viernes, 5 de junio de 2015

ISO/IEC 27002

Precedentes y evolución histórica


El estándar ISO/IEC 17799 tiene su origen en el British 
Standard BS 7799-1 que fue publicado por primera vez 
en 1995. En el año 2000 la International Organization for 
Standardization y la Comisión Electrotécnica 
Internacional publicaron el estándar ISO/IEC 17799:2000, 
con el título de Information technology - Security techniques - 
Code of practice for information security management. Tras 
un periodo de revisión y actualización de los contenidos del 
estándar, se publicó en el año 2005 el documento 
modificado ISO/IEC 17799:2005.

Con la aprobación de la norma ISO/IEZAC 27001 en octubre 
de 2005 y la reserva de la numeración 27.000 para la 
Seguridad de la Información, el estándar IGFSO/DIEC 
17799:2005 pasó a ser renombrado como ISO/IEC 27002 en 
el año 2007.


Publicación de la norma en diversos países
En España existe la publicación nacional UNE-ISO/IEC 
17799, que fue elaborada por el comité técnico AEN/CTN 71 
y titulada Código de buenas prácticas para la Gestión de la 
Seguridad de la Información, que es una copia idéntica y 
traducida del inglés de la Norma Internacional ISO/IEC 
17799:2000. La edición en español equivalente a la revisión 
ISO/IEC 17799:2005 se estima que esté disponible en la 
segunda mitad del año 2006.

En Perú la ISO/IEC 17799:2000 es de uso obligatorio en 
todas las instituciones públicas desde agosto del 2004, 
estandarizando de esta forma los diversos proyectos y 
metodologías en este campo, respondiendo a la necesidad 
de seguridad por el uso intensivo de Internet y redes de 
datos institucionales, la supervisión de su cumplimiento esta 
a cargo de la Oficina Nacional de Gobierno Electrónico e 
Informática - ONGEI (www.ongei.gob.pe).

En Chile, se empleó la ISO/IEC 17799:2005 para diseñar la 
norma que establece las características mínimas obligatorias 
de seguridad y confidencialidad que deben cumplir los 
documento electrónicos de los órganos de la Administración 
del Estado de la República de Chile, y cuya aplicación se 
recomienda para los mismos fines, denominado Decreto 
Supremo No. 83, "NORMA TÉCNICA SOBRE SEGURIDAD 

Y CONFIDENCIALIDAD DEL DOCUMENTO 
ELECTRÓNICO".

En Bolivia, se aprobó la primera traducción bajo la sigla NB 

ISO/IEC 17799:2003 por el Instituto de Normalización y 
calidad IBNORCA el 14 de noviembre del año 2003. Durante 
el año 2007 se aprobó una actualización a la norma bajo la 
sigla NB ISO/IEC 17799:2005. Actualmente el IBNORCA ha 
emitido la norma NB ISO/IEC 27001 y NB ISO/IEC 27002.

El estándar ISO/IEC 17799 tiene equivalentes directos en 
muchos otros países. La traducción y publicación local suele 
demorar varios meses hasta que el principal estándar 
ISO/IEC es revisado y liberado, pero el estándar nacional 
logra así asegurar que el contenido haya sido precisamente 
traducido y refleje completa y fehacientemente el estándar 
ISO/IEC 17799. A continuación se muestra una tabla con los 
estándares equivalentes de diversos países:
PaísesEstándar equivalente
Bandera de Australia
Bandera de Nueva Zelanda
AS/NZS ISO/IEC 27002:2006
Bandera de BrasilISO/IEC NBR 17799/2007 - 27002
Bandera de la República ChecaČSN ISO/IEC 27002:2006
Bandera de DinamarcaDS484:2005
Bandera de EstoniaEVS-ISO/IEC 17799:2003, 2005 versión en traducción
Bandera de JapónJIS Q 27002
Bandera de LituaniaLST ISO/IEC 17799:2005
Bandera de los Países BajosNEN-ISO/IEC 17799:2002 nl, 2005 versión en traducción
Bandera de PoloniaPN-ISO/IEC 17799:2007, basada en ISO/IEC 17799:2005
Bandera del PerúNTP-ISO/IEC 17799:2007
Bandera de BoliviaNB-ISO/IEC 17799:2005
Bandera de SudáfricaSANS 17799:2005
Bandera de EspañaUNE 71501
Bandera de SueciaSS 627799
Bandera de TurquíaTS ISO/IEC 27002
Bandera del Reino UnidoBS ISO/IEC 27002:2005
Bandera de UruguayUNIT/ISO 17799:2005
Bandera de ChileBS ISO/IEC 27002:2005
Bandera de RusiaГОСТ/Р ИСО МЭК 17799-2005
Bandera de la República Popular ChinaGB/T 22081-2008





Directrices del estándar

ISO/IEC 27002 proporciona recomendaciones de las 
mejores prácticas en la gestión de la seguridad de la 
información a todos los interesados y responsables en 
iniciar, implantar o mantener sistemas de gestión de la 
seguridad de la información. La seguridad de la información 
se define en el estándar como "la preservación de la 
confidencialidad (asegurando que sólo quienes estén 
autorizados pueden acceder a la información), integridad 
(asegurando que la información y sus métodos de proceso 
son exactos y completos) y disponibilidad (asegurando que 
los usuarios autorizados tienen acceso a la información y a 
sus activos asociados cuando lo requieran)".
La versión de 2013 del estándar describe los siguientes 
catorce dominios principales:
  1. Organización de la Seguridad de la Información.
  2. Seguridad de los Recursos Humanos.
  3. Gestión de los Activos.
  4. Control de Accesos.
  5. Criptografía.
  6. Seguridad Física y Ambiental.
  7. Seguridad de las Operaciones: procedimientos y responsabilidades; protección contra malware; resguardo; registro de actividad y monitorización; control del software operativo; gestión de las vulnerabilidades técnicas; coordinación de la auditoría de sistemas de información.
  8. Seguridad de las Comunicaciones: gestión de la seguridad de la red; gestión de las transferencias de información.
  9. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de información; seguridad en los procesos de desarrollo y soporte; datos para pruebas.
  10. Relaciones con los Proveedores: seguridad de la información en las relaciones con los proveedores; gestión de la entrega de servicios por proveedores.
  11. Gestión de Incidencias que afectan a la Seguridad de la Información: gestión de las incidencias que afectan a la seguridad de la información; mejoras.
  12. Aspectos de Seguridad de la Información para la Gestión de la Continuidad del Negocio: continuidad de la seguridad de la información; redundancias.
  13. Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad de la información.



Dentro de cada sección, se especifican los objetivos de los 
distintos controles para la seguridad de la información. Para 
cada uno de los controles se indica asimismo una guía para 
su implantación. El número total de controles suma 114 entre 
todas las secciones aunque cada organización debe 
considerar previamente cuántos serán realmente los 
aplicables según sus propias necesidades.

Certificación

La norma ISO/IEC 17799 es una guía de buenas prácticas y 
no especifica los requisitos necesarios que puedan permitir 
el establecimiento de un sistema de certificación adecuado 
para este documento.
La norma ISO/IEC 27001 (Information technology - Security 
techniques - Information security management systems - 
Requirements) sí es certificable y especifica los requisitos 
necesarios para establecer, implantar, mantener y mejorar 
un Sistema de Gestión de la Seguridad de la Información 
según el famoso “Círculo de Deming”: PDCA - acrónimo 
de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). 
Es consistente con las mejores prácticas descritas en 
ISO/IEC 17799 y tiene su origen en la norma británica British 
Standard BS 7799-2 publicada por primera vez en 1998 y 
elaborada con el propósito de poder certificar los Sistemas 
de Gestión de la Seguridad de la Información implantados en 
las organizaciones y por medio de un proceso formal de 
auditoría realizado por un tercero.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)