27002:2013 Tecnologa de la informacin ISO / IEC - Tcnicas de seguridad - Cdigo de conducta para los controles de seguridad de informacin

Enlaces rpidos
Introduccin a la norma ISO / IEC ( alcance y relacin con la norma ISO / IEC 27001 ) 27002 Estructura y formato de la norma ISO / IEC 27002:2013 Contenido de la norma ISO / IEC 27002:2013 (resumen de las secciones 19 +) Gua de implementacin de SGSI y ms recursos Estado de la norma Comentarios personales

Introduccin
ISO / IEC 27002 es un popular internacionalmente reconocidas normas de buenas prcticas para la seguridad de la informacin. ISO / IEC 27002 remonta su historia ms de 30 aos de los precursores de la BS 7799.

mbito de aplicacin de la norma

Como gobierno, la seguridad de la informacin es un tema muy amplio, con ramificaciones en todas las partes de la organizacin moderna. Seguridad de la informacin, y por lo tanto la norma ISO / IEC 27002, es relevante para todos los tipos de organizaciones, incluyendo empresas comerciales de todos los tamaos (de un solo hombre bandas hasta gigantes multinacionales), sin fines de lucro, organizaciones benficas, los departamentos gubernamentales y cuasi-autnomas cuerpos - de hecho, cualquier organizacin que maneja y depende de la informacin. El riesgo de seguridad de la informacin especfica y los requisitos de control pueden diferir en detalles, pero hay un montn de puntos en comn, por ejemplo, la mayora de las organizaciones tienen que hacer frente a los riesgos de seguridad de informacin en relacin con sus empleados, adems de los contratistas, los consultores y los proveedores externos de servicios de informacin.

La norma se refiere explcitamente a la informacin de seguridad, es decir, la seguridad de todas las formas de informacin ( por ejemplo, los datos informticos, documentacin, conocimiento y propiedad intelectual) y no slo / seguridad de los sistemas IT o "ciberseguridad", como es la moda.

Relacin con el ISO / IEC 27001

ISO / IEC 27001 define formalmente los requisitos obligatorios para un Sistema de Gestin de la Seguridad de la Informacin (SGSI). Se utiliza la norma ISO / IEC 27002 para indicar que los controles de seguridad de informacin adecuados dentro del SGSI, pero como ISO / IEC 27002 es ms que un cdigo de conducta / directriz en lugar de una norma de certificacin, las organizaciones tienen la libertad de seleccionar e implementar otros controles, o incluso adoptar alternativas suites completas de seguridad de la informacin controla si lo consideran conveniente. ISO / IEC 27001 incorpora un resumen (un poco ms que los ttulos de las secciones, de hecho) de los controles de la norma ISO / IEC 27002 en el Anexo A. En la prctica, la mayora de las organizaciones que adoptan la norma ISO / IEC 27001 tambin adoptan la norma ISO / IEC 27002.

Estructura y formato de la norma ISO / IEC 27002:2013

ISO / IEC 27002 es un cdigo de prcticas -, un documento de orientacin genrica, no una especificacin formal, tales como ISO / IEC 27001 . Se recomienda controles de seguridad de la informacin que abordan los objetivos de control de seguridad de informacin derivadas de los riesgos para la confidencialidad, integridad y disponibilidad de la informacin. Las organizaciones que adoptan la norma ISO / IEC 27002 deben evaluar sus propios riesgos de seguridad de la informacin, clarificar sus objetivos de control y aplicar controles adecuados (o incluso otras formas de tratamiento del riesgo) que utilizan la norma como gua. La norma est estructurada lgicamente en torno a grupos de controles de seguridad relacionados. Muchos controles podran haber sido puestos en varias secciones, pero, para evitar duplicaciones y conflictos, que fueron asignados arbitrariamente a uno y, en algunos casos, referencias cruzadas de otros lugares. Por ejemplo, un sistema de tarjetas de control de acceso para, por ejemplo, una sala de ordenadores o el archivo / bveda es a la vez un control de acceso y un control fsico que

implica la tecnologa ms los procedimientos y polticas de gestin / administracin y uso asociados. Esto ha dado lugar a algunas rarezas (como la seccin 6.2 en los dispositivos mviles y el teletrabajo es parte de la seccin 6 en la organizacin de la seguridad de la informacin), pero es al menos una estructura razonablemente completo. Puede que no sea perfecto, pero es lo suficientemente bueno.

Contenido de la norma ISO / IEC 27002:2015

Con ms detalle, aqu se presenta un desglose resumiendo 19 secciones o captulos de la norma (21 si se incluye el prlogo sin numerar y bibliografa). Haga clic en el diagrama para saltar a la descripcin correspondiente.

Prefacio

Brevemente menciona ISO / IEC JTC1/SC 27, el comit que redact la norma, y seala que esta "segunda edicin cancela y reemplaza la primera edicin (ISO / IEC 27002:2005), que ha sido revisada tcnicamente y estructuralmente".

Seccin 0: Introduccin
Esto establece el fondo, menciona tres orgenes de los requisitos de seguridad de la informacin, seala que la norma ofrece orientacin genrica y potencialmente incompleta, que debe interpretarse en el contexto de la organizacin, se menciona la informacin y sus ciclos de vida del sistema, y los puntos de la norma ISO / IEC 27000 para el conjunto estructura y glosario ISO27k.

Seccin 1: mbito de aplicacin

El estndar proporciona recomendaciones para aquellos que son responsables de la seleccin, implementacin y gestin de seguridad de la informacin. Puede o no puede ser utilizado en apoyo de un SGSI se especifica en la norma ISO / IEC 27001 .

Seccin 2: Normas para consulta

ISO / IEC 27000 es la nica norma se considera absolutamente indispensable para la utilizacin de la norma ISO / IEC 27002. Sin embargo, varias otras normas se mencionan en la norma, y no existe una bibliografa.

Seccin 3: Trminos y definiciones

Todos los trminos y definiciones especializadas estn definidas en ISO / IEC 27000 y la mayora se aplican a toda la familia ISO27k de las normas.

Seccin 4: La estructura de esta norma

Clusulas de control de seguridad

De las 20 secciones o captulos de la norma, 14 especifican los objetivos de control y controles. Estos 14 son las clusulas de control de seguridad. Hay una estructura estndar dentro de cada clusula de control: uno o ms subsecciones de primer nivel, cada uno indicando un objetivo de control, y cada objetivo de control est soportado a su vez por uno o ms controles establecidos, cada uno de control seguido por la orientacin y la aplicacin asociada, en algunos casos, las notas explicativas adicionales. La cantidad de detalles que se encarga de las que son cerca de 90 pginas A4 estndar de longitud.

35 objetivos de control
ISO / IEC 27002 especifica unos 35 objetivos de control (uno por "categora de control de seguridad") para proteger la confidencialidad, integridad y disponibilidad de la informacin. Los objetivos de control estn a un nivel bastante alto y, de hecho, constituyen una especificacin genrica requisitos funcionales para la arquitectura de la informacin de gestin de la seguridad de una organizacin. Pocos profesionales discutiran seriamente la validez de los objetivos de control, o, dicho de que otra manera, sera difcil argumentar que una organizacin necesita no se ajusta a los objetivos de control establecidos en general. Sin embargo, algunos de los objetivos de control no son aplicables en cada caso y su formulacin genrica es poco probable que refleje los requisitos precisos, sobre todo teniendo en cuenta la amplia gama de organizaciones a las que se aplica la norma.

114 + + controles +
Cada uno de los objetivos de control se apoya en al menos una de control , dando un total de 114. Sin embargo, la figura del ttulo es un poco engaoso ya que la gua de implementacin recomienda numerosos controles reales. El objetivo de control con respecto a la relativamente simple subsubseccin 9.4.2 "Secure log-sobre los procedimientos", por ejemplo, con el apoyo de la eleccin, la aplicacin y el uso de tcnicas de autenticacin adecuadas, no revelar informacin confidencial en el registro de los tiempos, la validacin de entrada de datos , proteccin contra ataques de fuerza bruta, la tala, que no transmiten las contraseas en claro por la red, tiempos de espera de inactividad de la sesin, y las restricciones de tiempo de acceso. Si se tiene en cuenta que para ser uno o varios controles depende de usted. Se podra argumentar que la norma ISO / IEC 27002 recomienda

literalmente cientos , tal vez incluso miles de diferentes controles de seguridad de la informacin. Por otra parte, la redaccin en todo el estndar establece claramente o implica que este no es un conjunto totalmente integral. Una organizacin puede tener algo diferente o informacin completamente nuevos objetivos de control de seguridad, que requiere otros controles en lugar de o adems de los indicados en la norma.

Seccin 5: Polticas de seguridad de la informacin 5.1 Direccin de gestin de seguridad de la informacin

La direccin debera definir un conjunto de polticas para aclarar su direccin y apoyo, seguridad de la informacin. En el nivel superior, debe haber una "poltica de seguridad de la informacin" general como se especifica en la norma ISO / IEC 27001 punto 5.2.

Seccin 6: Organizacin de la seguridad de la informacin

6.1 Organizacin interna La organizacin debe establecer las funciones y responsabilidades de seguridad de la informacin, y asignarlos a los individuos. En su caso, las cuotas deben ser segregados en los roles y las personas a fin de evitar conflictos de inters y evitar actividades inapropiadas. No debe haber contactos con las autoridades externas pertinentes (como los CERT y los grupos de intereses especiales) en materia de seguridad de la informacin. Seguridad de la informacin debe ser una parte integral de la gestin de todo tipo de proyectos. 6.2 Los dispositivos mviles y el teletrabajo Debe haber polticas de seguridad y los controles de los dispositivos mviles (como los ordenadores porttiles, tablet PCs, dispositivos TIC porttiles, telfonos inteligentes, dispositivos USB y otros nios Juguetes) y el teletrabajo (como el teletrabajo, el trabajo, desde casa, carretera-guerreros, y remotos / lugares de trabajo virtuales).

Seccin 7: Seguridad de los recursos humanos

7.1 Antes del empleo

Responsabilidades de seguridad deben tenerse en cuenta en la contratacin de trabajadores fijos, contratistas y agentes temporales ( por ejemplo, . travs de descripciones de trabajo adecuadas, la deteccin pre-empleo) y se incluyen en los contratos ( por ej . trminos y condiciones de empleo y otros acuerdos firmados en los roles y responsabilidades de seguridad ). 7.2 Durante el empleo Los gerentes deben asegurar que los empleados y contratistas se hacen conscientes y motivados para cumplir con sus obligaciones de seguridad de la informacin. Un proceso disciplinario formal es necesaria para manejar las brechas de seguridad de la informacin. 7.3 Cancelacin y cambio de empleo Aspectos de seguridad de salida de una persona de la organizacin o los cambios significativos de los roles deben ser manejados, como devolver la informacin y equipos de las empresas en su poder, la actualizacin de sus derechos de acceso, y recordarles sus obligaciones en curso bajo las leyes de privacidad, trminos contractuales , etc

Seccin 8: La gestin de activos 8.1 Responsabilidad de los activos

Todos los activos de informacin deben ser inventariados y los propietarios deben ser identificados para ser responsables de su seguridad. Polticas de "uso aceptable" deben definirse, y los bienes deben ser devueltos cuando las personas dejen la organizacin. 8.2 Clasificacin de la informacin La informacin debe ser clasificada y etiquetada por sus propietarios de acuerdo con la proteccin de seguridad necesaria, y manejado adecuadamente.

8.3 Manejo de los soportes

Medios de almacenamiento de informacin deben ser manejados, controlados, mover y eliminar de tal forma que el contenido de la informacin no se vea comprometida.

Seccin 9: Control de acceso

9.1 Los requisitos de negocio de control de acceso

Los requisitos de la organizacin para controlar el acceso a los activos de informacin deben estar claramente documentados en una poltica y procedimientos de control de acceso. Acceso a la red y las conexiones deben ser restringidos.

9.2 Gestin de acceso del usuario

La asignacin de derechos de acceso a los usuarios debe ser controlada desde el registro inicial del usuario a travs de la eliminacin de los derechos de acceso cuando ya no sean necesarios, incluyendo las restricciones especiales para los derechos de acceso privilegiado y la gestin de contraseas (que ahora se llama "informacin secreta de autenticacin"), adems de las revisiones peridicas y actualizaciones de los derechos de acceso.

9.3 Responsabilidades del usuario

Los usuarios deben ser conscientes de su responsabilidad para el mantenimiento de controles de acceso eficaces , por ejemplo . elegir contraseas seguras y mantenerlas confidenciales.

9.4 Sistema de control de acceso y la aplicacin

Acceso a la informacin debe ser restringida de acuerdo con la poltica de control de acceso, por ejemplo a travs de Secure log-on, administracin de contraseas, control de los servicios pblicos privilegiados y el acceso restringido al cdigo fuente del programa.

Seccin 10: Criptografa 10.1 Controles criptogrficos

Debe haber una poltica sobre el uso de cifrado, adems de la autenticacin criptogrfica y controles de integridad, tales como firmas digitales y cdigos de autenticacin de mensajes y gestin de claves criptogrficas.

Seccin 11: Seguridad fsica y ambiental

11.1 Las reas seguras

Definicin de permetros y barreras fsicas, con controles de entrada fsicas y procedimientos de trabajo, debe proteger los locales, oficinas, salas, entrega / zonas de carga , etc contra el acceso no autorizado. Asesoramiento especializado debe buscarse en relacin con la proteccin contra incendios, inundaciones, terremotos, bombas , etc 11.2 Seguridad de los equipos "Equipo" (equipos sentido las TIC, principalmente), adems de los servicios de apoyo (tales como la energa y aire acondicionado) y el cableado deben estar protegidos y mantenidos.Equipo e informacin no deben tomarse fuera de las instalaciones sin autorizacin, y deben ser protegidos adecuadamente, tanto dentro como fuera de las instalaciones. La informacin debe ser destruida antes de que los medios de almacenamiento que se retiren o reutilizado. Equipos desatendida se debe asegurar y debe haber un escritorio y una poltica clara de pantalla transparente.

Seccin 12: Gestin de Operaciones 12.1 Procedimientos y responsabilidades operacionales

IT responsabilidades y procedimientos de operacin debe documentarse. Los cambios en las instalaciones de TI y los sistemas deben ser controlados. Capacidad y rendimiento deben ser manejados. Sistemas de desarrollo, prueba y operacin deben ser separados.

12.2 Proteccin contra malware

Se requieren controles de malware, como el conocimiento del usuario.

12.3 Backup
Copias de seguridad apropiadas deben tomarse y conservarse de acuerdo con una poltica de copia de seguridad.

12.4 Registro y control

Usuario del sistema y Administrador / Operador actividades, excepciones, fallas y eventos de seguridad de la informacin deben ser registrados y protegidos. Los relojes deben estar sincronizados.

12.5 de control de software operativo

Instalacin del controlados.

software

en

los

sistemas

operativos

deben

ser

12.6 de gestin de vulnerabilidades tcnicas

Vulnerabilidades tcnicas se han parcheado, y no debe haber normas vigentes que rigen la instalacin de software por los usuarios.

12.7 Sistemas de informacin consideraciones de auditora

Auditoras de TI debe ser planificada y controlada para minimizar los efectos adversos en los sistemas de produccin, o el acceso a datos inadecuados.

13 Seguridad de las comunicaciones 13.1 de gestin de seguridad de red

Redes y servicios de red deben asegurarse, por ejemplo, mediante la segregacin.

13.2 La transferencia de informacin

Debe haber polticas, procedimientos y acuerdos ( por ejemplo, acuerdos de confidencialidad) sobre la transferencia de informacin a / de terceros, incluyendo la mensajera electrnica.

Seccin 14: Sistema mantenimiento

de

adquisicin,

desarrollo

14.1 Requisitos de seguridad de sistemas de informacin

Los requisitos de control de seguridad deben ser analizados y especificados, incluyendo aplicaciones web y transacciones.

14.2 Seguridad en los procesos de desarrollo y soporte

Normas sobre software seguro / desarrollo de sistemas deben definirse como la poltica. Los cambios en los sistemas (tanto para aplicaciones y sistemas operativos) deben ser controlados. Los paquetes de software no deben idealmente ser modificados, y los principios de ingeniera de sistemas seguros deben ser seguidas. El entorno de desarrollo debe ser asegurada, y el desarrollo subcontratado debe ser controlado. La

seguridad del sistema debe ser probado y criterios de aceptacin definido para incluir aspectos de seguridad.

14.3 Los datos de prueba

Los datos de prueba deben seleccionarse / generados y controlados cuidadosamente.

15: Relaciones con los proveedores 15.1 Seguridad de la informacin en relacin con los proveedores
Debe haber polticas, procedimientos, conciencia , etc para proteger la informacin de la organizacin que sea accesible a subcontratistas de TI y otros proveedores externos en toda la cadena de suministro, acordados en los contratos o convenios.

15,2 gestin de la prestacin de servicios de proveedor

La prestacin de servicios por proveedores externos debe ser monitoreado y revisado / auditar contra los contratos / acuerdos. Cambios de servicios deben ser controlados. [Exactamente lo mismo se aplica a los servicios prestados por proveedores internos, por cierto!]

Seccin 16: Informacin seguridad

de

gestin de

incidentes de

16.1 Gestin de los incidentes de seguridad de la informacin y mejoras No debe haber responsabilidades y procedimientos para la gestin (informar, evaluar, responder y aprender de) los eventos de seguridad de informacin, los incidentes y las debilidades coherente y eficaz, y para recolectar evidencia forense.

Seccin 17: Informacin de los aspectos de seguridad de la gestin de la continuidad del negocio 17.1 Informacin de la continuidad de seguridad

La continuidad de la seguridad de la informacin debe ser planificado, implementado y revisado como parte integral de los sistemas de gestin de continuidad de negocio de la organizacin.

17.2 Despidos
Instalaciones de TI deben tener redundancia suficiente para satisfacer los requisitos de disponibilidad.

Seccin 18: Cumplimiento 18.1 Cumplimiento de los requisitos legales y contractuales

La organizacin debe identificar y documentar sus obligaciones con las autoridades externas y de terceros en relacin con la seguridad de la informacin, incluida la propiedad intelectual, [de negocios] expedientes, privacidad / informacin de identificacin personal y la criptografa.

18,2 opiniones seguridad de la informacin

Acuerdos de seguridad de la informacin de la organizacin deben ser revisados de manera independiente (auditado) y reportados a la gerencia. Los administradores tambin deben revisar rutinariamente empleados y de los sistemas de cumplimiento de las polticas de seguridad, procedimientos , etc e iniciar acciones correctivas cuando sea necesario.

Bibliografa
La norma concluye con una lista de lectura de largo de 27 (!) Las normas ISO / IEC pertinentes.

27002 gua de implementacin ISO / IEC SGSI

Una coleccin de guas de implementacin del SGSI y documentos de muestra est disponible para descargar en el libre ISO27k Herramientas y consejos de aplicacin se roci abundantemente en toda nuestra ISO27k FAQ . ISO / IEC 27003 proporciona orientacin genrica implementacin del SGSI.

Tambin hay unos cuantos 'sectorial' SGSI implementacin de las guas es decir, ISO / IEC 27011 para el sector de telecomunicaciones, ISO / IEC TR 27015 para los servicios financieros,la norma ISO 27799 para la atencin sanitaria y (en su momento) ISO / IEC 27019 para el control del proceso en el sector energtico.

Consultado de http://www.iso27001security.com/html/27002.html#StructureAndFormatOfISO17799 El 11/10/2013