2 - Fundamentos ISO 27002

ISO/IEC 27002:2005
Marcos Sotelo B. [email protected] Lima-Per, Febrero 2012
ISO/IEC 27002:2005
Basado en BS 7799-1:1999 ISO
17799:2000. Se utiliza como un documento de
referencia.
Provee un conjunto de controles de seguridad. NO es certificable.
ISO/IEC 27002:2005
Introduccin
0. Introduccin 1. Alcance 2. Trminos y definiciones 3. Estructura del estndar
Anlisis de riesgos
4.1 Identificacin de riesgos de seguridad de la informacin 4.2 Tratamiento de riesgos de seguridad de la informacin
Objetivos de control y controles
11 Dominios 39 Objetivos de control 133 Controles
ISO/IEC 27002:2005
Seccin 0: Introduccin
Qu es Informacin & Seguridad de la Informacin
La informacin es un activo, se encuentra en diferentes formas, debe ser protegida, etc.
Por qu es necesaria la Seguridad de la Informacin Requerimientos de seguridad Cmo establecerlos? Evaluacin de los riesgos de seguridad Seleccin de controles Punto de partida para la seguridad de la informacin Factores crticos de xito
Algunos aspectos han sido revisados en las secciones anteriores
ISO/IEC 27002:2005
Seccin 1: Alcance de la norma
Guas y principios generales para iniciar, implementar, mantener y mejorar la gestin de la seguridad de la informacin en la organizacin.
ISO/IEC 27002:2005
Seccin 2: Trminos y definiciones
Seguridad de la Informacin: Integridad. Confidencialidad. Disponibilidad.
Autenticidad, responsabilidad (accountability), no-repudio, confiabilidad.
ISO/IEC 27002:2005
Seccin 2: Trminos y definiciones
Seccin ampliada con mayor cantidad de trminos Aclaran y precisan el concepto de algunos trminos usados en la norma:
Infraestructura de procesamiento de informacin (facilities). Seguridad de la Informacin. Eventos de Seguridad de la Informacin. Incidentes de Seguridad de la Informacin. Definiciones relacionadas con el Riesgo.
ISO/IEC 27002:2005
Seccin 2: Trminos y definiciones Definicin de Trminos:
Asset, Control, Guideline, Information Processing Security, Facilities, Information Event,
Information
Security
Information
Security
Incident,
Policy,
Risk, Risk Analysis, Risk Assessment, Risk Evaluation, Risk Management, Risk Treatment, Vulnerability. Third Party, Threat,
ISO/IEC 27002:2005
Seccin 3: Estructura del estndar
This standard contains 11 security control clauses
collectively containing a total of 39 main security categories and one introductory clause introducing risk assessment
and treatment 11 Clusulas

39 Categoras principales de seguridad
133
1
Controles
Clusula introductoria Evaluacin y tratamiento del riesgo
MSC: Main Security Category Categora principal de seguridad: Objetivo de control
ISO/IEC 27002:2005
Seccin 3: Estructura del estndar 3.1 Clauses (# of Main Sec) - Dominios o reas
Security Policy (1) Organizing Information Security (2) Asset Management (2) Human Resources Security (3) Physical and Environmental Security (2) Communications a Operations Management (10) Access Control (7) Information Systems Acquisition, Development and Maintenance (6) Information Security Incident Management (2) Business Continuity Management (1) Compliance (3)
ISO/IEC 27002:2005
Seccin 3: Estructura del estndar 3.2 Main Security Categories
Define qu contiene cada MSC (Main Security Category). Un objetivo de control que establece qu se pretende lograr. Uno o ms controles que pueden ser aplicados para lograr el objetivo de control.
Describe la estructura de los controles: Control. Implementation Guide. Other information (e.g. reference to other standards..).
ISO/IEC 27002:2005
Seccin 4: Evaluacin y tratamiento del riesgo
4.1 4.2 Evaluacin de los riesgos de seguridad. Tratamiento de los riesgos de seguridad.
ISO/IEC 27002:2005
Seccin 4: Evaluacin y tratamiento del riesgo
Define los conceptos de: Evaluacin de los riesgos de seguridad
Identificar, cuantificar y priorizar. Aproximacin sistemtica, realizada peridicamente, con un alcance claramente definido.
Tratamiento de los riesgos de seguridad Criterios para aceptacin del riesgo, opciones para tratamiento del riesgo para cada riesgo identificado en RA
Dominios Anexo A 27001 / Contenido 27002

Poltica de seguridad Organizacin de la seguridad de la informacin Gestin de activos Seguridad de los recursos humanos Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de acceso Adquisicin, desarrollo y mantenimiento de S.I. Gestin de incidentes de seguridad de informacin Gestin de la continuidad de negocio Cumplimiento
Relacin ISO 27001 ISO 27002
Optimizacin de la efectividad de la seguridad de la informacin. Diferenciacin de la competencia. Satisfaccin de los requerimientos de los clientes. nico estndar con aceptacin mundial. Potenciales descuentos en seguros y plizas.
Debida diligencia.

2 - Fundamentos ISO 27002

Cargado por

Copyright:

Formatos disponibles

2 - Fundamentos ISO 27002

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

2 - Fundamentos ISO 27002

Cargado por

Copyright:

Formatos disponibles

ISO/IEC 27002:2005

Marcos Sotelo B. [email protected] Lima-Per, Febrero 2012

Objetivos de control y controles

11 Dominios 39 Objetivos de control 133 Controles

Autenticidad, responsabilidad (accountability), no-repudio, confiabilidad.

and treatment 11 Clusulas

MSC: Main Security Category Categora principal de seguridad: Objetivo de control

Dominios Anexo A 27001 / Contenido 27002

Relacin ISO 27001 ISO 27002

También podría gustarte