Este documento presenta una comparación entre las versiones ISO 27001:2005 e ISO 27001:2013. Explica los cambios de estructura y conceptos clave, incluyendo 11 dominios de seguridad en 2005 versus 14 en 2013. También describe 21 controles eliminados e introduce 14 nuevos. Resalta que 2013 fortalece el concepto de seguridad de la información y el sistema de gestión de seguridad de la información.
2. Objetivos de la Sesión
•Entender las diferencias claves de la versión ISO 27001:2005 a la versión 2013
•Indicar los nuevos requerimientos de la versión 2013
•Mostrar los nuevos Controles y Dominios Agregados en la ISO 27001:2013
2
3. Lo recuerdas?
Es una federación mundial de organismos nacionales de
normalización alrededor de 160 países, trabajan a nivel de
ComitésTécnicos.
(Source: iso.org)
3
4. Necesidad del Proyecto ISO 27001:2013
Causas: Los estándares ISO se revisan cada 4 o 5 años. Los controles de la ISO 27002 muchos son
obsoletos. La necesidad de integrar los sistemas de gestión (Anexo SL, PAS 99).
El proyecto nace con la aprobación de un articulo en el NewWork Item (NWI) el 19 de mayo 2009.
Los primeros 3 borradores de trabajo conservan la estructura de 1ra edición.
La estructura común y el texto básico actual aplican al draft 4 en oposición de varios organismos
nacionales.
El 15 de Febrero del 2012, el Consejo de GestiónTécnica de ISO (TMB) decidió que la norma ISO 27001
tiene que seguir la nueva estructura, unificado, pero que las desviaciones justificadas se admiten.
La alianza para dejar caer la Declaración de aplicabilidad falló.
Los intentos para terminar el proyecto hasta el final fracasaron.
4
5. Revisión por:
• NCC (Centro Nacional de
Computación)
• Consorcio usuarios
1993
Estándar nacional británico
1995
Estándar Internacional
(Fast Track)
1999 2000
Revisión periódica
(5 años)
2005
Nuevo estándar
nacional
certificable
Estándar Internacional
1998 2002
Revisión conjunta de
las partes 1 y 2
Revisión y
acercamiento a:
• ISO 9001
• ISO 14001
• OCDE
1999 2005
Centro de Seguridad
de Informática
Comercial del Reino
Unido (CCSC/DTI)
1989
Revisión conjunta de
las partes 1 y 2
■Certificable
Código de
prácticas para
usuarios
■ PD0003 Código de
prácticas para la
gestión de la
seguridad de la
información
■
BS 7799
■
BS 7799-1 :1999
■
ISO/IEC 17799
:2000
■
ISO/IEC 17799 :2005
■
BS 7799-2 :2002
■
BS 7799-2
■
BS 7799-2 :1999
■
ISO/IEC 27001 :2005
■
Historia de ISO 27001e ISO 17799
■No certificable
2013
ISO/IEC 27001 :2013
■
2013
6. Cambios de Estructura en las Normas
1. Introducción
2.Objeto
3. Referencias Normativas
4. Contexto de laOrganización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación del desempeño
10. Mejora
1.Introducción
2. Objeto
3. Referencias Normativas
4. Sistema de Gestión de la Seguridad de la Información
4.1 General 4.2 SGSI 4.2.1 Establecer 4.2.2 Implementar y Operar
4.2.3 Monitorear y Revisar 4.2.4 Mantener y Mejorar 4.3
Documentar
5. Responsabilidad de la Dirección
6. Auditoría Interna
7. Revisión de la Dirección
8. Mejora
VERSIÓN ISO 27001: 2005 VERSIÓN ISO 27001: 2013
6
7. Entregas
9. Evaluación del desempeño
VERSIÓN 2005 VERSIÓN 2013
ANEXOA Objetivos de control y Controles
ANEXO B OECD Principios y estándares Internacionales
ANEXOC Correspondencia entre ISO:9001:2000, ISO
14001:2004 y la este estándar internacional.
ANEXOA Objetivos de control y Controles
7
8. Nuevos conceptos
ISO 27002:2013 Clausula 8.1
Activos relacionados con las instalaciones de procesamiento de
información deben ser identificados y un inventario de los activos deberá
estar documentado y actualizado.
Activo
Activo
Primario
Información Procesos
Activo de
Soporte
Infraestructura, Hardware y
Software
8
9. Nuevos Conceptos 6.Planeacíon 8.Operación
6.1 Actions to address risks and opportunities
ISO 27001:2013Clausulas 6.1.2 y 8.2 Evaluación de los riesgos de la seguridad de la información.
(Source: Isaca)
8.2The organization shall retain
documented information of the results of
the information security risk assessments.
ISO 31000:2009 CRISC-Isaca
9
10. Nuevos Conceptos: 5.Liderazgo
La alta dirección debe asegurarse de que las responsabilidades y las funciones pertinentes
a la seguridad de información se asignen y se comuniquen.
Tareas/actividades
Procedimientos
Herramientas/tecnología
Procesos de control de cambios del proyecto
Roles de la Organización responsabilidades y autoridades
5.3 Note:Top management may also assign responsibilities and
authorities for reporting performance of the information
security management system within the organization.
10
11. ISO 27002:2005Vs ISO 27002:2013
5. Política de Seguridad de la Información
6. Organización de la Seguridad de la Información
7. Seguridad de los Recursos Humanos
8. Gestión de activos
9. Control de acceso
10. Criptografía Política y Gestión de Clave
11. Seguridad física y del entorno
12. Seguridad en la operaciones
13. Seguridad de las comunicaciones
14. Adquisición, desarrollo y mantenimiento
de los sistemas
15. Relación con los proveedores
16. Gestión de incidentes de S.I.
17. Los aspectos de la S.I. en la G.C.N.
18. Cumplimiento
5. Política de Seguridad de la Información
6. Organización de la Seguridad de la Información
7. Gestión de activos
8. Seguridad de los Recursos Humanos
11. Control de acceso
10. Gestión de comunicaciones y operaciones
12. Adquisición, desarrollo y mantenimiento en
sistemas de información
13. Gestión de incidentes de S.I.
14. Gestión de continuidad de negocio
15. Cumplimiento
9. Seguridad física y del entorno
ISO 27002:2005 ISO 27002:2013
11
12. En resumen:
ISO 27002:2005 ISO 27002:2013
11 Dominiosde seguridad de la información. 14 Dominios de seguridad de la información.
39 Objetivos de Control 35 Objetivos de Control
133 Controles 111 Controles
21 Controles Borrados 14 Nuevos Controles
No poseía el concepto de seguridad de la
Información
Revisión y fusión de Controles
SGSI (ISMS) Establecer, Implementar, Operar,
Revisar, Mantener, Hacer Seguimiento y Mejorar
la seguridad de la información.
Fortalece el concepto de la seguridad de la
información (SI) en la preservación de las 3
Propiedades de la información.
12
13. Controles Eliminados:
ISO 27002:2005 ISO 27002:2005
A.6.1.1 Compromiso de la Gerencia con la seguridad de la
información
A 11.4.2 Autenticación del usuario para conexiones externas
A.6.1.2Cordinación de la seguridad de la información A 11.4.3 Identificación del equipo en red
A 6.1.4 Proceso de autorización para los medios de
procesamiento
A 11.4.4 Protección del puerto de diagnostico remoto
A 6.2.1 Identificación de Riesgos relacionados con entidades
externas
A 11.4.6 Control conexión de redes
A 6.2.2Tratamiento de la seguridad cuando se trabaja con
clientes
A 11.4.7 Control de 'routing' de redes
A 10.2.1 Entrega de servicio A 10.8.5 Sistemas de información comercial
A 10.7.4 Seguridad de documentación del sistema A 11.6.2 Aislamiento del sistema sensible
A 10.10.2 Uso del sistema de monitoreo A 12.2.4 Validación de data de output
A 10.10.5 Registro de fallas (faulth logging) A 15.3.2 Protección de las herramientas de auditoria de los
sistemas de información
13
14. Nuevos Controles :
ISO 27002:2013 ISO 27002:2013
A.6.1.5 Seguridad de la información en la administración de
proyectos
A 16.1.5 Respuesta a incidentes de seguridad de la
información
A.12.6.2 Restricciones en la instalación de software A 17.2.1 Disponibilidad de instalaciones del procesamiento de
la información
A 14.2.1 Políticas de desarrollo seguro
A 14.2.5 Principios de ingeniería para sistemas seguros
A 14.2.6 Entorno para desarrollo seguro
A 14.2.8 Pruebas de seguridad en los sistemas (testing)
A 15.1.1 Política de seguridad de la información para las
relaciones con proveedores
A 15.1.3Tecnologías de la información en la cadena de
suministros
A 16.1.4 Evaluación y decisión sobre los eventos de la
seguridad de la información.
14
16. Países con Certificados en IS0 27001:2005
0 €
1.000 €
2.000 €
3.000 €
4.000 €
5.000 €
6.000 €
7.000 €
8.000 €
Japón India China España Alemania Usa México Colombia
Certificados obtenidos al 2012
(Source: iso.org)
16
17. Países Latinos con Certificados en IS0 27001:2005
México Colombia Brasil Argentina Chile Peru Ecuador
Certificados Obtenidos 75 58 53 33 23 7 3
0 €
10 €
20 €
30 €
40 €
50 €
60 €
70 €
80 €
NúmerodeCertificados
Certificados Obtenidos
(Source: iso.org)
17
18. Conclusiones
Los conceptos que debemos reforzar: Partes interesadas, Liderazgo, Sensibilización,
Comunicación,Capacidades, Propietario del riesgo,Activos, Gestión de Riesgos y
Oportunidades.
La ISO 27002:2013 tiene menos controles en cantidad y en método hay menos controles
tecnológicos, adicionalmente se cuentan con políticas de control mas claras.
ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROLY 114 CONTROLES
Los Requisitos de evaluación de riesgos deben alinearse con la norma ISO 31000
18
19. Referencias y Bibliografía.
Information technology — Security techniques — Information security management
systems — Requirements ISO/IEC 27001:2013
SurveyWorld distribution of ISO/IEC 27001 certificates in 2012
ISACA.Org
ISO 27001:2005
Procesos de control ISO tools.org
Msi. Ing. Darío Medina Ramírez, Cátedra- Análisis de Riesgos
19
20. Gracias por su atención…
Desarrollado por: Ing.YangoAlexander Colmenares
Auditor Interno Certificado ISO 27001
20