La Familia de normas ISO de Seguridad Informtica

ORIGEN:
British Standars Institution, es una de las entidades ms antiguas que en ao de 1995
public la norma BS-7799-1 con objeto de dar un conjunto de buenas prcticas en
Seguridad para las Empresas Britnicas.
Posteriormente realizaron la segunda parte de la norma en 1998, en la que establecieron
los requisitos, para realizar un Sistema de Gestin de la Seguridad de la Informacin
(SGSI).
La BS-7799 dio origen a la Norma Internacional ISO-17799, en el ao 2000, cinco aos
despus, se empez agestar la familia de las normas ISO27000, apareciendo la ISO-
27001, cuyo origen tena en la BS-7799-2. Evaluaron la ISO-17799 y lo llamaron ISO-27002.
A partir de ah se han ido creando proyectos de normativas pertenecientes a la Familia
ISO-27000 o conocidas tambin como las 27k

FAMILIA ISO-27000
Actualmente, en el mundo del negocio de la informtica, est tomando cada vez ms
importancia el tema de la seguridad en el manejo de la informacin. Existen normas que la
Organizacin Internacional para la Estandarizacin, las cuales son:
- ISO 27000:2009: Trminos y Definiciones de la Familia 27000 (30/04/2009)
Esta norma proporciona una visin general de las normas que componen la
serie 27000, indicando para cada una de ellas su alcance de actuacin y el
propsito de su publicacin. Recoge todas las definiciones para la serie de
normas 27000 y aporta las bases de por qu es importante la implantacin
de un SGSI, una introduccin a los Sistemas de Gestin de Seguridad de la
Informacin, una breve descripcin de los pasos para el establecimiento,
monitorizacin, mantenimiento y mejora de un SGSI

- ISO/IEC 27001, es la norma ms importante de la familia. Adopta un enfoque de
gestin de riesgos y promueve la mejora continua de los procesos. Define el
vocabulario tcnico especfico. Publicada en Enero de 2014.
Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se
certifican por auditores externos los SGSIs de las organizaciones.
Especifica los requisitos para establecer un plan de seguridad constituido
por un Sistema de Gestin de Seguridad de la Informacin (SGSI).
- ISO/IEC 27002:2013, es la que sigue en importancia, es un cdigo de prctica para
la gestin de la seguridad de la informacin. Esta norma deriva de la norma ISO
17799. Nueva Versin publicada en 2013.
es el nuevo nombre de ISO 17799:2005. Es una gua de buenas prcticas que
describe los objetivos de control y controles recomendables en cuanto a
seguridad de la informacin. No es certificable
- ISO/IEC 27003, la que consiste en una gua de implementacin de un ISMS, en
soporte de la norma ISO/IEC 27001. Publicada en Febrero de 2010
- ISO/IEC 27004, la que proporciona recomendaciones de quin, cundo y cmo
realizar mediciones de seguridad de la informacin. Publicada en 2009.
- ISO/IEC 27005, la que proporciona recomendaciones y lineamientos de mtodos y
tcnicas de evaluacin de riesgos de seguridad de la informacin, en soporte del
proceso de gestin de riesgos de la norma ISO/IEC 27001.
- ISO/IEC 27006, la que proporciona requisitos para la acreditacin de la
certificacin de SGSI. Publicada en 2007.
- ISO/IEC 27007, Auditora del SGSI, derivada de ISO 19011. Publicada en 2011.
- ISO/IEC 27008, Auditora de la Gestin de la Seguridad de la Informacin, en
cuanto a los controles implementados.
- ISO/IEC 27010, Comunicaciones intersectoriales y entre organizaciones. Publicada
en 2012.
- ISO/IEC 27011, Extensin de la ISO 27002 e cuanto a la gestin de seguridad en
telecomunicaciones. Publicada en 2008
- ISO/IEC 27013, Gua para la implementacin sucesiva o combina de la ISO 27001
con la ISO 20000(ITIL). Pensada para manejar los puntos de solapamiento en
cuanto a seguridad TIC del ITIL con la ISO 27001. Publicada en 2012.
- ISO/IEC 27014, Gobierno de Seguridad de la Informacin.
- ISO/IEC 27015, Servicios Financieros. Publicada en 2012.
- ISO/IEC 27016, Economa de la gestin de seguridad de la Informacin.
- ISO/IEC 27017, Aspectos de seguridad de la informacin en la computacin en la
nube.
- ISO/IEC 27018, Aspectos de privacidad en la computacin de la nube
- ISO/IEC 27019, Sistema de Control de Procesos de las Empresas de energa.
Publicada en 2013
- ISO/IEC 27031, Preparada para la seguridad IT en la Continuidad de Negocios.
Publicada en 2011.
- ISO/IEC 27032, Gua de ciberseguridad. Publicada en 2012.
- ISO/IEC 27033, Extensin de la ISO 27002 en cuanto a Seguridad de redes IT.
- ISO/IEC 27034, Extensin de la Iso 27002 en cuanto a la seguridad en las
aplicaciones.
- ISO/IEC 27035, Extensin de incidentes basada en la ISO 18044. Publicada en 2011
- ISO/IEC 27036, Relaciones con proveedores.
- ISO/IEC 27037, Gua para evidencia digital
- ISO/IEC 27038, Especificaciones para redaccin digital.
- ISO/IEC 27039, Sistemas de deteccin y prevencin de intrusiones.
- ISO/IEC 27040, Gua sobre seguridad del almacenamiento.
- ISO/IEC 27041, Gua sobre el aseguramiento para los mtodos de investigacin de
evidencia digital.
- ISO/IEC 27042, Gua sobre anlisis e interpretacin de la evidencia digital.
- ISO/IEC 27043, Gua sobre los principios y procesos de investigacin de la
evidencia digital.
- ISO/IEC 27799, Extensin de la ISO 27002 para cubrir los aspectos referidos a la
proteccin de la informacin personal de salud. Publicada en 2008
Matriz Comparativa - ISO/IEC 27001

COMPARACIN VERSIN 2005 VERSIN 2013





SEMEJANZAS
-Poltica de Seguridad
- Organizacin de la seguridad de la informacin
-Seguridad fsica y del entorno
-Seguridad en los Recursos Humanos
- Gestin de activos
-Gestin de comunicacin y operaciones
-Adquisicin, desarrollo y mantenimiento de sistemas de informacin
-Control de acceso
-Conformidad





DIFERENCIAS
- Gestin de Polticas de Criptografa
-Seguridad de Operaciones
- Relacin de Proveedores
- Aspecto de seguridad de informacin de la gestin de
continuidad del negocio
- Gestin de incidentes de seguridad de la informacin
- Gestin de la continuidad del negocio



Matriz Comparativa - ISO/IEC 17799 (27002)
COMPARACIN VERSIN 2000 VERSIN 2005


SEMEJANZAS
-Actualmente ISO/IEC 27002
-Poltica de Seguridad
-Seguridad fsica y del entorno
-Gestin de comunicacin y operaciones
-Control de acceso
-Conformidad



DIFERENCIAS
- Seguridad Organizacional - Organizacin de la seguridad de la informacin
-Clasificacin y control de activos - Gestin de activos
-Seguridad ligado al personal - Seguridad en los Recursos Humanos
-Desarrollo y mantenimiento de sistemas - Adquisicin, desarrollo y mantenimiento de sistemas
de informacin
- Gestin de incidentes de seguridad de la informacin
- Gestin de la continuidad del negocio














Matriz Comparativa ISO familia de series 27K
27001:2013 27002:2013 27003:2010 27005:2008 27006:2007
1)Poltica de Seguridad
2)Organizacin de la
seguridad de la informacin
3)Seguridad fsica y del
entorno
4)Seguridad en los Recursos
Humanos
5)Gestin de activos
6)Gestin de comunicacin y
operaciones
7)Adquisicin, desarrollo y
mantenimiento de sistemas
de informacin
8)Control de acceso
9)Conformidad
10)Gestin de polticas de
criptografas
11)Seguridad de Operaciones
12)Relacin de proveedores
13)Aspecto de seguridad de
informacin de la gestin de
continuidad del negocio
14)Gestin de incidentes de
seguridad de la informacin
15)Gestin de la continuidad
del negocio
1)Poltica de Seguridad
2) Organizacin de la
seguridad de la informacin
3)Seguridad fsica y del
entorno
4) Seguridad en los
Recursos Humanos
5)Gestin de activos
6)Gestin de comunicacin
y operaciones
7) Adquisicin, desarrollo y
mantenimiento de sistemas
de informacin
8)Control de acceso
9)Conformidad
10) Gestin de incidentes
de seguridad de la
informacin
11)Gestin de la
continuidad del negocio
1)Alcance
2)Referencias Normativas
3)Trminos y Definiciones
4)Estructura de esta Norma
Internacional
5) Obtencin de la aprobacin
de la alta direccin para iniciar
un SGSI.
6)Definicin del alcance del
SGSI, lmites y polticas
7)Evaluacin de
requerimientos de seguridad
de la informacin
8)Evaluacin de Riesgos y Plan
de Tratamiento de riesgos
9)Diseo del SGSI

ANEXOS INFORMATIVO
10)Lista de chequeo para la
implementacin de un SGSI
11)Roles y responsabilidades e
seguridad de la informacin
12)Informacin sobre
auditoras internas
13)Estructura de las polticas
de seguridad
14)Monitoreo y seguimiento
del SGSI
1)Estructura del estndar
2) Descripcin de la estructura
de la norma
3)Fundamentos del proceso de
gestin de riesgos
4) Indicaciones sobre cmo
evaluar y tratar los riesgos de
seguridad de la informacin.
5)Establecimiento del contexto
6)Evaluacin de riesgos
7)Tratamiento de riesgos
8)Aceptacin del riesgo
9)Comunicacin del riesgo
10)Monitorizacin y revisin
del riesgo
1)Principios
2)Requisitos generales
3)Requisitos estructurales
4)Requisitos en cuanto a
recursos
5)Requisitos de informacin
6)Requisitos del proceso:
Requisitos del sistema de
gestin de entidades de
certificacin





BENEFICIOS
Los clientes y los usuarios se beneficiarn recibiendo los productos que son:
Conforme con los requisitos.
Confiables y seguros.
Disponibles cuando se los necesita.
El personal de la organizacin se beneficiar mediante:
Mejores condiciones de trabajo.
Mayor satisfaccin en el trabajo.
Mejoras de las condiciones de salud y seguridad
ocupacional.
Mejoras en el espritu del trabajo.
Mayor estabilidad del empleo
Los propietarios e inversionistas se beneficiarn mediante:
Una recuperacin ms rpida de las inversiones.
Mejores resultados operativos.
Mayor participacin en el mercado.
Mayores beneficios.
Los proveedores y los socios se beneficiarn mediante:
Estabilidad.
Crecimiento.
Sociedad y entendimiento mutuo.
La sociedad se beneficiar mediante:
El cumplimiento de los requisitos legales y regulatorios.
La mejora de la salud y la seguridad.
La reduccin del impacto ambiental.
Mayor seguridad.