superior a 0,9 se ha alcanzado el objetivo de
control y no se requiere ninguna accin. Si el ratio resultante es de
entre 0,8 y 0,9 el objetivo de control no se logra, pero la tendencia
positiva indica mejora. Si el ratio resultante es inferior a 0,8 se
deberan tomar acciones inmediatas.
Resultados de la Medicin
Interpretacin del Indicador
La interpretacin del indicador a) debera ser la siguiente:
El criterio de la organizacin para el cumplimiento de la poltica de
contraseas de la organizacin se ha logrado satisfactoriamente en los
ratios > 0,9.
El criterio de la organizacin para el cumplimiento de la poltica de
contraseas de la organizacin no se ha logrado satisfactoriamente en
[0,8 ratio 0,9].
El criterio de la organizacin para el cumplimiento de la poltica de
contraseas de la organizacin no se ha logrado en los ratios < 0,8.
La interpretacin del indicador b) debera ser la siguiente:
La tendencia al alza indica un mejor cumplimiento, tendencia a la baja
indica el deterioro del cumplimiento.
El grado de cambio de tendencia puede dar una idea de la eficacia de
los controles implantados.
Tendencia negativa puede requerir ms controles, tales como
concientizacin, o medios tcnicos para forzar la seleccin de
contraseas robustas o cambiar las contraseas peridicamente.
Las tendencias positivas deberan ser examinadas para estimar los
medios necesarios para cumplir con la poltica de contraseas desde el
ratio actual.
El efecto/impacto de los criterios no cumplidos incrementa el riesgo de
comprometer la contrasea lo que puede conducir al acceso no
autorizado de sistemas.
Entre las posibles causas de desviacin se encuentra, la falta de
concientizacin en seguridad, deficiencias en la implementacin
tcnica y la falta de tiempo para la implementacin en todos los
sistemas de TI.
Formatos de reporte
La lnea de tendencia que representa la facilidad de craquear la
contrasea para todos los registros probados, superpuestas con las
lneas de tendencia producidas durante pruebas anteriores.
NORMA TCNICA
PERUANA
Partes interesadas
Cliente de la Medicin
Revisor de la medicin
Dueo de la informacin
Recolector de la informacin
Comunicador de la informacin
Frecuencia/Perodo
Frecuencia de la Recoleccin de
datos
Frecuencia del Anlisis de los
Datos
Frecuencia de reporte de los
resultados de las mediciones
Revisin de la medicin
Perodo de Medicin
NTP-ISO/IEC 27004
54 de 72
NORMA TCNICA
PERUANA
B.3
NTP-ISO/IEC 27004
55 de 72
NORMA TCNICA
PERUANA
Resultados de la Medicin
Interpretacin del Indicador
Formatos de reporte
Partes interesadas
Cliente de la Medicin
Revisor de la medicin
Dueo de la informacin
Recolector de la informacin
Comunicador de la informacin
Frecuencia/Perodo
Frecuencia de la Recoleccin de
datos
Frecuencia del Anlisis de los
Datos
Frecuencia de reporte de los
resultados de las mediciones
Revisin de la medicin
Perodo de Medicin
NTP-ISO/IEC 27004
56 de 72
B.4
B.4.1
NORMA TCNICA
PERUANA
Identificador numrico
Propsito del Constructor de
Medicin
Objetivo de control/proceso
Control (1)/proceso (1)
Objeto de la Medicin y Atributos
Objeto de la Medicin
Atributo
Especificacin de la Medida Base
Medida Base
Mtodo de Medicin
NTP-ISO/IEC 27004
57 de 72
Especfico de la Organizacin
Evaluar la efectividad de la gestin de incidentes de seguridad de la
informacin
Posibilitar la deteccin temprana de eventos de seguridad y dar
respuesta a los incidentes de seguridad.
Apartado 4.2.2 h) [27001:2005]
SGSI.
Incidentes individuales.
NORMA TCNICA
PERUANA
Frecuencia de la Recoleccin de
datos
Frecuencia del Anlisis de los
Datos
Frecuencia de reporte de los
resultados de las mediciones
Revisin de la medicin
Perodo de Medicin
B.4.2
NTP-ISO/IEC 27004
58 de 72
Mensual.
Mensual.
Mensual.
Semestral.
Mensual.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
59 de 72
NORMA TCNICA
PERUANA
Resultados de la Medicin
Interpretacin del Indicador
Formatos de reporte
Partes interesadas
Cliente de la Medicin
Revisor de la medicin
Dueo de la informacin
Recolector de la informacin
Comunicador de la informacin
Frecuencia/Perodo
Frecuencia de la Recoleccin de
datos
Frecuencia del Anlisis de los
Datos
Frecuencia de reporte de los
resultados de las mediciones
Revisin de la medicin
Perodo de Medicin
NTP-ISO/IEC 27004
60 de 72
NORMA TCNICA
PERUANA
B.5
NTP-ISO/IEC 27004
61 de 72
Compromiso de la Direccin
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
62 de 72
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
63 de 72
NORMA TCNICA
PERUANA
Formatos de reporte
Partes interesadas
Cliente de la Medicin
Revisor de la medicin
Dueo de la informacin
Recolector de la informacin
Comunicador de la informacin
Frecuencia/Perodo
Frecuencia de la Recoleccin de
datos
Frecuencia del Anlisis de los
Datos
Frecuencia de reporte de los
resultados de las mediciones
Revisin de la medicin
Perodo de Medicin
B.6
NTP-ISO/IEC 27004
64 de 72
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
65 de 72
1 Objetivo
2 Objetivo
Escala
1 Enteros de cero a infinito
2 Enteros de cero a infinito
Tipo de escala
1 Ordinal
2 Ordinal
Unidad de Medida
1 Incidentes de seguridad
2 Registros
Especificacin de Medida Derivada
Medida Derivada
Fortaleza de la proteccin contra software malicioso.
Funcin de Medicin
Nmero de incidentes de seguridad causados por software
malicioso/nmero de ataques detectados y bloqueados causados por
software malicioso.
Especificacin del indicador
Indicador
Tendencia de los ataques detectados que no fueron bloqueadas durante
varios perodos reportados.
Modelo
Comparar el ratio con el porcentaje previo.
Analtico
Especificacin de los Criterios de Decisin
Criterios de Decisin
Las lneas de tendencia deberan mantenerse bajo el nmero
especificado. La tendencia resultante debera ser a la baja o constante.
Resultados de la Medicin
Interpretacin del Indicador
Una tendencia al alza indica deterioro del cumplimiento, una tendencia
a la baja indica mejora del cumplimiento; y cuando la tendencia se
eleva notablemente, debera ser necesaria la investigacin de la causa y
espacio para salvaguardas adicionales.
Formatos de reporte
Lnea de tendencia que representa ratio de deteccin y prevencin de
software malicioso junto a las lneas generadas durante los periodos
anteriores reportados.
Partes interesadas
Cliente de la Medicin
Gerente de seguridad.
Revisor de la medicin
Gerente de seguridad.
Dueo de la informacin
Administrador de sistema.
Recolector de la informacin
Gerente de seguridad; Administrador de sistema; Administrador de
red.
Comunicador de la informacin Coordinacin del servicio.
Frecuencia/Perodo
Frecuencia de la Recoleccin de Diaria.
datos
Frecuencia del Anlisis de los
Mensual.
Datos
Mensual.
Frecuencia de reporte de los
resultados de las mediciones
Revisin de la medicin
Revisin anual
Perodo de Medicin
Aplicable 1 ao.
Tipo de Mtodo de Medicin
NORMA TCNICA
PERUANA
B.7
NTP-ISO/IEC 27004
66 de 72
reas seguras
Registros de la gestin de identidad.
NORMA TCNICA
PERUANA
Resultados de la Medicin
Interpretacin del Indicador
Formatos de reporte
Partes interesadas
Cliente de la Medicin
Revisor de la medicin
Dueo de la informacin
Recolector de la informacin
Comunicador de la informacin
Frecuencia/Perodo
Frecuencia de la Recoleccin de
datos
Frecuencia del Anlisis de los
Datos
Frecuencia de reporte de los
resultados de las mediciones
Revisin de la medicin
Perodo de Medicin
B.8
NTP-ISO/IEC 27004
67 de 72
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
68 de 72
Medida Base
Mtodo de Medicin
NORMA TCNICA
PERUANA
B.9
NTP-ISO/IEC 27004
69 de 72
Control (1)
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
70 de 72
NORMA TCNICA
PERUANA
B.10
NTP-ISO/IEC 27004
71 de 72
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
72 de 72