Eduardo Sánchez Piña Seguridad en Redes Familia ISO 27000: Seguridad Segu ridad de la Información Pro! Pro!ie iene ne de la norm norma a "S 77## 77## de "ri$ "ri$is ish h S$an S$anda dard rds s Ins$ Ins$i$ i$u$ u$io ion n %organización %organización &ri$ánica e'ui!alen$e a (E)OR en Es*aña+ creada en ,##- con el .n de facili$ar a cual'uier em*resa un con/un$o de &uenas *rác$icas *ara la gestión de la seguridad de la información a norma ISO 27001 fue a*ro&ada 1 *u&licada como es$ándar in$ernacional en oc$u&re de 200- *or In$erna$ional Organiza$ion for S$andardiza$ion 1 *or la comisión In$erna$ional Elec$ro$echnical ommission
Objetivos Es$a familia de normas 'ue $iene como o&/e$i!o de.nir re'uisi$os *ara un sistema de gestión de la seguridad de la información %SGSI+3 con el .n contro role les s de segu seguri rida dad d adec de garan$ ran$iizar la selección de cont adecua uado dos s 1 *ro* *ro*or orci cion onal ales es33 *ro$ *ro$eg egie iend ndo o as4 as4 la información3 es recom ecomen enda da&l &le e *ara *ara cual'uier em*resa grande o *e'ueña de cual'uier *ar$e del mundo 1 más información ón crítica crítica o es*e es*eci cial alme men$ n$e e *ara *ara a'ue a'uell llos os sec$ sec$or ores es 'ue 'ue $eng $engan an informaci ges$ionen la información de o$ras em*resas
FAI!IA 27000 "S#A$%A& &"S'"$ ISO ISO 27000 a Organización In$ernacional de Es$andarización %ISO+ recoge un e5$enso n6mero de normas den$ro de la familia de ISO 27000 ada norma $iene reser!ado una n6mero den$ro de una serie 'ue !an desde 27000 has$a 270,# 1 de 2700 a 27088 9amos a realizar un re*aso *or $odas las normas de la serie: Es$a es$andarización con$iene las de.niciones 1 los $rminos 'ue se u$ilizarán duran$e $oda la serie 27000 Para a*lica cual'uier norma$i!a necesi$a conocer un !oca&ulario *erfec$amen$e de.nido3 *or lo 'ue as4 e!i$aremos cual'uier mala in$er*re$ación de conce*$os $cnicos 1 ges$ión Es$a norma es gra$ui$a a diferencia de las demás de la serie de normas 'ue s4 'ue su*onen un cos$e *ara su im*lemen$ación La última versión de esta norma fue publicada en el año 2013. Es la norma principal de toda la serie ISO 27001 ya que incluye todos los requisitos del Sistema de estión de Se!uridad de la "nformación en las or!an or!ani#a i#acio ciones nes.. La "S$ 2%001 2%001 sustit sustituy uyee a la &S %%''(2 %%''(2 establ estableci eciend endo o unas unas condic condicion iones es de adaptación para aquellas empresas que se encuentren certificadas ba)o esta última. En el *ne+o * se enumeran los ob)etivos de control y los an,lisis que desarrolla la norma "S$2%001 para que se puedan seleccionar las empresas durante el pro!reso de sus Sistemas de estión de Se!uridad de la "nform "nformaci ación. ón. La empres empresaa podr, podr, ar!um ar!ument entar ar el -ec-o -ec-o de no aplica aplicarr los controle controless que no se encuentren implementados ya que no es obli!atorio.
ISO 27002
Es un manual de &uenas *rác$icas en la 'ue se descri&en los o&/e$i!os de con$r con$rol ol 1 las e!alua e!aluacio ciones nes reco recomend menda&l a&les es en cuan$o cuan$o a la seguri seguridad dad de la infor informac mación ión Es$a Es$a norma norma no es cer$i.c cer$i.ca&l a&le e En ella ella *odemo *odemos s encon$ encon$rar rar # o&/e$i o&/e$i!os !os de con$r con$rol ol 1 , con$r con$role oles s agru*a agru*ado dos s en ,, domini dominios os difer diferen$ en$es es
Ingeniero en com*u$ación
Eduardo Sánchez Piña ISO 2700(
omo se ha mencionado an$eriormen$e3 la norma ISO 2700, inclu1e un ane5o 'ue resume $odos los con$roles 'ue *odemos encon$rar en la norma ISO 27002 Es un manual *ara im*lemen$ar un Sis$ema de ;es$ión de Seguridad de la Información 1 además3 nos da la información necesaria *ara la u$ilización del ciclo P<9( %!iene de las siglas Plani.car3
o3 hec?3 (c$@+ 1 $odos los re'uerimien$os de sus diferen$es fases El origen de es$a norma se encuen$ra en el (ne5o " de la norma "S77##A2 1 en la serie de documen$os *u&licados a lo largo de diferen$es años con recomendaciones 1 gu4a de im*lemen$ación
ISO 2700)
En es$e es$ándar se es*eci.can las $cnicas de medida 1 las m$ricas 'ue son a*lica&les a la de$erminación de la e.cacia de un Sis$ema de ;es$ión de Seguridad de la Información 1 los con$roles relacionados as m$ricas se u$ilizan *ara la medición de los com*onen$es de las fases =im*lemen$ar 1 u$ilizar@ del ciclo deming
ISO 2700*
Es$a norma$i!a es$a&lece las diferen$es direc$rices *ara la ges$ión de los Riesgos en la Seguridad de la Información Se $ra$a de una norma de a*o1o a los conce*$os generales 'ue !ienen es*eci.cados en la ISO 2700, 1 se encuen$ra diseñada *ara a1udar a a*licar3 de una forma sa$isfac$oria3 la seguridad de la información &asada en un enfo'ue de ges$ión de riesgos Para com*render a la *erfección es$a norma es necesario conocer $odos los conce*$os3 modelos3 *rocesos 1 $rminos descri$os en la norma ISOA2700, e ISO 27002 >icha norma se *uede a*licar a $odo $i*o de organizaciones 'ue $ienen la in$ención de ges$ionar $odos los riesgos 'ue se *uedan dar en la em*resa en $emas de seguridad de la información
ISO 2700+
Es$e es$ándar es*ec4.ca $odos los re'uisi$os *ara lograr la acredi$ación de las en$idades de audi$or4a 1 cer$i.cación de Sis$ema de ;es$ión de Seguridad de la Información ISO 2700B se $ra$a de una !ersión re!isada de la E(A7C0 %re'uisi$os *ara la acredi$ación de en$idades+ 'ue añade a la ISOCIE ,702, %re'uisi$os *ara en$idades de audi$or4a 1 cer$i.cación de Sis$emas de ;es$ión+3 los re'uisi$os es*ec4.cos de la ISO 2700, 1 los del Sis$ema de ;es$ión de Seguridad de la Información (simismo3 es$a norma a1uda a in$er*re$ar $odos los cri$erios de acredi$ación de ISOCIE ,702, cuando se a*lican en organismos de cer$i.cación de la norma ISO 2700,3 *ero no se $ra$a de una norma de acredi$ación *or s4 misma
ISO 27007
Es un manual de audi$or4a de un Sis$ema de ;es$ión de Seguridad de la Información Es un es$ándar In$ernacional el cual ha sido creado *ara *ro*orcionar un modelo *ara es$a&lecer3 im*lemen$ar3 o*erar3 moni$orear3 re!isar3 man$ener 1 me/orar un Sis$ema de ;es$ión de Seguridad de la Información %S;SI+
ISO 2700,
ublicada el 1/ de $ctubre de 2011. o certificable. Es una !ua de auditora de los controles seleccionados en el marco de implantación de un SS". En España esta norma no est, traducida. El
Ingeniero en com*u$ación
Eduardo Sánchez Piña ori!inal en in!ls puede adquirirse en iso.or!. *ctualmente en proceso de revisión para su actuali#ación.
ISO 2700-
En es$ado de desarrollo )o cer$i.ca&le Es una gu4a so&re el uso 1 a*licación de los *rinci*ios de ISOCIE 2700, *ara el sec$or ser!icios es*ecif4cos en emisión de cer$i.caciones acredi$adas de $ercera *ar$e
ISO 27010
ublicada el 20 de $ctubre de 2012. 4onsiste en una !ua para la !estión de la se!uridad de la información cuando se comparte entre or!ani#aciones o sectores. "S$5"E4 2%01062012 es aplicable a todas las formas de intercambio y difusión de información sensibles tanto públicas como privadas a nivel nacional e internacional dentro de la misma industria o sector de mercado o entre sectores. En particular puede ser aplicable a los intercambios de información y participación en relación con el suministro mantenimiento y protección de una or!ani#ación o de la infraestructura crtica de los estados y naciones. *ctualmente en proceso de revisión para su actuali#ación.
ISO 27011
Es una gu4a de ges$ión de seguridad de la información es*ec4.ca *ara $elecomunicaciones
ISO 2701(
Pu&licada el ,- de Oc$u&re de 20,2 Es una gu4a de im*lemen$ación in$egrada de ISOCIE 2700,:200- %ges$ión de seguridad de la información+ 1 de ISOCIE 20000A, %ges$ión de ser!icios I+ (c$ualmen$e .nalizando el *roceso de re!isión *ara su ac$ualización
ISO 2701)
Pu&licada el 2 de (&ril de 20, onsis$irá en una gu4a de go&ierno cor*ora$i!o de la seguridad de la información
ISO 2701*
Pu&licada el 2 de )o!iem&re de 20,2 Es una gu4a de S;SI orien$ada a organizaciones del sec$or .nanciero 1 de seguros 1 como com*lemen$o a ISOCIE 27002:200-
ISO 2701+
Pu&licada el 20 de Fe&rero de 20,8 Es una gu4a de !aloración de los as*ec$os .nancieros de la seguridad de la información
ISO 27017
En fase de desarrollo3 con *u&licación *re!is$a en 20,- onsis$irá en una gu4a de seguridad *ara loud om*u$ing
ISO 2701,
Pu&licada el 2# de ulio de 20,8 Es un código de &uenas *rác$icas en con$roles de *ro$ección de da$os *ara ser!icios de com*u$ación en cloud com*u$ing
ISO 2701-
Pu&licada el ,7 de ulio de 20, ;u4a con referencia a ISOCIE 27002:200*ara el *roceso de sis$emas de con$rol es*ec4.cos relacionados con el sec$or de la indus$ria de la energ4a (c$ualmen$e en *roceso de re!isión *ara su ac$ualización
Ingeniero en com*u$ación
Eduardo Sánchez Piña 7eferencias El portal de "S$ 2%001 en Español. 820129. ISO 27000.es. 7ecuperado el 12 de Septiembre de 201/ de -ttp655iso2%000.es5inde+.-tml "S$ S. 821 de Enero de 201/9. La familia de normas "S$ 2%000. Blog Calidad y Exelencia . 7ecuperado el 12 de Septiembre de 201/ de :;;S655<<<."S$;$$LS.$754*;E$7=5S"S;E>*S(?E(ES;"$( $7>*L"@*?$S
Ingeniero en com*u$ación