Taller de transicin de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013

Ing. CIP Maurice Frayssinet Delgado

mfrayssinet@gmail.com

www.ongei.gob.pe

Oficina Nacional de Gobierno Electrnico e Informtica

Agenda

Seccin 1. Introduccin a la norma ISO/IEC 27001:2013.

Seccin 2. Estructura de la nueva norma.

Seccin 3. Principales cambios y mejoras.

Seccin 4. Modelo de transicin.

2

Introduccin a la norma ISO/IEC 27001:2013.

Seccin 1

3

ISO 27001:2013

ISO IEC 27001 2013 es un estndar de gestin de seguridad de la informacin.

Se define un conjunto de requisitos de gestin de seguridad de la informacin.

El nombre oficial completo de la norma ISO / IEC 27001:2013 Tecnologa de la informacin - Tcnicas de seguridad Sistema de gestin de Seguridad de la informacin - Requisitos

4

Historia de la Norma ISO 27001

5

Anexo SL

El Anexo SL sugiere una estructura nica para todas las normas en Sistemas de Gestin, consiguiendo con ello mayor coherencia, efectividad y eficiencia en su implementacin, integracin, mantenimiento y proceso de auditora para la posterior certificacin.

Esta estructura, a la que se le ha dado el nombre de estructura de Alto Nivel, consta de 10 apartados.

6

Anexo SL - Estructura comn

1. Alcance 2. Referencias normativas 3. Trminos y definiciones 4. Contexto de la organizacin 5. Liderazgo 6. Planificacin 7. Soporte 8. Operacin 9. Evaluacin 10. Mejora

7

Los Sistemas de Gestin se Integran

SISTEMA DE

GESTION

SALUD Y SEGURIDAD

TRABAJO OHSAS 18001

CALIDAD ISO 9001

AMBIENTALISO ISO 14001

SEGURIDAD DE LA

INFORMACION ISO 27001

8

Estructura de la ISO 27001:2013

1. Alcance

2. Referencias normativas

3. Trminos y definiciones

4. Contexto de la organizacin

5. Liderazgo

6. Planificacin

7. Soporte

8. Operacin

9. Evaluacin

10. Mejora

Anexo A Lista de Controles

9

PNTP ISO/IEC 27001:2014

Para el Per ser la futura norma NTP ISO/IEC 27001:2014.

Actualmente ya se culmino su traduccin encontrndose en fase de consulta y revisin final del borrador

10

Estructura de la nueva norma

Seccin 2

11

Qu es ISO?

12 Fuente: http://www.pmg-ssi.com/

Contexto de la organizacin

Se definen los requerimientos para definir el contexto del SGSI sin importar el tipo de organizacin y su alcance.

Nuevo concepto de la partes interesadas como un elemento primordial para el alcance del SGSI.

Se alienan las partes interesadas con relacin a la seguridad de la informacin y sus requisitos

13

Liderazgo

Los objetivos del SGSI y La poltica de seguridad de la informacin deben estar alineados con los objetivos del negocio.

Garantizar disponibilidad de los recursos

Garantizar que se asignen los roles y responsabilidades

14

Planeacin

Se elimina el trmino Propietario del activo y se adopta el trmino Propietario del riesgo.

La evaluacin de riesgos ya no est enfocado en los activos, las vulnerabilidades y las amenazas.

El objetivo es identificar los riesgos asociados con la prdida de la confidencialidad, integridad y disponibilidad de la informacin.

El nivel de riesgo esta en base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa.

Los requerimientos del SOA no sufrieron transformaciones significativas.

15

Soporte

La definicin informacin documentada sustituye a los trminos documentos y registros

Se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.

Requerimientos de soporte: Recursos, Personal competente, y comunicacin de las partes interesadas

16

Operacin

Los activos, vulnerabilidades y amenazas ya no son la base de la evaluacin de riesgos.

Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.

Establece los requerimientos para medir el funcionamiento del SGSI.

La organizacin debe planear y controlar las operaciones y requerimientos de seguridad

17

Evaluacin del desempeo

Revisiones del estado de los planes de accin para atender no conformidades.

Identificar, medir la efectividad y desempeo del SGSI mediante auditoras internas y las revisiones.

18

Mejora

Las no-conformidades identificadas, tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y sean efectivas.

Las medidas preventivas se fusionarn con la evaluacin y tratamiento el riesgo.

19

Anexos

El Anexo A Referencia de objetivos y controles contina formando parte de este estndar.

Los anexos B y C se han eliminado.

El nmero de dominios del anexo A aumenta de 11 a 14.

El numero de controles del anexo A paso de 133 a 114.

20

Estructura de la Norma ISO 27001

Clausula 7 Soporte

Clausula 4 Contexto de la organizacin

Clausula 5 Liderazgo

Clausula 5 Planificacin

Clausula 8 Funcionamiento

Clausula 10 Mejora

Clausula 9 Evaluacin del

desempeo

21

Ciclo PDCA en ISO/IEC 27001:2013

22

Principales cambios y mejoras.

23

Seccin 3

ISO 27001

Especifica los requisitos de gestin de un SGSI (Clusula 4 a 10)

Los requisitos (clusulas) son escritos utilizando el verbo "debern" en imperativo

Anexo A: 14 clusulas que contienen 35 objetivos de control y 114 controles

La organizacin puede ser certificada en esta norma

24

ISO 27002

Gua para el cdigo de prcticas para los controles de la seguridad de la informacin (Documento de referencia)

Clusulas escritas utilizando el verbo "debera"

Compuesto de 14 clusulas, 35 objetivos de control y 114 controles

Una organizacin no puede ser certificada en esta norma

25

Cambios

26

Cambios

27

Documentos

28

Documentos

29

Cambios

30

ISO 27001:2005 ISO 27001:2013

Modelo de transicin.

31

Seccin 3

Transicin

32

Realizar un anlisis de brecha entre la norma ISO/IEC 27001:2005 y la ISO/IEC 27001:2013

Se debe iniciar un Proyecto de Transicin

Informacin documentada

La 'Informacin documentada' es el un nuevo trmino que se aplica a lo que la versin 2005 denominaba documentos y Registros.

En la transicin a la norma ISO / IEC 27001: 2013, slo tiene que sustituir el trminos documentos y registros con el trmino documentos de informacin

Si desea realizar una distincin se entiende que los documentos son declaraciones de intenciones y los registros son evidencias

33

Poltica

Poltica de Seguridad de la Informacin en lugar de poltica del SGSI

Criterios para la realizacin de las evaluaciones de riesgos de seguridad de informacin (vase el numeral 6.1.2 a) 2))

La poltica de la organizacin hacia la liberacin de su informacin, la poltica de seguridad a las partes interesadas (vase el numeral 5.2 g))

La poltica de la organizacin con respecto a las comunicaciones externas (ver Clusula 7.4).

34

Evaluacin de riesgos

En contraste con la norma ISO / IEC 27001: 2005, ISO / IEC 27001: 2013 no exige explcitamente la identificacin de activos, amenazas y vulnerabilidades, como requisito previo a la identificacin de riesgos.

Utiliza el vocabulario de 31000 (Gestin de riesgos ISO principios y directrices) y, por tanto, la norma ISO / IEC 27001: 2013 se refiere a consecuencias en lugar de impactos

35

Evaluacin de riesgos

La estructura general de los requisitos (identificar los riesgos, evaluar consecuencias y probabilidades) es el mismo que ISO / IEC 27001: 2005.

Esto significa que poco o ningn cambio se debe realizar en la evaluacin del riesgo / metodologa de tratamiento riesgo o su implementacin.

36

Trminos de referencia para la alta direccin

Un cambio debe ser necesario

para acomodar la especificacin de responsabilidades dadas en las Clusulas 5.1 a) a h).

37

5.1 Liderazgo y compromiso

a) asegurando que la poltica de seguridad de la informacin y los objetivos de seguridad de la informacin son establecidos y compatibles con la direccin estratgica de la organizacin;

b) asegurando la integracin de los requisitos del sistema de gestin de seguridad de la informacin en los procesos de la organizacin;

c) asegurando que los recursos necesarios para el sistema de gestin de seguridad de la informacin estn disponibles;

38

5.1 Liderazgo y compromiso

a) comunicando la importancia de una efectiva gestin de seguridad de la informacin y en conformidad con los requisitos del sistema de gestin de seguridad de la informacin;

b) asegurando que el sistema de gestin de seguridad de la informacin logre su(s) resultado(s) previsto(s);

c) dirigiendo y apoyando a las personas para que contribuyan con la efectividad del sistema de gestin de seguridad de la informacin;

d) promoviendo la mejora continua; y e) apoyando a otros roles relevantes de

gestin para demostrar su liderazgo tal como se aplica a sus reas de responsabilidad.

39

Responsabilidades

Se debe acomodar la especificacin responsabilidades dadas en las Clusulas 5.3 a) y b).

40

5.3. Roles, autoridad y responsabilidades organizacionales

a) asegurar que el sistema de

gestin de seguridad de la informacin est conforme a los requisitos de este Proyecto de Norma Tcnica Peruana; y

a) reportar sobre el desempeo del sistema de gestin de seguridad de la informacin a la alta direccin.

41

Concientizacin

Los requisitos de Clusula 7.4 como el proceso de creacin de conciencia puede considerarse como una forma de comunicacin.

42

7.4. Comunicacin

La organizacin debe determinar la necesidad de comunicaciones internas y externas relevantes al sistema de gestin de seguridad de la informacin incluyendo:

a) qu comunicar; b) cundo comunicar; c) a quin comunicar; d) quin debe comunicar; y e) Los procesos por los cuales la

comunicacin debe ser efectuada

43

Preguntas

44

Contacto

45

Maurice Frayssinet Delgado mfrayssinet@gmail.com Rpm #963-985-125 6346000 anexo 118 2197000 anexo 5118

Soporte SGSI: Correo Electrnico: Telfonos:

ONGEI Oficina Nacional de Gobierno Electrnico e Informtica

www.ongei.gob.pe