Académique Documents
Professionnel Documents
Culture Documents
Enlaces rpidos
Introduccin a la norma ISO / IEC ( alcance y relacin con la norma ISO / IEC 27001 ) 27002 Estructura y formato de la norma ISO / IEC 27002:2013 Contenido de la norma ISO / IEC 27002:2013 (resumen de las secciones 19 +) Gua de implementacin de SGSI y ms recursos Estado de la norma Comentarios personales
Introduccin
ISO / IEC 27002 es un popular internacionalmente reconocidas normas de buenas prcticas para la seguridad de la informacin. ISO / IEC 27002 remonta su historia ms de 30 aos de los precursores de la BS 7799.
La norma se refiere explcitamente a la informacin de seguridad, es decir, la seguridad de todas las formas de informacin ( por ejemplo, los datos informticos, documentacin, conocimiento y propiedad intelectual) y no slo / seguridad de los sistemas IT o "ciberseguridad", como es la moda.
implica la tecnologa ms los procedimientos y polticas de gestin / administracin y uso asociados. Esto ha dado lugar a algunas rarezas (como la seccin 6.2 en los dispositivos mviles y el teletrabajo es parte de la seccin 6 en la organizacin de la seguridad de la informacin), pero es al menos una estructura razonablemente completo. Puede que no sea perfecto, pero es lo suficientemente bueno.
Prefacio
Brevemente menciona ISO / IEC JTC1/SC 27, el comit que redact la norma, y seala que esta "segunda edicin cancela y reemplaza la primera edicin (ISO / IEC 27002:2005), que ha sido revisada tcnicamente y estructuralmente".
Seccin 0: Introduccin
Esto establece el fondo, menciona tres orgenes de los requisitos de seguridad de la informacin, seala que la norma ofrece orientacin genrica y potencialmente incompleta, que debe interpretarse en el contexto de la organizacin, se menciona la informacin y sus ciclos de vida del sistema, y los puntos de la norma ISO / IEC 27000 para el conjunto estructura y glosario ISO27k.
De las 20 secciones o captulos de la norma, 14 especifican los objetivos de control y controles. Estos 14 son las clusulas de control de seguridad. Hay una estructura estndar dentro de cada clusula de control: uno o ms subsecciones de primer nivel, cada uno indicando un objetivo de control, y cada objetivo de control est soportado a su vez por uno o ms controles establecidos, cada uno de control seguido por la orientacin y la aplicacin asociada, en algunos casos, las notas explicativas adicionales. La cantidad de detalles que se encarga de las que son cerca de 90 pginas A4 estndar de longitud.
35 objetivos de control
ISO / IEC 27002 especifica unos 35 objetivos de control (uno por "categora de control de seguridad") para proteger la confidencialidad, integridad y disponibilidad de la informacin. Los objetivos de control estn a un nivel bastante alto y, de hecho, constituyen una especificacin genrica requisitos funcionales para la arquitectura de la informacin de gestin de la seguridad de una organizacin. Pocos profesionales discutiran seriamente la validez de los objetivos de control, o, dicho de que otra manera, sera difcil argumentar que una organizacin necesita no se ajusta a los objetivos de control establecidos en general. Sin embargo, algunos de los objetivos de control no son aplicables en cada caso y su formulacin genrica es poco probable que refleje los requisitos precisos, sobre todo teniendo en cuenta la amplia gama de organizaciones a las que se aplica la norma.
114 + + controles +
Cada uno de los objetivos de control se apoya en al menos una de control , dando un total de 114. Sin embargo, la figura del ttulo es un poco engaoso ya que la gua de implementacin recomienda numerosos controles reales. El objetivo de control con respecto a la relativamente simple subsubseccin 9.4.2 "Secure log-sobre los procedimientos", por ejemplo, con el apoyo de la eleccin, la aplicacin y el uso de tcnicas de autenticacin adecuadas, no revelar informacin confidencial en el registro de los tiempos, la validacin de entrada de datos , proteccin contra ataques de fuerza bruta, la tala, que no transmiten las contraseas en claro por la red, tiempos de espera de inactividad de la sesin, y las restricciones de tiempo de acceso. Si se tiene en cuenta que para ser uno o varios controles depende de usted. Se podra argumentar que la norma ISO / IEC 27002 recomienda
literalmente cientos , tal vez incluso miles de diferentes controles de seguridad de la informacin. Por otra parte, la redaccin en todo el estndar establece claramente o implica que este no es un conjunto totalmente integral. Una organizacin puede tener algo diferente o informacin completamente nuevos objetivos de control de seguridad, que requiere otros controles en lugar de o adems de los indicados en la norma.
Responsabilidades de seguridad deben tenerse en cuenta en la contratacin de trabajadores fijos, contratistas y agentes temporales ( por ejemplo, . travs de descripciones de trabajo adecuadas, la deteccin pre-empleo) y se incluyen en los contratos ( por ej . trminos y condiciones de empleo y otros acuerdos firmados en los roles y responsabilidades de seguridad ). 7.2 Durante el empleo Los gerentes deben asegurar que los empleados y contratistas se hacen conscientes y motivados para cumplir con sus obligaciones de seguridad de la informacin. Un proceso disciplinario formal es necesaria para manejar las brechas de seguridad de la informacin. 7.3 Cancelacin y cambio de empleo Aspectos de seguridad de salida de una persona de la organizacin o los cambios significativos de los roles deben ser manejados, como devolver la informacin y equipos de las empresas en su poder, la actualizacin de sus derechos de acceso, y recordarles sus obligaciones en curso bajo las leyes de privacidad, trminos contractuales , etc
Definicin de permetros y barreras fsicas, con controles de entrada fsicas y procedimientos de trabajo, debe proteger los locales, oficinas, salas, entrega / zonas de carga , etc contra el acceso no autorizado. Asesoramiento especializado debe buscarse en relacin con la proteccin contra incendios, inundaciones, terremotos, bombas , etc 11.2 Seguridad de los equipos "Equipo" (equipos sentido las TIC, principalmente), adems de los servicios de apoyo (tales como la energa y aire acondicionado) y el cableado deben estar protegidos y mantenidos.Equipo e informacin no deben tomarse fuera de las instalaciones sin autorizacin, y deben ser protegidos adecuadamente, tanto dentro como fuera de las instalaciones. La informacin debe ser destruida antes de que los medios de almacenamiento que se retiren o reutilizado. Equipos desatendida se debe asegurar y debe haber un escritorio y una poltica clara de pantalla transparente.
12.3 Backup
Copias de seguridad apropiadas deben tomarse y conservarse de acuerdo con una poltica de copia de seguridad.
software
en
los
sistemas
operativos
deben
ser
de
adquisicin,
desarrollo
seguridad del sistema debe ser probado y criterios de aceptacin definido para incluir aspectos de seguridad.
15: Relaciones con los proveedores 15.1 Seguridad de la informacin en relacin con los proveedores
Debe haber polticas, procedimientos, conciencia , etc para proteger la informacin de la organizacin que sea accesible a subcontratistas de TI y otros proveedores externos en toda la cadena de suministro, acordados en los contratos o convenios.
de
gestin de
incidentes de
16.1 Gestin de los incidentes de seguridad de la informacin y mejoras No debe haber responsabilidades y procedimientos para la gestin (informar, evaluar, responder y aprender de) los eventos de seguridad de informacin, los incidentes y las debilidades coherente y eficaz, y para recolectar evidencia forense.
Seccin 17: Informacin de los aspectos de seguridad de la gestin de la continuidad del negocio 17.1 Informacin de la continuidad de seguridad
La continuidad de la seguridad de la informacin debe ser planificado, implementado y revisado como parte integral de los sistemas de gestin de continuidad de negocio de la organizacin.
17.2 Despidos
Instalaciones de TI deben tener redundancia suficiente para satisfacer los requisitos de disponibilidad.
Bibliografa
La norma concluye con una lista de lectura de largo de 27 (!) Las normas ISO / IEC pertinentes.
Tambin hay unos cuantos 'sectorial' SGSI implementacin de las guas es decir, ISO / IEC 27011 para el sector de telecomunicaciones, ISO / IEC TR 27015 para los servicios financieros,la norma ISO 27799 para la atencin sanitaria y (en su momento) ISO / IEC 27019 para el control del proceso en el sector energtico.