27002:2013 Tecnología de la información ISO / IEC - Técnicas de seguridad - Código de conducta para los controles de seguridad de información
Enlaces rápidos Introducción a la norma ISO / IEC ( alcance y relación con la norma ISO / IEC 27001 )
27002
Estructura y formato de la norma ISO / IEC 27002:2013 Contenido de la norma ISO / IEC 27002:2013 (resumen de las secciones 19 +) Guía de implementación de SGSI y más recursos Estado de la norma Comentarios personales
Introducción ISO / IEC 27002 es un popular internacionalmente reconocidas normas de buenas prácticas para la seguridad de la información. ISO / IEC 27002 remonta su historia más de 30 años de los precursores de la BS 7799.
Ámbito de aplicación de la norma Como gobierno, la seguridad de la información es un tema muy amplio, con ramificaciones en todas las partes de la organización moderna. Seguridad de la información, y por lo tanto la norma ISO / IEC 27002, es relevante para todos los tipos de organizaciones, incluyendo empresas comerciales de todos los tamaños (de un solo hombre bandas hasta gigantes multinacionales), sin fines de lucro, organizaciones benéficas, los departamentos gubernamentales y cuasi-autónomas cuerpos - de hecho, cualquier organización que maneja y depende de la información. El riesgo de seguridad de la información específica y los requisitos de control pueden diferir en detalles, pero hay un montón de puntos en común, por ejemplo, la mayoría de las organizaciones tienen que hacer frente a los riesgos de seguridad de información en relación con sus empleados, además de los contratistas, los consultores y los proveedores externos de servicios de información.
La norma se refiere explícitamente a la información de seguridad, es decir, la seguridad de todas las formas de información ( por ( por ejemplo, los datos informáticos, documentación, conocimiento y propiedad intelectual) y no sólo / seguridad de los sistemas IT o "ciberseguridad", como es la moda.
Relación con el ISO / IEC 27001 ISO / IEC 27001 define formalmente los requisitos obligatorios para un Sistema de Gestión de la Seguridad de la Información (SGSI). Se utiliza la norma ISO / IEC 27002 para indicar que los controles de seguridad de información adecuados dentro del SGSI, pero como ISO / IEC 27002 es más que un código de conducta / directriz en lugar de una norma de certificación, las organizaciones tienen la libertad de seleccionar e implementar otros controles, o incluso adoptar alternativas suites completas de seguridad de la información controla si lo consideran conveniente. ISO / IEC 27001 incorpora un resumen (un poco más que los títulos de las secciones, de hecho) de los controles de la norma ISO / IEC 27002 en el Anexo A. En la práctica, la mayoría de las organizaciones que adoptan la norma ISO / IEC 27001 también adoptan la norma ISO / IEC 27002.
Estructura y formato de la norma ISO / IEC 27002:2013 ISO / IEC 27002 es un código de prácticas -, un documento de orientación genérica, no una especificación formal, tales como ISO / IEC 27001 . Se recomienda controles de seguridad de la información que abordan los objetivos de control de seguridad de información derivadas de los riesgos para la confidencialidad, integridad y disponibilidad de la información. Las organizaciones que adoptan la norma ISO / IEC 27002 deben evaluar sus propios riesgos de seguridad de la información, clarificar sus objetivos de control y aplicar controles adecuados (o incluso otras formas de tratamiento del riesgo) que utilizan la norma como guía. La norma está estructurada lógicamente en torno a grupos de controles de seguridad relacionados. Muchos controles podrían haber sido puestos en varias secciones, pero, para evitar duplicaciones y conflictos, que fueron asignados arbitrariamente a uno y, en algunos casos, referencias cruzadas de otros lugares. Por ejemplo, un sistema de tarjetas de control de acceso para, por ejemplo, una sala de ordenadores o el archivo / bóveda es a la vez un control de acceso y un control físico que
implica la tecnología más los procedimientos y políticas de gestión / administración y uso asociados. Esto ha dado lugar a algunas rarezas (como la sección 6.2 en los dispositivos móviles y el teletrabajo es parte de la sección 6 en la organización de la seguridad de la información), pero es al menos una estructura razonablemente completo. Puede que no sea perfecto, pero es lo suficientemente bueno.
Contenido de la norma ISO / IEC 27002:2015 2700 2:2015 Con más detalle, aquí se presenta un desglose resumiendo 19 secciones o capítulos de la norma (21 si se incluye el prólogo sin numerar y bibliografía). Haga clic en el diagrama para saltar a la descripción correspondiente.
Prefacio
Brevemente menciona ISO / IEC JTC1/SC 27, el comité que redactó la norma, y señala que esta "segunda edición cancela y reemplaza la primera edición (ISO / IEC 27002:2005), que ha sido revisada técnicamente y estructuralmente".
Sección 0: Introducción Esto establece el fondo, menciona tres orígenes de los requisitos de seguridad de la información, señala que la norma ofrece orientación genérica y potencialmente incompleta, que debe interpretarse en el contexto de la organización, se menciona la información y sus ciclos de vida del sistema, y los puntos de la norma ISO / IEC 27000 para el conjunto estructura y glosario ISO27k.
Sección 1: Ámbito de aplicación El estándar proporciona recomendaciones para aquellos que son responsables de la selección, implementación y gestión de seguridad de la información. Puede o no puede ser utilizado en apoyo de un SGSI se especifica en la norma ISO / IEC 27001 .
Sección 2: Normas para consulta ISO / IEC 27000 es la única norma se considera absolutamente indispensable para la utilización de la norma ISO / IEC 27002. Sin embargo, varias otras normas se mencionan en la norma, y no existe una bibliografía.
Sección 3: Términos y definiciones Todos los términos y definiciones especializadas están definidas en ISO / IEC 27000 y la mayoría se aplican a toda la familia ISO27k de las normas.
Sección 4: La estructura de esta norma Cláusulas de control de seguridad
De las 20 secciones o capítulos de la norma, 14 especifican los objetivos de control y controles. Estos 14 son las «cláusulas de control de seguridad. Hay una estructura estándar dentro de cada cláusula de control: uno o más subsecciones de primer nivel, cada uno indicando un objetivo de control, y cada objetivo de control está soportado a su vez por uno o más controles establecidos, cada uno de control seguido por la orientación y la aplicación asociada, en algunos casos, las notas explicativas adicionales. La cantidad de detalles que se encarga de las que son cerca de 90 páginas A4 estándar estánda r de longitud.
35 objetivos de control ISO / IEC 27002 especifica unos 35 objetivos de control (uno por "categoría de control de seguridad") para proteger la confidencialidad, integridad y disponibilidad de la información. Los objetivos de control están a un nivel bastante alto y, de hecho, constituyen una especificación genérica requisitos funcionales para la arquitectura de la información de gestión de la seguridad de una organización. Pocos profesionales discutirían seriamente la validez de los objetivos de control, o, dicho de que otra manera, sería difícil argumentar que una organización necesita no se ajusta a los objetivos de control establecidos en general. Sin embargo, algunos de los objetivos de control no son aplicables en cada caso y su formulación genérica es poco probable que refleje los requisitos precisos, sobre todo teniendo en cuenta la amplia gama de organizaciones a las que se aplica la norma.
114 + + controles + Cada uno de los objetivos de control se apoya en al menos una de control , dando un total de 114. Sin embargo, la figura del título es un poco engañoso ya que la guía de implementación recomienda numerosos controles reales. El objetivo de control con respecto a la relativamente simple subsubsección 9.4.2 "Secure log-sobre los procedimientos", por ejemplo, con el apoyo de la elección, la aplicación y el uso de técnicas de autenticación adecuadas, no revelar información confidencial en el registro de los tiempos, la validación de entrada de datos , protección contra ataques de fuerza bruta, la tala, que no transmiten las contraseñas en claro por la red, tiempos de espera de inactividad de la sesión, y las restricciones de tiempo de acceso. Si se tiene en cuenta que para ser uno o varios controles depende de usted. Se podría argumentar que la norma ISO / IEC 27002 recomienda
literalmente cientos , tal vez incluso miles de diferentes controles de seguridad de la información. Por otra parte, la redacción en todo el estándar establece claramente o implica que este no es un conjunto totalmente integral. Una organización puede tener algo diferente o información completamente nuevos objetivos de control de seguridad, que requiere otros controles en lugar de o además de los indicados i ndicados en la norma.
Sección 5: Políticas de seguridad de la información 5.1 Dirección de gestión de seguridad de la información La dirección debería definir un conjunto de políticas para aclarar su dirección y apoyo, seguridad de la información. En el nivel superior, debe haber una "política de seguridad de la información" general como se especifica en la norma ISO / IEC 27001 punto 5.2.
Sección 6: Organización de la seguridad de la información 6.1 Organización interna La organización debe establecer las funciones y responsabilidades de seguridad de la información, y asignarlos a los individuos. En su caso, las cuotas deben ser segregados en los roles y las personas a fin de evitar conflictos de interés y evitar actividades inapropiadas. No debe haber contactos con las autoridades externas pertinentes (como los CERT y los grupos de intereses especiales) en materia de seguridad de la información. Seguridad de la información debe ser una parte integral de la gestión de todo tipo de proyectos.
6.2 Los dispositivos móviles y el teletrabajo Debe haber políticas de seguridad y los controles de los dispositivos móviles (como los ordenadores portátiles, tablet PCs, dispositivos TIC portátiles, teléfonos inteligentes, dispositivos USB y otros niños Juguetes) y el teletrabajo (como el teletrabajo, el trabajo, desde casa, carretera-guerreros, y remotos / lugares de trabajo virtuales).
Sección 7: Seguridad de los recursos humanos hu manos 7.1 Antes del empleo
Responsabilidades de seguridad deben tenerse en cuenta en la contratación de trabajadores fijos, contratistas y agentes temporales ( por ejemplo, . través de descripciones de trabajo adecuadas, la detección pre-empleo) y se incluyen en los contratos ( por ( por ej . ej . términos y condiciones de empleo y otros acuerdos firmados en los roles y responsabilidades de seguridad ).
7.2 Durante el empleo Los gerentes deben asegurar que los empleados y contratistas se hacen conscientes y motivados para cumplir con sus obligaciones de seguridad de la información. Un proceso disciplinario formal es necesaria para manejar las brechas de seguridad de la información.
7.3 Cancelación y cambio de empleo Aspectos de seguridad de salida de una persona de la organización o los cambios significativos de los roles deben ser manejados, como devolver la información y equipos de las empresas en su poder, la actualización de sus derechos de acceso, y recordarles sus obligaciones en curso bajo las leyes de privacidad, términos contractuales , contractuales , etc
Sección 8: La gestión de activos 8.1 Responsabilidad de los activos Todos los activos de información deben ser inventariados y los propietarios deben ser identificados para ser responsables de su seguridad. Políticas de "uso aceptable" deben definirse, y los bienes deben ser devueltos cuando las personas dejen la organización. organizac ión.
8.2 Clasificación de la información La información debe ser clasificada y etiquetada por sus propietarios de acuerdo con la protección de seguridad necesaria, y manejado adecuadamente.
8.3 Manejo de los soportes Medios de almacenamiento de información deben ser manejados, controlados, mover y eliminar de tal forma que el contenido de la información no se vea comprometida.
Sección 9: Control de acceso
9.1 Los requisitos de negocio de control c ontrol de acceso Los requisitos de la organización para controlar el acceso a los activos de información deben estar claramente documentados en una política y procedimientos de control de acceso. Acceso a la red y las conexiones deben ser restringidos.
9.2 Gestión de acceso del usuario La asignación de derechos de acceso a los usuarios debe ser controlada desde el registro inicial del usuario a través de la eliminación de los derechos de acceso cuando ya no sean necesarios, incluyendo las restricciones especiales para los derechos de acceso privilegiado y la gestión de contraseñas (que ahora se llama "información secreta de autenticación"), además de las revisiones periódicas y actualizaciones de los derechos de acceso.
9.3 Responsabilidades del usuario Los usuarios deben ser conscientes de su responsabilidad para el mantenimiento de controles de acceso eficaces , eficaces , por ejemplo . elegir contraseñas seguras y mantenerlas confidenciales.
9.4 Sistema de control de acceso y la aplicación Acceso a la información debe ser restringida de acuerdo con la política de control de acceso, por ejemplo a través de Secure log-on, administración de contraseñas, control de los servicios públicos privilegiados y el acceso restringido al código fuente del programa.
Sección 10: Criptografía 10.1 Controles criptográficos Debe haber una política sobre el uso de cifrado, además de la autenticación criptográfica y controles de integridad, tales como firmas digitales y códigos de autenticación de mensajes y gestión de claves criptográficas.
Sección 11: Seguridad física y ambiental a mbiental 11.1 Las áreas seguras
Definición de perímetros y barreras físicas, con controles de entrada físicas y procedimientos de trabajo, debe proteger los locales, oficinas, salas, entrega / zonas de carga , carga , etc contra etc contra el acceso no autorizado. Asesoramiento especializado debe buscarse en relación con la protección contra incendios, inundaciones, terremotos, bombas , bombas , etc
11.2 Seguridad de los equipos "Equipo" (equipos sentido las TIC, principalmente), además de los servicios de apoyo (tales como la energía y aire acondicionado) y el cableado deben estar protegidos y mantenidos.Equipo e información no deben tomarse fuera de las instalaciones sin autorización, y deben ser protegidos adecuadamente, tanto dentro como fuera de las instalaciones. La información in formación debe ser destruida antes de que los medios de almacenamiento que se retiren o reutilizado. Equipos desatendida se debe asegurar y debe haber un escritorio y una política clara de pantalla transparente.
Sección 12: Gestión de Operaciones 12.1 Procedimientos y responsabilidades operacionales IT responsabilidades y procedimientos de operación debe documentarse. Los cambios en las instalaciones de TI y los sistemas deben ser controlados. Capacidad y rendimiento deben ser manejados. Sistemas de desarrollo, prueba y operación deben ser separados.
12.2 Protección contra malware Se requieren controles de malware, como el conocimiento del usuario.
12.3 Backup Copias de seguridad apropiadas deben tomarse y conservarse de acuerdo con una política de copia de seguridad.
12.4 Registro y control Usuario del sistema y Administrador / Operador actividades, excepciones, fallas y eventos de seguridad de la información deben ser registrados y protegidos. Los relojes deben estar sincronizados.
12.5 de control de software operativo
Instalación del controlados.
software
en
los
sistemas
operativos
deben
ser
12.6 de gestión de vulnerabilidades técnicas Vulnerabilidades técnicas se han parcheado, y no debe haber normas vigentes que rigen la instalación de software por los usuarios.
12.7 Sistemas de información consideraciones de auditoría Auditorías de TI debe ser planificada y controlada para minimizar los efectos adversos en los sistemas de producción, o el acceso a datos inadecuados.
13 Seguridad de las comunicaciones 13.1 de gestión de seguridad de red Redes y servicios de red deben asegurarse, por ejemplo, mediante la segregación.
13.2 La transferencia de información Debe haber políticas, procedimientos y acuerdos ( por ( por ejemplo, acuerdos de confidencialidad) sobre la transferencia de información a / de terceros, incluyendo la mensajería electrónica.
Sección 14: Sistema mantenimiento
de
adquisición,
desarrollo
y
14.1 Requisitos de seguridad de sistemas de información Los requisitos de control de seguridad deben ser analizados y especificados, incluyendo aplicaciones web y transacciones.
14.2 Seguridad en los procesos de desarrollo y soporte Normas sobre software seguro / desarrollo de sistemas deben definirse como la política. Los cambios en los sistemas (tanto para aplicaciones y sistemas operativos) deben ser controlados. Los paquetes de software no deben idealmente ser modificados, y los principios de ingeniería de sistemas seguros deben ser seguidas. El entorno de desarrollo debe ser asegurada, y el desarrollo subcontratado debe ser controlado. La
seguridad del sistema debe ser probado y criterios de aceptación definido para incluir aspectos de seguridad.
14.3 Los datos de prueba Los datos de prueba deben seleccionarse / generados y controlados cuidadosamente.
15: Relaciones con los proveedores 15.1 Seguridad de la información en relación con los proveedores Debe haber políticas, procedimientos, conciencia , conciencia , etc para etc para proteger la información de la organización que sea accesible a subcontratistas de TI y otros proveedores externos en toda la cadena de suministro, acordados en los contratos o convenios.
15,2 gestión de la prestación de servicios de proveedor La prestación de servicios por proveedores externos debe ser monitoreado y revisado / auditar contra los contratos / acuerdos. Cambios de servicios deben ser controlados. [Exactamente lo mismo se aplica a los servicios prestados por proveedores internos, por cierto!]
Sección 16: Información de gestión de incidentes de seguridad 16.1 Gestión de los incidentes de seguridad de la información y mejoras No debe haber responsabilidades y procedimientos para la gestión (informar, evaluar, responder y aprender de) los eventos de seguridad de información, los incidentes y las debilidades coherente y eficaz, y para recolectar evidencia forense.
Sección 17: Información de los aspectos de seguridad de la gestión de la continuidad del negocio 17.1 Información de la continuidad de seguridad
La continuidad de la seguridad de la información debe ser planificado, implementado y revisado como parte integral de los sistemas de gestión de continuidad de negocio de la organización.
17.2 Despidos Instalaciones de TI deben tener redundancia suficiente para satisfacer los requisitos de disponibilidad.
Sección 18: Cumplimiento 18.1 Cumplimiento de los requisitos legales y contractuales La organización debe identificar y documentar sus obligaciones con las autoridades externas y de terceros en relación con la seguridad de la información, incluida la propiedad intelectual, [de negocios] expedientes, privacidad / información de identificación personal y la criptografía.
18,2 opiniones seguridad de la información Acuerdos de seguridad de la información de la organización deben ser revisados de manera independiente (auditado) y reportados a la gerencia. Los administradores también deben revisar rutinariamente empleados y de los sistemas de cumplimiento de las políticas de seguridad, procedimientos , procedimientos , etc e etc e iniciar acciones correctivas cuando sea necesario.
Bibliografía La norma concluye con una lista de lectura de largo de 27 (!) Las normas ISO / IEC pertinentes.
27002 guía de implementación ISO / IEC SGSI Una colección de guías de implementación del SGSI y documentos de muestra está disponible para descargar en el libre ISO27k Herramientas y consejos de aplicación se roció abundantemente en toda nuestra ISO27k FAQ . ISO / IEC 27003 proporciona orientación genérica implementación del SGSI.
También hay unos cuantos 'sectorial' SGSI implementación de las guías es decir, ISO / IEC 27011 para el sector de telecomunicaciones, ISO / IEC TR 27015 para los servicios financieros, financieros,la norma ISO 27799 para la atención sanitaria y (en su momento) ISO / IEC 27019 para el control del proceso en el sector energético.
Consultado de http://www.iso27001security.com/html/27002.html#StructureAndFormatOfISO17799 El 11/10/2013