documentacion de la iso 27001
TRANSCRIPT
PIRÁMIDE DOCUMENTAL
DE LA ISO 27001:2005
NIVEL I
NIVEL II
NIVEL III
NIVEL IV
Describe como se realizan las tareas y
actividades específicas
Proveen evidencia objetiva de la conformidad con el SGSI / Proporcionan
información
Descripción de procesos. ¿quién
hace qué y cuándo?
Cláusula 4.3.1.
Manual de Seguridad de Información
Procedimientos
Instrucciones de trabajo
Documentos
Nivel I: Manual de seguridad
• No es un requisito del modelo.• Organiza la documentación• Facilita la auditoría• Agrupa la documentación de la ISO 27001• Cláusula 4.3.1 • Está conformado por:
1. Enunciado de la política del SGSI2. Alcance del SGSI3. Procedimientos y controles de soporte4. Descripción de la metodología de evaluación del riesgo5. Reporte de evaluación del riesgo6. Plan de tratamiento del riesgo7. Declaración de aplicabilidad
Nivel II: Procedimientos
• Todos los procedimientos exigidos por la norma.
• Cuando se decide por un control para la reducción del riesgo, se debiera documentar el procedimiento a seguir.
• Apéndice 3, “Documentación del ISO 27001”, se encuentran los documentos más importantes que se debieran documentar.
Nivel III: Instrucciones de trabajo
• Es la información que explica en detalle cómo se efectúa una operación concreta.
• Listas de chequeo, flujogramas, tablas de decisión, ayudas visuales, etc.
• La utilización de instrucciones de trabajo dependerá directamente de la experiencia y el nivel de entrenamiento consumido por parte del ejecutor de las tareas.
Nivel IV: Documentos
• Agrupa los registros y documentos utilizados en un SGSI.
• Registro: es un aval de que se cumplió con una exigencia.
• Documento: información y su medio de soporte. Ejemplo: política, un reporte o un formulario.
• ¿Qué documento o dato permitirá demostrarle a un tercero que se está cumpliendo con los requisitos indicados?
Enunciado de la política del SGSI
Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico.
Para su formulación se deben tener en cuenta dos elementos:
Tecnología: definir los aspectos técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. El apoyo de la Administración es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios.
Personas: definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Dirigir las acciones necesarias para modificar la cultura de seguridad actual.
Temas de la política
Para elaborar una política, es necesario delimitar los temas que serán convertidos en normas, depende de las necesidades de la organización y su delimitación se hace a partir de:• el conocimiento del ambiente organizacional,
humano o tecnológico,• la recopilación de las preocupaciones sobre
seguridad de parte de los usuarios, administradores y ejecutivos de la empresa
Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos.Seguridad de la red corporativa: configuración de los SO, acceso lógico y remoto, autenticación, Internet.Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia.Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus.Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria.Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental.
Alcance del SGSI
En la cláusula 4.2.1 la norma plantea:
“Definir el alcance y los límites del SGSI en términos de las características del negocio, la organización, su ubicación, activos, tecnología e incluyendo los detalles y la justificación de cualquier exclusión del alcance”.
Descripción de la metodología de evaluación del riesgo
Una breve descripción de cómo se llevó a cabo el análisis de los riesgos y su respectiva evaluación. Incluir las siguientes tablas:• Activos con su valoración y su propietario• Amenazas + vulnerabilidades y probabilidad
de ocurrencia• Cálculo del Riesgo (Activo + amenaza =
Riesgo) y su valoración en impacto y ocurrencia.
• Importancia del riesgo.
Reporte de la evaluación del riesgo
Este reporte contempla la siguiente información:• Lista de riesgos ordenados por prioridad (de
mayor a menor)• Controles que se eligieron para el tratamiento
del riesgo.
RiesgoValor Prioridad Estrategi
a ControlesActivo
Amenaza
Plan de tratamiento del riesgo
Declaración de aplicabilidad
Objetivos de control
Controles
Aplicabilidad
Justificación
A.5.1.Política de
seguridad de información
A.5.1.1
A.5.1.2
Si
Si
Es necesario establecer las políticas de seguridad de la BD, ya que aquí se tiene toda la información vital del negocio.Es necesario revisar periódicamente las políticas de seguridad de las BD para asegurar que se cumplan.
A.6.1Organización
interna
A.6.1.1A.6.1.2A.6.1.3A.6.1.4
SiSiSiSi
Es necesario tener controles y políticas para el manejo de la seguridad de la información dentro de la organización.
A.6.2Entidades externas
A.6.2.1A.6.2.2
SiNo
No se necesitan controles para mitigar riesgos con terceros.Es necesario establecer requerimientos de seguridad porque hay documentos muy confidenciales que son trasladados por terceros.
MANUAL DE SEGURIDAD
1. Índice2. Introducción3. Política del Sistema de Gestión de
Seguridad de Información4. Alcance del Sistema de Seguridad de
Información5. Metodología de Evaluación del Riesgo6. Reporte de la Evaluación del Riesgo7. Plan de Tratamiento del Riesgo8. Declaración de Aplicabilidad9. Conclusiones10.Anexos
Ejercicio 8:Elaborar el Manual de Seguridad con todas las partes que se revisaron en clase, incluyendo una carátula.
Fecha de presentación y sustentación: 15 de noviembre