Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013

Transcripción

1 Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013 Ing. CIP Maurice Frayssinet Delgado mfrayssinet@gmail.com Oficina Nacional de Gobierno Electrónico e Informática

2 Agenda Sección 1. Introducción a la norma ISO/IEC 27001:2013. Sección 2. Estructura de la nueva norma. Sección 3. Principales cambios y mejoras. Sección 4. Modelo de transición. 2

3 Sección 1 Introducción a la norma ISO/IEC 27001:

4 ISO 27001:2013 ISO IEC es un estándar de gestión de seguridad de la información. Se define un conjunto de requisitos de gestión de seguridad de la información. El nombre oficial completo de la norma ISO / IEC 27001:2013 Tecnología de la información - Técnicas de seguridad Sistema de gestión de Seguridad de la información - Requisitos 4

5 Historia de la Norma ISO

6 Anexo SL El Anexo SL sugiere una estructura única para todas las normas en Sistemas de Gestión, consiguiendo con ello mayor coherencia, efectividad y eficiencia en su implementación, integración, mantenimiento y proceso de auditoría para la posterior certificación. Esta estructura, a la que se le ha dado el nombre de estructura de Alto Nivel, consta de 10 apartados. 6

7 Anexo SL - Estructura común 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Contexto de la organización 5. Liderazgo 6. Planificación 7. Soporte 8. Operación 9. Evaluación 10. Mejora 7

8 Los Sistemas de Gestión se Integran CALIDAD ISO 9001 AMBIENTALISO ISO SISTEMA DE GESTION SALUD Y SEGURIDAD TRABAJO OHSAS SEGURIDAD DE LA INFORMACION ISO

9 Estructura de la ISO 27001: Alcance 2. Referencias normativas 3. Términos y definiciones 4. Contexto de la organización 5. Liderazgo 6. Planificación 7. Soporte 8. Operación 9. Evaluación 10. Mejora Anexo A Lista de Controles 9

10 PNTP ISO/IEC 27001:2014 Para el Perú será la futura norma NTP ISO/IEC 27001:2014. Actualmente ya se culmino su traducción encontrándose en fase de consulta y revisión final del borrador 10

11 Sección 2 Estructura de la nueva norma 11

12 Qué es ISO? Fuente: 12

13 Contexto de la organización Se definen los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance. Nuevo concepto de la partes interesadas como un elemento primordial para el alcance del SGSI. Se alienan las partes interesadas con relación a la seguridad de la información y sus requisitos 13

14 Liderazgo Los objetivos del SGSI y La política de seguridad de la información deben estar alineados con los objetivos del negocio. Garantizar disponibilidad de los recursos Garantizar que se asignen los roles y responsabilidades 14

15 Planeación Se elimina el término Propietario del activo y se adopta el término Propietario del riesgo. La evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas. El objetivo es identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información. El nivel de riesgo esta en base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa. Los requerimientos del SOA no sufrieron transformaciones significativas. 15

16 Soporte La definición información documentada sustituye a los términos documentos y registros Se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos. Requerimientos de soporte: Recursos, Personal competente, y comunicación de las partes interesadas 16

17 Operación Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad. Establece los requerimientos para medir el funcionamiento del SGSI. La organización debe planear y controlar las operaciones y requerimientos de seguridad 17

18 Evaluación del desempeño Revisiones del estado de los planes de acción para atender no conformidades. Identificar, medir la efectividad y desempeño del SGSI mediante auditorías internas y las revisiones. 18

19 Mejora Las no-conformidades identificadas, tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y sean efectivas. Las medidas preventivas se fusionarán con la evaluación y tratamiento el riesgo. 19

20 Anexos El Anexo A Referencia de objetivos y controles continúa formando parte de este estándar. Los anexos B y C se han eliminado. El número de dominios del anexo A aumenta de 11 a 14. El numero de controles del anexo A paso de 133 a

21 Clausula 4 Contexto de la organización Estructura de la Norma ISO Clausula 5 Planificación Clausula 10 Mejora Clausula 8 Funcionamiento Clausula 7 Soporte Clausula 9 Evaluación del desempeño Clausula 5 Liderazgo 21

22 Ciclo PDCA en ISO/IEC 27001:

23 Sección 3 Principales cambios y mejoras. 23

24 ISO Especifica los requisitos de gestión de un SGSI (Cláusula 4 a 10) Los requisitos (cláusulas) son escritos utilizando el verbo "deberán" en imperativo Anexo A: 14 cláusulas que contienen 35 objetivos de control y 114 controles La organización puede ser certificada en esta norma 24

25 ISO Guía para el código de prácticas para los controles de la seguridad de la información (Documento de referencia) Cláusulas escritas utilizando el verbo "debería" Compuesto de 14 cláusulas, 35 objetivos de control y 114 controles Una organización no puede ser certificada en esta norma 25

26 Cambios 26

27 Cambios 27

28 Documentos 28

29 Documentos 29

30 Cambios ISO 27001:2005 ISO 27001:

31 Sección 3 Modelo de transición. 31

32 Transición Realizar un análisis de brecha entre la norma ISO/IEC 27001:2005 y la ISO/IEC 27001:2013 Se debe iniciar un Proyecto de Transición 32

33 Información documentada La 'Información documentada' es el un nuevo término que se aplica a lo que la versión 2005 denominaba documentos y Registros. En la transición a la norma ISO / IEC 27001: 2013, sólo tiene que sustituir el términos documentos y registros con el término documentos de información Si desea realizar una distinción se entiende que los documentos son declaraciones de intenciones y los registros son evidencias 33

34 Política Política de Seguridad de la Información en lugar de política del SGSI Criterios para la realización de las evaluaciones de riesgos de seguridad de información (véase el numeral a) 2)) La política de la organización hacia la liberación de su información, la política de seguridad a las partes interesadas (véase el numeral 5.2 g)) La política de la organización con respecto a las comunicaciones externas (ver Cláusula 7.4). 34

35 Evaluación de riesgos En contraste con la norma ISO / IEC 27001: 2005, ISO / IEC 27001: 2013 no exige explícitamente la identificación de activos, amenazas y vulnerabilidades, como requisito previo a la identificación de riesgos. Utiliza el vocabulario de (Gestión de riesgos ISO principios y directrices) y, por tanto, la norma ISO / IEC 27001: 2013 se refiere a consecuencias en lugar de impactos 35

36 Evaluación de riesgos La estructura general de los requisitos (identificar los riesgos, evaluar consecuencias y probabilidades) es el mismo que ISO / IEC 27001: Esto significa que poco o ningún cambio se debe realizar en la evaluación del riesgo / metodología de tratamiento riesgo o su implementación. 36

37 Términos de referencia para la alta dirección Un cambio debe ser necesario para acomodar la especificación de responsabilidades dadas en las Cláusulas 5.1 a) a h). 37

38 5.1 Liderazgo y compromiso a) asegurando que la política de seguridad de la información y los objetivos de seguridad de la información son establecidos y compatibles con la dirección estratégica de la organización; b) asegurando la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos de la organización; c) asegurando que los recursos necesarios para el sistema de gestión de seguridad de la información estén disponibles; 38

39 5.1 Liderazgo y compromiso a) comunicando la importancia de una efectiva gestión de seguridad de la información y en conformidad con los requisitos del sistema de gestión de seguridad de la información; b) asegurando que el sistema de gestión de seguridad de la información logre su(s) resultado(s) previsto(s); c) dirigiendo y apoyando a las personas para que contribuyan con la efectividad del sistema de gestión de seguridad de la información; d) promoviendo la mejora continua; y e) apoyando a otros roles relevantes de gestión para demostrar su liderazgo tal como se aplica a sus áreas de responsabilidad. 39

40 Responsabilidades Se debe acomodar la especificación responsabilidades dadas en las Cláusulas 5.3 a) y b). 40

41 5.3. Roles, autoridad y responsabilidades organizacionales a) asegurar que el sistema de gestión de seguridad de la información esté conforme a los requisitos de este Proyecto de Norma Técnica Peruana; y a) reportar sobre el desempeño del sistema de gestión de seguridad de la información a la alta dirección. 41

42 Concientización Los requisitos de Cláusula 7.4 como el proceso de creación de conciencia puede considerarse como una forma de comunicación. 42

43 7.4. Comunicación La organización debe determinar la necesidad de comunicaciones internas y externas relevantes al sistema de gestión de seguridad de la información incluyendo: a) qué comunicar; b) cuándo comunicar; c) a quién comunicar; d) quién debe comunicar; y e) Los procesos por los cuales la comunicación debe ser efectuada 43

44 Preguntas 44

45 Contacto Soporte SGSI: Correo Electrónico: Teléfonos: Maurice Frayssinet Delgado Rpm # anexo anexo

46 ONGEI Oficina Nacional de Gobierno Electrónico e Informática