1) El documento habla sobre la seguridad de la información y compara la norma ISO 17799 con el Sistema de Gestión de Seguridad de la Información ISO 27001. 2) Explica las etapas de un proyecto de seguridad incluyendo el análisis de riesgos, determinación de brechas y plan de implementación. 3) Los 11 dominios de la ISO 17799 incluyen control de accesos, gestión de activos, política de seguridad y gestión de incidentes.
1. Seguridad de la Informaci ó n “De la NTP ISO 17799-2007 al SGSI (ISO 27001)” Ing. Carlos Trigo P é rez [email_address] 18/07/07
2.
3.
4.
5.
6.
7. Modelo de Seguridad NSTISSC Politica, Educación y Tecnología Alm Proc Transm Almac Proces Transm Política Educación y Tecnología C I D C I D Modelo de Seguridad NSTISSC dimensiones objetivos Medidas para implementar N ational S ecurity T elecommunications and I nformation S ystems S ecurity C ommittee ISO 27001 ISO17799
8. CAPAS DE DEPENDENCIA Serv. Externos (comunicaciones, energía, Internet); PERSONAL, Mobiliario y edificio ENTORNO NETWORK CENTER D A T A C E N T E R HARDWARE Aplicaciones Base de Datos, S. Operativos SOFTWARE Datos, claves, etc DATOS Funciones/Procesos FUNCIONALIDADES Visi ón , Imagen OTROS
9. LAS ETAPAS DEL PROYECTO ETAPA 1: Análisis y Evaluación de Riesgos En el dominio de activos ETAPA 0: Determinación del Dominio de los Activos de Información Sujetos a riesgos ETAPA 2: Determinación de las Brechas de Seguridad de la Información ETAPA 3: Elaboración del Plan de Implementación
10. LAS ETAPAS DEL PROYECTO ETAPA 1: Análisis y Evaluación de Riesgos En el dominio de activos Clasificación de Activos D eterminaci ón de Vulnerabilidades Lista de Amenazas Matriz de Amenazas Vulnerabilidades por ambiente Definición de Tipos De impacto por Nivel de riesgos Determinación del Umbral de Rie sgos Matriz de Cálculo de Riesgos Matriz Resumen de Riesgos
11. LAS ETAPAS DEL PROYECTO ETAPA 2: Determinación de las Brechas de Seguridad de la Información Elaboración del Plan de Trabajo Encuestas , cuestionarios y consideraciones Determinación de Brechas de Seguridad Documento de Identificación de Brechas Entregable 1
12. LAS ETAPAS DEL PROYECTO ETAPA 3: Elaboración del Plan de Implementación Estructura Detallada del Trabajo Entregable 2 Diagrama Gantt del Plan de Implement. Entregable 3 Presupuesto Detallado del Plan de Implement. Entregable 4
13. Los 11 Dominios de la NTP ISO 17799 - 2007 Control de accesos Gestiòn de Activos Política de seguridad Organización de la Seguridad Seguridad del personal Seguridad física y medioambiental Gestión de comunicaciones y operaciones Desarrollo y mantenimiento Gestión de la continuidad Cumplimiento Información Confidencialidad disponibilidad integridad Gestión de incidentes
14. 1. Politique de sécurité 2. Sécurité de l’organisation 3. Classification et contrôle des actifs 7. Contrôle des accès 4. Sécurité du personnel 5. Sécurité physique et environnementale 8. Développement et maintenance 6. Gestion des communications et opérations 9. Gestion de la continuité 10. Conformité 1. Política de seguridad 2. Seguridad de la organización 3. Clasificación y control de los activos 7. Control de accesos 4. Seguridad del personal 5. Seguridad física y medioambiental 8. Desarrollo y mantenimiento de los sistemas 6. Gestión de las telecomunicaciones y operaciones 9. Gestión de Incidentes 10. Continuidad Organizacional Operacional Los 11 Dominios de ISO 17799 - 2007) 11. Conformidad
18. ISO17799 - 2007 SGSI (Nov. ISO 27001) ( P lanear- H acer- V erificar- A ctuar) Fallas de Infraestructura Información& Facilidades de Procesamiento de Información Procesos de negocio Gente Tecnología ISO17799 La Solución Sistema de Gesti ó n de Seguridad de la informaci ó n Peligros Naturales Ataques Error humano
19. Sistema de Gesti ó n de Seguridad de la informaci ó n (ISO 27001)
20.
Notas del editor
Propiedades de la información a proteger: Confidencialidad, Disponibilidad e Integridad C= información protegida de difusión no autorizada según clasificación de Seguridad de Información I= Protección de información de alteraciones no autorizadas o modificaciones no intencionales (Ej. FECHAS INVERTIDAS)= ddmmaa aammdd CONSISTENCIA D= Información y servicios críticos disponibles cuando se necesiten y respondan necesidades de negocio. Datos puedan ser ecuperados en casode pérdidas o errores en la operación
This graphic informs the fundamental approach of the chapter and can be used to illustrate the intersection of information states (x-axis), key objectives of C.I.A. (y-axis) and the three primary means to implement (policy, education and technology).
Notes:
These activities relates to the implementation of an ISMS and are similar to those necessary to later maintain and develop the system. This approach is also called the ‘Deming circle’. Plan - Define policy and scope, and identify risks to manage. A Risk Assessment is crucial. A relative value and importance is set for each asset of the company. The business need of the asset is weight against threats, probability that the threat should occur; that is, the risks, and the consequences. Do - Identify options for managing the risks, select and implement controls The Security Organisation is established - responsibilities and authorities are documented and communicated. The Security Forum, with management representative(s) is operative. With the risk analysis as a base, control objectives and control plans are made and implemented. A Business continuity plan is prepared and implemented. Education and training take place to ensure that the organisation understands the signification of the security work and that it can live up to the implemented level of security. A Statement of Applicability is made addressing selected control objectives and controls. Check - Monitor and review the ISMS The policy is reviewed to ensure it remains appropriate. Managers follow up that security procedures are carried out correctly and are in compliance with policies and standards. Verification of implemented controls: -Compliance with legal requirements and the information security policy -Technical compliance; Incident reporting, software copyright, etc. Act - Improve the ISMS Incidents and discrepancies from standards are analysed. Specialists and stakeholders are consulted and necessary preventive actions are implemented. Changes to the system are communicated. This process must assure that changes in the environment that effects the information security of the business trigs a renewed risk analysis.
Stakeholders: Grupo de Interés - Interesados en el proyecto, personas que pueden ser influenciada o pueden influir en los Objetivos