ISO / IEC 27035: 2016 Gestión de incidentes de seguridad de la información
Introducción
Los controles de seguridad de la información son imperfectos de varias maneras: los controles pueden verse abrumados o socavados ( por ejemplo ejemplo , piratas informáticos competentes, defraudadores o malware), fallar en el servicio ( por ( por ejemplo, fallas ejemplo, fallas de autenticación), funcionar de forma parcial o inadecuada ( por ( por ejemplo, ejemplo, detección detección lenta de anomalías) o ser más o falta menos por completo ( p ( p . . ej ., ej ., no [todavía] totalmente implementado, no [todavía] completamente operativo, o nunca concebido debido a fallas en el proceso de identificación y análisis de riesgos). En consecuencia, consecuencia, los incidentes de seguridad de la información están destinados a destinados a ocurrir en cierta medida, incluso en organizaciones que toman muy en serio su seguridad de la información.
La gestión efectiva de incidentes involucra controles detective y correctivos diseñados para reconocer y responder a eventos e incidentes, minimizar impactos adversos, reunir evidencia forense (cuando corresponda) y, a su debido tiempo, 'aprender las lecciones' en términos de impulsar mejoras al SGSI, generalmente mejorando los controles preventivos u otros tratamientos de riesgo.
Los incidentes de seguridad de la información comúnmente implican la explotación de vulnerabilidades no reconocidas previamente y / o no controladas, por lo tanto, la gestión de vulnerabilidades ( por ejemplo, la aplicación de parches de seguridad relevantes a los sistemas informáticos y el tratamiento de diversas deficiencias de control en los procedimientos operativos y de gestión) es parte preventiva y parte.
Alcance y propósito El estándar cubre los procesos para administrar eventos de seguridad de la información, incidentes y vulnerabilidades. La norma se amplía a la sección de gestión de incidentes de seguridad de la información de ISO / IEC 27002 . [La versión 2016 hace referencia cruzada a esa sección y explica su relación con los estándares ISO27k eForensics.] Estructura y contenido
La norma establece un proceso con 5 etapas clave: 1. Prepárese para tratar incidentes, por ejemplo, prepare una política de gestión de incidentes y establezca un equipo competente para tratar los incidentes; 2. Identificar e informar incidentes de seguridad de la información; 3. Evalúe los incidentes y tome decisiones sobre cómo abordarlos, por ejemplo, arregle las cosas y vuelva a los negocios rápidamente, o recabe evidencia forense incluso si retrasa la resolución de los problemas; 4. Responder a los incidentes, es decir, contenerlos, investigarlos y resolverlos;
5. Aprenda las lecciones: más que simplemente identificar las cosas que se podrían haber hecho mejor, esta etapa implica realizar cambios que mejoran los procesos. El estándar proporciona formularios de informes de plantilla para eventos de seguridad de la información, incidentes y vulnerabilidades. Estado de la norma ISO / IEC 27035 reemplazó a ISO TR 18044. Fue publicado en 2011 , luego revisado y dividido en tres partes.
ISO / IEC 27035-1: 2016 Principios de gestión de incidentes
Alcance y propósito: la parte 1 describe los conceptos y principios que sustentan la gestión de incidentes de seguridad de la información e introduce la parte o partes restantes del estándar. Describe un proceso de gestión de incidentes de seguridad de la información que consta de cinco fases y explica cómo mejorar la gestión de incidentes. Contenido: el proceso de gestión de incidentes se describe en cinco fases que corresponden estrechamente a las cinco fases de la primera edición: 1. Planifique y prepare: establezca una política de gestión de incidentes de seguridad de la información, forme un Equipo de respuesta a incidentes, etc. 2. Detección e informes: alguien debe detectar e informar los "eventos" que podrían ser o convertirse en incidentes; 3. Evaluación y decisión: alguien debe evaluar la situación para determinar si de hecho es un incidente; 4. Respuestas: contener, erradicar, recuperar y analizar forensemente el incidente, según corresponda; 5. Lecciones aprendidas: realizar mejoras sistemáticas en la gestión de riesgos de información de la organización como consecuencia de incidentes experimentados.
Los anexos dan ejemplos de incidentes de seguridad de la información y referencias cruzadas a las normas eForensics e ISO / IEC 27001 . Estado: la parte 1 se publicó en noviembre de 2016 . Nota: algunos términos difieren en los estándares 27035 de las definiciones establecidas en ISO / IEC 27000 , así que asegúrese de verificar cuidadosamente las definiciones si usa este estándar. ISO / IEC 27035-2: 2016 Pautas para planificar y prepararse para la respuesta al incidente Alcance y propósito: la parte 2 se refiere a la garantía de que la organización está lista para responder apropiadamente a incidentes de seguridad de la información que aún pueden ocurrir. Aborda la pregunta retórica "¿Estamos listos para responder a un incidente?" Y promueve el aprendizaje de incidentes para mejorar las cosas para el futuro. Cubre lasfases Planificar y preparar y Lecciones aprendidas € del proceso descrito en la parte 1. Contenido: después de las secciones de preámbulo habituales vienen 8 cláusulas principales: 4. Establecer política de gestión de incidentes de seguridad de la información 5. Actualización de políticas de seguridad de la información y gestión de riesgos 6. Crear plan de gestión de incidentes de seguridad de la información 7. Establecer un Equipo de Respuesta a Incidentes (IRT) [aka CERT o CSIRT] 8. Definición de soporte técnico y de otro tipo 9. Crear conciencia de incidentes de seguridad de la información y capacitación 10. Prueba (o más bien ejercicio) del plan de gestión de incidentes de seguridad de la información
11.
Lección aprendida
... más anexos con ejemplos de categorización de incidentes y notas sobre "aspectos legales y regulatorios" (principalmente privacidad en la práctica). Estado: la parte 2 se publicó en noviembre de 2016 . ISO / IEC 27035-3: directrices para las operaciones de respuesta a incidentes (borrador) Alcance y propósito: orientación para gestionar y responder de manera eficiente a incidentes de seguridad de la información, utilizando tipos de incidentes típicos para ilustrar un enfoque que cubra lasfases de detección e informe , evaluación y decisión y respuesta del proceso descrito en la Parte 1, más actividad posterior al incidente ( una sexta fase importante que en realidad no se identifica como tal en la Parte 1). Contenido: dos cláusulas principales que cubren las operaciones de respuesta a incidentes (criterios de incidentes y procesos de respuesta,es decir , monitoreo, detección, evaluación, análisis, respuesta, informes y lecciones de aprendizaje); y ejemplos genéricos de tipos comunes de incidentes (como denegación de servicio e incidentes de malware). Anexos para ofrecer criterios para categorizar incidentes y formularios de plantilla. La norma podría hacer referencia a los estándares forenses digitales ISO27k ya que la respuesta a incidentes a menudo es la primera oportunidad para identificar que una situación puede terminar en el tribunal, por lo que el proceso forense a menudo comienza aquí. Estado: la parte 3, tal como se concibió originalmente, se canceló, pero un período de estudio exploró las opciones para la parte 3, lo que dio lugar a una nueva propuesta de artículo de trabajo en 2017. Comentarios personales A pesar del título, los estándares 27035 realmente se refieren a incidentes que afectan los sistemas y redes de TI, aunque los principios subyacentes también se aplican a incidentes que
afectan a otras formas de información como papeleo, conocimiento, propiedad intelectual, secretos comerciales e información personal. Desafortunadamente (en lo que a mí respecta), el lenguaje es casi totalmente de TI o relacionado con las TIC. Eso, para mí, representa otra oportunidad desperdiciada: un ISMS ISO27k incluye, pero va más allá de la 'ciberseguridad'. Todavía no entiendo por qué este estándar se dividió en tres: las partes separadas son de poco valor como estándares discretos, divorciados del todo. Se supone que los viejos clientes pobres (hey, ¿los recuerdas?) Comprarán, conciliarán y aplicarán tres estándares discretos en lugar de uno.
