NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27005 2009-08-19
TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN
PRÓLOGO
El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo nacional de normalización, según el Decreto 2269 de 1993.
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los mercados interno y externo. La representación de todos los sectores involucrados en el proceso de Normalización Técnica está garantizada por los Comités Técnicos y el período de Consulta Pública, este último caracterizado por la participación del público en general. La NTC-ISO/IEC 27005 fue ratificada por el Consejo Directivo de 2009-08-19. Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales. A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a
CARGA S.A. CHAID NEME HERMANOS CIBERCALL S.A. CITIBANK COLEGIO LA PRESENTACIÓN - DUITAMA COMFENALCO TOLIMA COMPAÑÍA AGRÍCOLA DE SEGUROS DE VIDA CONTRALORÍA DE BOGOTA CONTRALORÍA DE CUNDINAMARCA COOPERATIVA SANTANDEREANA DE TRANSPORTADORES LTDA. CORPORACIÓN FINANCIERA DEL VALLE CREANGEL LTDA. D.S. SISTEMAS LTDA. DATIC SA DELOITTE DEPARTAMENTO NACIONAL DE PLANEACIÓN DESCA DITRANSA ETEK INTERNACIONAL EXPRESS DEL FUTURO S.A.
MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO NITERIX P Y Z SERVICIOS LTDA. PARQUE TECNOLÓGICO DEL SOFTWARE -PARQUESOFTPARTNERS SYSTEM TECHNOLOGICAL OUTSOURCING PROINDUL LTDA. PROYECTOS INTEGRALES LTDA. QUALITY SYSTEMS INTERNATIONAL & CIA LTDA. REDCOM LTDA. REDEBAN MULTICOLOR SECRETARIA GENERAL DE LA ALCALDÍA MAYOR SENA SERVICIOS MÉDICOS OLIMPOS SINGLAR CONSULTORES S.A. SOCIEDAD COLOMBIANA DE ARCHIVISTAS SUN GEMINI S.A. SYNAPSIS
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
CONTENIDO Página INTRODUCCIÓN 1.
OBJETO Y CAMPO DE APLICACIÓN ...................................................................... 1
2.
REFERENCIAS NORMATIVAS ................................................................................. 1
3.
TÉRMINOS Y DEFINICIONES ................................................................................... 1
4.
ESTRUCTURA DE ESTA NORMA ............................................................................ 3
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
Página 9.
TRATAMIENTO DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ......... 21
9.1
DESCRIPCIÓN GENERAL DEL TRATAMIENTO DEL RIESGO ............................. 21
9.2
REDUCCIÓN DEL RIESGO ..................................................................................... 24
9.3
RETENCIÓN DEL RIESGO ..................................................................................... 25
9.4
EVITACIÓN DEL RIESGO ....................................................................................... 25
9.5
TRANSFERENCIA DEL RIESGO ............................................................................ 25
10.
ACEPTACIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ........... 26
11.
COMUNICACIÓN DE LOS RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN ............................................................................................ 26
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
Página ANEXO D (Informativo) VULNERABILIDADES Y MÉTODOS PARA LA VALORACIÓN DE LA VULNERABILIDAD ................................................................................................. 51 ANEXO E (Informativo) ENFOQUES PARA LA VALORACIÓN DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN ....................................................................................................... 56 ANEXO F (Informativo) RESTRICCIONES PARA LA REDUCCIÓN DE RIESGOS ................................................. 63 FIGURAS Figura 1. Proceso de gestión del riesgo en la seguridad de la información ................... 5 Figura 2. Actividad para el tratamiento del riesgo........................................................... 22
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
INTRODUCCIÓN
Esta norma proporciona directrices para la gestión del riesgo en la seguridad de la información en una organización, dando soporte particular a los requisitos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma NTC-ISO/IEC 27001. Sin embargo, esta norma no brinda ninguna metodología específica para la gestión del riesgo en la seguridad de la información. Corresponde a la organización definir su enfoque para la gestión del riesgo, dependiendo por ejemplo del alcance de su SGSI, del contexto de la gestión del riesgo o del sector industrial. Se puede utilizar una variedad de metodologías existentes bajo la estructura descrita en esta norma para implementar los requisitos de un sistema de gestión de seguridad de la información. Esta norma es pertinente para los directores y el personal involucrado en la gestión del riesgo en la seguridad de la información dentro de una organización y, cuando corresponda, para las partes externas que dan soporte a dichas actividades.
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN
1.
OBJETO Y CAMPO DE APLICACIÓN
Esta norma suministra directrices para la gestión del r iesgo en la seguridad de la información. Esta norma brinda soporte a los conceptos generales que se especifican en la norma NTC-ISO/IEC 27001 y está diseñada para facilitar la implementación satisfactoria de la seguridad de la información con base en el enfoque de gestión del riesgo.
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
3.2 Riesgo en la seguridad de la información. Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización. NOTA Se mide en términos de una combinación de la probabilidad de que suceda un evento y sus consecuencias.
3.3 Evitación del riesgo. Decisión de no involucrarse en una situación de riesgo o tomar acción para retirarse de dicha situación. [ISO/IEC Guía 73:2002]
3.4 Comunicación del riesgo. Intercambiar o compartir la información acerca del riesgo entre la persona que toma la decisión y otras partes interesadas. [ISO/IEC Guía 73:2002]
3.5 Estimación del riesgo. Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo. [ISO/IEC Guía 73:2002] NOTA 1 En el contexto de esta norma, el término "actividad" se utiliza en lugar del término "proceso" para la estimación del riesgo.
3.6 Identificación del riesgo. Proceso para encontrar, enumerar y caracterizar los elementos
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
BIBLIOGRAFÍA [1]
ISO/IEC Guide 73:2002, Risk Management. Vocabulary. Guidelines for Use in Standards.
[2]
ISO/IEC 16085:2006, Systems and Software Engineering. Life Cycle Process. Risk Management.
[3]
AS/NZS 4360:2004, Risk Management .
[4]
NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook.
[5]
NIST Special Publication 800-30, Risk management Guide for Information Technology Systems, recommendations of the National Institute of Standards and Technology.
…
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
IMPORTANTE
Este resumen no contiene toda la información necesaria para la aplicación del documento normativo original al que se refiere la portada. ICONTEC lo creo para orientar a su cliente sobre el alcance de cada uno de sus documentos y facilitar su consulta. Este resumen es de libre distribución y su uso es de total responsabilidad del usuario final. El documento completo al que se refiere este resumen puede consultarse en los centros de información de ICONTEC en Bogotá, Medellín, Barranquilla, Cali o Bucaramanga, también puede adquirirse a través de nuestra página web o en nuestra red de oficinas (véase www.icontec.org). El logo de ICONTEC y el documento normativo al que hace referencia este resumen están cubiertos por las leyes de derechos reservados de autor. Información de servicios aplicables al documento aquí referenciado la encuentra en: www.icontec.org o por medio del contacto
[email protected]. ICONTEC INTERNACIONAL
5