iso 27001 actualización versión 2013

Actualización de la versión 2013 de la norma

ISO 27001 Sistemas de gestión de seguridad de la información

María José Buigues

Abril 2014

*

ISO 27001: 2013

Publicada el 25-09-2013

Reemplaza a ISO 27001: 2005

Cambia su estructura

Nuevos requisitos y requisitos eliminados

Nuevos controles y controles eliminados

Cambios en la estructura de la norma

ISO27001

Por qué cambia la estructura?

ISO trabaja en armonizar de las normas de sistemas de gestión.

http://isotc.iso.org/livelink/livelink?func=ll&objId=4230452&objAction=browse&sort=subtype

Anexo SL ISO/IEC Directives, Part 1,

Consolidated ISO Suplement

Directives – Procedures specific to ISO

Creación de estructura

genérica para normas de

sistemas de gestión

• Publicado en 2012

• Reemplaza la Guía ISO 83

Para qué?

• Estructura de alto nivel

• Texto básico

• Términos comunes

• Definiciones básicas

idénticos

• Ayudar al proceso de creación de nuevas normas.

• Facilitar la implementación múltiple de sistemas de gestión.

http://isotc.iso.org/livelink/livelink?func=ll&objId=4230452&objAction=browse&sort=subtype

Resumen de cambios

ISO 27001 versión 2005 ISO 27001 versión 2013

Estructura no alineada con otras normas Estructura alineada con Anexo SL

12 páginas (sistema de gestión) 9 páginas (sistema de gestión)

Requerimientos: carácter más general

(mayor libertad de interpretación)

Anexo A:

• 11 cláusulas

• 133 controles

Anexo A:

• 14 cláusulas

• 113 controles

Anexo A referenciado en ISO 27002: 2013

Referencia directa a PDCA Sin referencia directa a PDCA, aunque

mantiene su espíritu

Referencia a principios OECD No hay referencia a principios OECD

Estructura alineada a Anexo SL

Planificación

Acciones para

tratar riesgos y

oportunidades

Objetivos de SI

y planes para

alcanzarlos

Mejora

No

conformidades

y acciones

correctivas

Mejora continua

Liderazgo

Liderazgo y

compromiso

Política

Funciones,

responsabilidad

es y autoridades

Operación

Planificación

y control

operativo

Análisis de

riesgos de

seguridad de la

información

Tratamiento de

riesgos de

seguridad de la

información

Evaluación

desempeño

Seguimiento,

medición,

análisis y

evaluación

Auditoría interna

Revisión por

la Dirección

Contexto

organización

Comprensión

de la

organización y

el contexto

Expectativas de

las partes

interesadas

Alcance del

sistema de

gestión

ISMS

Respaldo

Recursos

Competencia

Concientización

Comunicación

Información

documentada

10

PLAN DO CHECK ACT

9 8 7 6 5 4

Comparación entre estructuras

0. Introducción

1. Alcance

2. Referencias normativas

3. Términos y definiciones

4. Sistema de

gestión de

seguridad de

la información

5. Responsabilidad de la dirección

6. Auditoría interna del SGSI

7. Revisión por la Dirección

8. Mejora del SGSI

0. Introducción

1. Alcance

2. Referencias normativas

3. Términos y definiciones

8. Operación

9. Evaluación de desempeño

5. Liderazgo

6. Planificación

4. Contexto de la organización

7. Apoyo

10. Mejora

4.1 General

4.3 Requisitos de documentación

4.2 Establecimiento del SGSI

ISO

27001:

2005

ISO

27001:

2013

Cuerpo de la norma

Nuevos requisitos

ISO27001

Nuevos requisitos | Punto 4

Nuevos requisitos incorporados en la versión 2013

4.2 Entender las

necesidades y

expectativas de las

partes interesadas

La organización debe determinar:

a) las partes interesadas relevantes para el SGSI; y

4.3 Determinar el

alcance del SGSI

c) las interfaces y dependencias entre las actividades realizadas por la

organización, y aquellas realizadas por otras organizaciones.



5.1 Liderazgo y

compromiso

b) asegurando la integración de los requisitos del SGSI en los procesos de

la organización;



6.1.1 General a) asegurar que el SGSI puede alcanzar su(s) resultado(s) esperado(s);

b) prevenir, o reducir, efectos no deseados; y

c) alcanzar la mejora continua.

6.1.2 Evaluación de

riesgos de seguridad de

la información

a) establezca y mantenga un criterio de riesgo de seguridad de la

información que incluya:



6.2 Objetivos de

seguridad de la

información y

planificación para su

cumplimiento

b) ser medibles (si es posible);

c) tomar en cuenta los requisitos de seguridad de la información aplicables,

y los resultados de la evaluación de riesgos y del tratamiento de riesgos;

Al planificar cómo alcanzar estos objetivos de seguridad de la información,

la organización debe determinar:

f) qué se hará;

g) qué recursos serán requeridos;

h) quién será responsable;

i) cuándo será completado; y

j) cómo los resultados serán evaluados.



7.3 Concientización Las personas trabajando bajo el control de la organización deben estar

conscientes de:

a) la política de seguridad de la información;

7.4 Comunicación a) qué comunicar;

b) cuándo comunicarlo;

c) a quién comunicarlo;

d) quién lo comunicará; y

e) los procesos por los cuales la comunicación será efectuada.

7.5.1 General b) la información documentada determinada por la organización como

necesaria para la eficacia del SGSI. NOTA El alcance de la información documentada para un SGSI puede diferir de una organización a otra debido a:

1) el tamaño de la organización y su tipo de actividad, sus procesos, sus productos y servicios;

2) la complejidad de los procesos y sus interacciones; y

3) la competencia de las personas.



8.1 Planificación

operacional y control

La organización debe planificar, implementar y controlar los procesos

necesarios para cumplir los requisitos de seguridad de la información, e

implementar las acciones determinadas en 6.1.



9.1 Monitoreo, medición,

análisis y evaluación

c) cuándo se realizarán el monitoreo y la medición;

d) quién monitoreará y medirá;

f) quién analizará y evaluará estos resultados.

9.3 Revisión por la

dirección

4) el cumplimiento de los objetivos de seguridad de la información;



10.1 No conformidad y

acción correctiva

Cuando ocurre una no conformidad, la organización debe:

a) reaccionar a la no conformidad, y según sea aplicable:

1) tomar acción para controlarla y corregirla; y

2) hacer frente a las consecuencias;

e) hacer cambios al SGSI, si es necesario.

La organización debe retener información documentada como evidencia de:

f) la naturaleza de las no conformidades y cualquier acción subsecuente

tomada, y

Cuerpo de la norma

Requisitos eliminados

ISO27001


Requisitos de ISO 27001: 2005 eliminados en la versión 2013

4.2.1.g) (…) Se deben seleccionar los objetivos de control y controles del Anexo A como parte de este proceso

conforme sea apropiado para cubrir estos requerimientos.

4.2.1.i) Obtener la autorización de la gerencia para implementar y operar el SGSI.

4.2.3.a).1) detectar prontamente los errores en los resultados de procesamiento;

4.2.3.a).2) identificar prontamente los incidentes y violaciones de seguridad fallidos y exitosos;

4.2.3.a).4) ayudar a detectar los eventos de seguridad, evitando así los incidentes de seguridad mediante el uso de

indicadores; y

4.2.3.a).5) determinar si son efectivas las acciones tomadas para resolver una violación de seguridad.

4.2.3.h) registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o desempeño del SGSI.

4.3.1 La documentación debe incluir los registros de las decisiones gerenciales, asegurar que las acciones puedan

ser monitoreadas a las decisiones políticas gerenciales, y los resultados registrados deben ser reproducibles.

Es importante ser capaces de demostrar la relación desde los controles seleccionados y de regreso a los resultados

del proceso de evaluación del riesgo y tratamiento del riesgo, y subsecuentemente, de regreso a la política y

objetivos del SGSI.

4.3.1.c) Procedimientos y controles de soporte del SGSI;


Requisitos de ISO 27001: 2005 eliminados en la versión 2013

4.3.2 (…) Se debe establecer un procedimiento documentado para definir las acciones gerenciales necesarias …

4.3.3 (…) Se deben documentar e implementar los controles necesarios para la identificación, almacenaje,

protección, recuperación, tiempo de retención y disposición de los registros.

4.3.3 (…) y de todas las ocurrencias de incidentes de seguridad significativos relacionados con el SGSI.

5.2.1.b) asegurar que los procedimientos de seguridad de la información respalden los requerimientos comerciales;

5.2.1.d) mantener una seguridad adecuada mediante la correcta aplicación de todos los controles implementados;

6.d) (…) Las responsabilidades y requerimientos para la planificación y realización de las auditorías, y para el

reporte de resultados y mantenimiento de registros se deben definir en un procedimiento documentado.

8.2 (…) El procedimiento documentado para la acción correctiva debe definir los requerimientos para…

8.3 (…) El procedimiento documentado para la acción preventiva debe definir los requerimientos para…

8.3.d) registrar los resultados de la acción tomada;

8.3.e) revisar la acción preventiva tomada.

8.3.e) (…) la prioridad de las acciones preventivas se debe determinar en base a los resultados de la evaluación del

riesgo.

Anexo A

Nuevos controles

ISO27001

Nuevos controles | A.6


A.6.1.5 Seguridad de la

información en gestión

de proyectos

Se abordará la seguridad de la información en la gestión de proyectos,

independientemente del tipo de proyecto.



A.12.6.2 Restricciones a

la instalación de

software

Deben establecerse e implementarse reglas para gobernar la instalación de

software por parte de los usuarios.



A.14.2.1 Política de

desarrollo seguro

Deben establecerse y aplicase reglas para el desarrollo de software y

sistemas a los desarrollos en la organización.

A.14.2.5 Principios de

ingeniería segura de

sistemas

Deben establecerse, documentarse, mantenerse y aplicarse principios de

ingeniería segura de sistemas a cualquier esfuerzo de implementación de

sistemas de información.

A.14.2.6 Entorno de

desarrollo seguro

Las organizaciones deben establecer y proteger apropiadamente los

entornos seguros de desarrollo para el desarrollo de sistemas y los

esfuerzos de integración que cubran todo el ciclo completo de desarrollo.

A.14.2.8 Pruebas de

seguridad del sistema

Debe llevarse a cabo pruebas de la funcionalidad de seguridad durante el

desarrollo.



A.15.1.1 Política de

seguridad de la

información para

relaciones con

proveedores

Los requisitos de seguridad de la información para mitigar los riesgos

asociados con el acceso de los proveedores a los activos de la organización

deben ser acordados con el proveedor y documentados.

A.15.1.3 Cadena de

suministro de tecnología

de la información y

comunicación

Los acuerdos con proveedores deben incluir los requisitos para hacer frente

a los riesgos de seguridad de la información asociados con los servicios de

tecnología de la información y las comunicaciones y la cadena de suministro

del producto.



A.16.1.4

Evaluación de y

decisión sobre

eventos de

seguridad de la

información

Los eventos de seguridad de la información deben ser evaluados y debe

decidirse si deben ser clasificados como incidentes de seguridad de la

información.

A.16.1.5 Respuesta

a los incidentes de

seguridad de la

información

Los incidentes de seguridad de la información deben ser respondidos de acuerdo

con los procedimientos documentados.



A.17.2.1

Disponibilidad de

las instalaciones de

procesamiento de la

información

Las instalaciones de procesamiento de la información deben ser implementadas

con suficiente redundancia para cumplir los requisitos de disponibilidad.

Anexo A

Controles eliminados

ISO27001


Controles ISO 27001: 2005 eliminados en la versión 2013

A.6.1.1 Compromiso de la dirección con la seguridad de la información

A.6.1.2 Coordinación de la seguridad de la información

A.6.1.4 Proceso de autorización para instalaciones de procesamiento de la información

A.6.2.1 Identificación de riesgos relacionados con partes externas

A.6.2.2 Abordaje de la seguridad en la gestión con clientes

A.10.7.4 Seguridad del sistema documental

A.10.8.5 Sistemas de información del negocio

A.11.4.2 Autenticación de usuarios para conexiones externas

A.11.4.3 Identificación del equipamiento en redes

A.11.4.4 Protección de diagnóstico remoto y configuración de puertos


Controles ISO 27001: 2005 eliminados en la versión 2013

A.11.4.6 Control de conexión de red

A.11.4.7 Control de ruteo de red

A.11.6.2 Aislamiento de sistemas sensibles

A.12.2.1 Validación de data de insumo

A.12.2.2 Control de procesamiento interno

A.12.2.3 Integridad del mensaje

A.12.2.4 Validación de data de output

A.12.5.4 Filtración de información

A.15.1.5 Prevención de mal uso de medios de procesamiento de información

A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información

Consultora de Procesos y Comunicaciones

María José Buigues *

https://ar.linkedin.com/in/majobuigues

[email protected]

justmajo

https://ar.linkedin.com/in/majobuigues

mailto:[email protected]

iso 27001 actualización versión 2013

Business