You are on page 1of 18

ISO/IEC 27002:2005

Marcos Sotelo B. msperu21@gmail.com Lima-Per, Febrero 2012

ISO/IEC 27002:2005
Basado en BS 7799-1:1999 ISO
17799:2000. Se utiliza como un documento de

referencia.
Provee un conjunto de controles de seguridad. NO es certificable.

ISO/IEC 27002:2005
Introduccin
0. Introduccin 1. Alcance 2. Trminos y definiciones 3. Estructura del estndar

Anlisis de riesgos

4.1 Identificacin de riesgos de seguridad de la informacin 4.2 Tratamiento de riesgos de seguridad de la informacin

Objetivos de control y controles

11 Dominios 39 Objetivos de control 133 Controles

ISO/IEC 27002:2005
Seccin 0: Introduccin
Qu es Informacin & Seguridad de la Informacin
La informacin es un activo, se encuentra en diferentes formas, debe ser protegida, etc.

Por qu es necesaria la Seguridad de la Informacin Requerimientos de seguridad Cmo establecerlos? Evaluacin de los riesgos de seguridad Seleccin de controles Punto de partida para la seguridad de la informacin Factores crticos de xito
Algunos aspectos han sido revisados en las secciones anteriores

ISO/IEC 27002:2005
Seccin 1: Alcance de la norma

Guas y principios generales para iniciar, implementar, mantener y mejorar la gestin de la seguridad de la informacin en la organizacin.

ISO/IEC 27002:2005
Seccin 2: Trminos y definiciones
Seguridad de la Informacin: Integridad. Confidencialidad. Disponibilidad.

Autenticidad, responsabilidad (accountability), no-repudio, confiabilidad.

ISO/IEC 27002:2005
Seccin 2: Trminos y definiciones
Seccin ampliada con mayor cantidad de trminos Aclaran y precisan el concepto de algunos trminos usados en la norma:

Infraestructura de procesamiento de informacin (facilities). Seguridad de la Informacin. Eventos de Seguridad de la Informacin. Incidentes de Seguridad de la Informacin. Definiciones relacionadas con el Riesgo.

ISO/IEC 27002:2005
Seccin 2: Trminos y definiciones Definicin de Trminos:
Asset, Control, Guideline, Information Processing Security, Facilities, Information Event,

Information

Security

Information

Security

Incident,

Policy,

Risk, Risk Analysis, Risk Assessment, Risk Evaluation, Risk Management, Risk Treatment, Vulnerability. Third Party, Threat,

ISO/IEC 27002:2005
Seccin 3: Estructura del estndar
This standard contains 11 security control clauses
collectively containing a total of 39 main security categories and one introductory clause introducing risk assessment

and treatment 11 Clusulas


39 Categoras principales de seguridad

133
1

Controles
Clusula introductoria Evaluacin y tratamiento del riesgo

MSC: Main Security Category Categora principal de seguridad: Objetivo de control

ISO/IEC 27002:2005
Seccin 3: Estructura del estndar 3.1 Clauses (# of Main Sec) - Dominios o reas
Security Policy (1) Organizing Information Security (2) Asset Management (2) Human Resources Security (3) Physical and Environmental Security (2) Communications a Operations Management (10) Access Control (7) Information Systems Acquisition, Development and Maintenance (6) Information Security Incident Management (2) Business Continuity Management (1) Compliance (3)

ISO/IEC 27002:2005
Seccin 3: Estructura del estndar 3.2 Main Security Categories
Define qu contiene cada MSC (Main Security Category). Un objetivo de control que establece qu se pretende lograr. Uno o ms controles que pueden ser aplicados para lograr el objetivo de control.

Describe la estructura de los controles: Control. Implementation Guide. Other information (e.g. reference to other standards..).

ISO/IEC 27002:2005
Seccin 4: Evaluacin y tratamiento del riesgo
4.1 4.2 Evaluacin de los riesgos de seguridad. Tratamiento de los riesgos de seguridad.

ISO/IEC 27002:2005
Seccin 4: Evaluacin y tratamiento del riesgo
Define los conceptos de: Evaluacin de los riesgos de seguridad

Identificar, cuantificar y priorizar. Aproximacin sistemtica, realizada peridicamente, con un alcance claramente definido.
Tratamiento de los riesgos de seguridad Criterios para aceptacin del riesgo, opciones para tratamiento del riesgo para cada riesgo identificado en RA

Dominios Anexo A 27001 / Contenido 27002


Poltica de seguridad Organizacin de la seguridad de la informacin Gestin de activos Seguridad de los recursos humanos Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de acceso Adquisicin, desarrollo y mantenimiento de S.I. Gestin de incidentes de seguridad de informacin Gestin de la continuidad de negocio Cumplimiento

Relacin ISO 27001 ISO 27002

Optimizacin de la efectividad de la seguridad de la informacin. Diferenciacin de la competencia. Satisfaccin de los requerimientos de los clientes. nico estndar con aceptacin mundial. Potenciales descuentos en seguros y plizas.

Debida diligencia.