Embed Size (px)
Citation preview
Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013
Ing. CIP Maurice Frayssinet Delgado
www.ongei.gob.pe
Oficina Nacional de Gobierno Electrónico e Informática
Agenda
• Sección 1. Introducción a la norma ISO/IEC 27001:2013.
• Sección 2. Estructura de la nueva norma.
• Sección 3. Principales cambios y mejoras.
• Sección 4. Modelo de transición.
2
Introducción a la norma ISO/IEC 27001:2013.
Sección 1
3
ISO 27001:2013
• ISO IEC 27001 2013 es un estándar de gestión de seguridad de la información.
• Se define un conjunto de requisitos de gestión de seguridad de la información.
• El nombre oficial completo de la norma ISO / IEC 27001:2013 Tecnología de la información - Técnicas de seguridad – Sistema de gestión de Seguridad de la información - Requisitos
4
Historia de la Norma ISO 27001
5
Anexo SL
• El Anexo SL sugiere una estructura única para todas las normas en Sistemas de Gestión, consiguiendo con ello mayor coherencia, efectividad y eficiencia en su implementación, integración, mantenimiento y proceso de auditoría para la posterior certificación.
• Esta estructura, a la que se le ha dado el nombre de estructura de Alto Nivel, consta de 10 apartados.
6
Anexo SL - Estructura común
1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Contexto de la organización 5. Liderazgo 6. Planificación 7. Soporte 8. Operación 9. Evaluación 10. Mejora
7
Los Sistemas de Gestión se Integran
SISTEMA DE
GESTION
SALUD Y SEGURIDAD
TRABAJO OHSAS 18001
CALIDAD ISO 9001
AMBIENTALISO ISO 14001
SEGURIDAD DE LA
INFORMACION ISO 27001
8
Estructura de la ISO 27001:2013
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación
10. Mejora
Anexo A – Lista de Controles
9
PNTP ISO/IEC 27001:2014
• Para el Perú será la futura norma NTP ISO/IEC 27001:2014.
• Actualmente ya se culmino su traducción encontrándose en fase de consulta y revisión final del borrador
10
Estructura de la nueva norma
Sección 2
11
¿Qué es ISO?
12 Fuente: http://www.pmg-ssi.com/
Contexto de la organización
• Se definen los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance.
• Nuevo concepto de la partes interesadas como un elemento primordial para el alcance del SGSI.
• Se alienan las partes interesadas con relación a la seguridad de la información y sus requisitos
13
Liderazgo
• Los objetivos del SGSI y “La política de seguridad de la información deben estar alineados con los objetivos del negocio.
• Garantizar disponibilidad de los recursos
• Garantizar que se asignen los roles y responsabilidades
14
Planeación
• Se elimina el término “Propietario del activo” y se adopta el término “Propietario del riesgo”.
• La evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas.
• El objetivo es identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.
• El nivel de riesgo esta en base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa.
• Los requerimientos del SOA no sufrieron transformaciones significativas.
15
Soporte
• La definición “información documentada” sustituye a los términos “documentos” y “registros”
• Se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.
• Requerimientos de soporte: Recursos, Personal competente, y comunicación de las partes interesadas
16
Operación
• Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos.
• Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.
• Establece los requerimientos para medir el funcionamiento del SGSI.
• La organización debe planear y controlar las operaciones y requerimientos de seguridad
17
Evaluación del desempeño
• Revisiones del estado de los planes de acción para atender no conformidades.
• Identificar, medir la efectividad y desempeño del SGSI mediante auditorías internas y las revisiones.
18
Mejora
• Las no-conformidades identificadas, tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y sean efectivas.
• Las medidas preventivas se fusionarán con la evaluación y tratamiento el riesgo.
19
Anexos
• El “Anexo A – Referencia de objetivos y controles” continúa formando parte de este estándar.
• Los anexos “B” y “C” se han eliminado.
• El número de dominios del anexo A aumenta de 11 a 14.
• El numero de controles del anexo A paso de 133 a 114.
20
Estructura de la Norma ISO 27001
Clausula 7 Soporte
Clausula 4 Contexto de la organización
Clausula 5 Liderazgo
Clausula 5 Planificación
Clausula 8 Funcionamiento
Clausula 10 Mejora
Clausula 9 Evaluación del
desempeño
21
Ciclo PDCA en ISO/IEC 27001:2013
22
Principales cambios y mejoras.
23
Sección 3
ISO 27001
• Especifica los requisitos de gestión de un SGSI (Cláusula 4 a 10)
• Los requisitos (cláusulas) son escritos utilizando el verbo "deberán" en imperativo
• Anexo A: 14 cláusulas que contienen 35 objetivos de control y 114 controles
• La organización puede ser certificada en esta norma
24
ISO 27002
• Guía para el código de prácticas para los controles de la seguridad de la información (Documento de referencia)
• Cláusulas escritas utilizando el verbo "debería"
• Compuesto de 14 cláusulas, 35 objetivos de control y 114 controles
• Una organización no puede ser certificada en esta norma
25
Cambios
26
Cambios
27
Documentos
28
Documentos
29
Cambios
30
ISO 27001:2005 ISO 27001:2013
Modelo de transición.
31
Sección 3
Transición
32
Realizar un análisis de brecha entre la norma ISO/IEC 27001:2005 y la ISO/IEC 27001:2013
Se debe iniciar un “Proyecto de Transición”
Información documentada
• La 'Información documentada' es el un nuevo término que se aplica a lo que la versión 2005 denominaba documentos y Registros.
• En la transición a la norma ISO / IEC 27001: 2013, sólo tiene que sustituir el términos documentos y registros con el término documentos de información
• Si desea realizar una distinción se entiende que los documentos son declaraciones de intenciones y los registros son evidencias
33
Política
• Política de Seguridad de la Información en lugar de política del SGSI
• Criterios para la realización de las evaluaciones de riesgos de seguridad de información (véase el numeral 6.1.2 a) 2))
• La política de la organización hacia la liberación de su información, la política de seguridad a las partes interesadas (véase el numeral 5.2 g))
• La política de la organización con respecto a las comunicaciones externas (ver Cláusula 7.4).
34
Evaluación de riesgos
• En contraste con la norma ISO / IEC 27001: 2005, ISO / IEC 27001: 2013 no exige explícitamente la identificación de activos, amenazas y vulnerabilidades, como requisito previo a la identificación de riesgos.
• Utiliza el vocabulario de 31000 (Gestión de riesgos ISO – principios y directrices) y, por tanto, la norma ISO / IEC 27001: 2013 se refiere a consecuencias en lugar de impactos
35
Evaluación de riesgos
• La estructura general de los requisitos (identificar los riesgos, evaluar consecuencias y probabilidades) es el mismo que ISO / IEC 27001: 2005.
• Esto significa que poco o ningún cambio se debe realizar en la evaluación del riesgo / metodología de tratamiento riesgo o su implementación.
36
Términos de referencia para la alta dirección
Un cambio debe ser necesario
para acomodar la especificación de responsabilidades dadas en las Cláusulas 5.1 a) a h).
37
5.1 Liderazgo y compromiso
a) asegurando que la política de seguridad de la información y los objetivos de seguridad de la información son establecidos y compatibles con la dirección estratégica de la organización;
b) asegurando la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos de la organización;
c) asegurando que los recursos necesarios para el sistema de gestión de seguridad de la información estén disponibles;
38
5.1 Liderazgo y compromiso
a) comunicando la importancia de una efectiva gestión de seguridad de la información y en conformidad con los requisitos del sistema de gestión de seguridad de la información;
b) asegurando que el sistema de gestión de seguridad de la información logre su(s) resultado(s) previsto(s);
c) dirigiendo y apoyando a las personas para que contribuyan con la efectividad del sistema de gestión de seguridad de la información;
d) promoviendo la mejora continua; y e) apoyando a otros roles relevantes de
gestión para demostrar su liderazgo tal como se aplica a sus áreas de responsabilidad.
39
Responsabilidades
Se debe acomodar la especificación responsabilidades dadas en las Cláusulas 5.3 a) y b).
40
5.3. Roles, autoridad y responsabilidades organizacionales
a) asegurar que el sistema de
gestión de seguridad de la información esté conforme a los requisitos de este Proyecto de Norma Técnica Peruana; y
a) reportar sobre el desempeño del sistema de gestión de seguridad de la información a la alta dirección.
41
Concientización
Los requisitos de Cláusula 7.4 como el proceso de creación de conciencia puede considerarse como una forma de comunicación.
42
7.4. Comunicación
La organización debe determinar la necesidad de comunicaciones internas y externas relevantes al sistema de gestión de seguridad de la información incluyendo:
a) qué comunicar; b) cuándo comunicar; c) a quién comunicar; d) quién debe comunicar; y e) Los procesos por los cuales la
comunicación debe ser efectuada
43
Preguntas
44
Contacto
45
Maurice Frayssinet Delgado [email protected] Rpm #963-985-125 6346000 anexo 118 2197000 anexo 5118
Soporte SGSI: Correo Electrónico: Teléfonos:
ONGEI Oficina Nacional de Gobierno Electrónico e Informática
www.ongei.gob.pe
