Scribd Logo
Upload

Welcome to Scribd!

  • 2 - Fundamentos ISO 27002

    Uploaded by

    Edison Matute
    233 views18 pages

    Original Title

    2_Fundamentos ISO 27002

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PPTX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    233 views18 pages

    2 - Fundamentos ISO 27002

    Uploaded by

    Edison Matute

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 18

    ISO/IEC 27002:2005

    Marcos Sotelo B. msperu21@gmail.com Lima-Per, Febrero 2012

    ISO/IEC 27002:2005
    Basado en BS 7799-1:1999 ISO
    17799:2000. Se utiliza como un documento de

    referencia.
    Provee un conjunto de controles de seguridad. NO es certificable.

    ISO/IEC 27002:2005
    Introduccin
    0. Introduccin 1. Alcance 2. Trminos y definiciones 3. Estructura del estndar

    Anlisis de riesgos

    4.1 Identificacin de riesgos de seguridad de la informacin 4.2 Tratamiento de riesgos de seguridad de la informacin

    Objetivos de control y controles

    11 Dominios 39 Objetivos de control 133 Controles

    ISO/IEC 27002:2005
    Seccin 0: Introduccin
    Qu es Informacin & Seguridad de la Informacin
    La informacin es un activo, se encuentra en diferentes formas, debe ser protegida, etc.

    Por qu es necesaria la Seguridad de la Informacin Requerimientos de seguridad Cmo establecerlos? Evaluacin de los riesgos de seguridad Seleccin de controles Punto de partida para la seguridad de la informacin Factores crticos de xito
    Algunos aspectos han sido revisados en las secciones anteriores

    ISO/IEC 27002:2005
    Seccin 1: Alcance de la norma

    Guas y principios generales para iniciar, implementar, mantener y mejorar la gestin de la seguridad de la informacin en la organizacin.

    ISO/IEC 27002:2005
    Seccin 2: Trminos y definiciones
    Seguridad de la Informacin: Integridad. Confidencialidad. Disponibilidad.

    Autenticidad, responsabilidad (accountability), no-repudio, confiabilidad.

    ISO/IEC 27002:2005
    Seccin 2: Trminos y definiciones
    Seccin ampliada con mayor cantidad de trminos Aclaran y precisan el concepto de algunos trminos usados en la norma:

    Infraestructura de procesamiento de informacin (facilities). Seguridad de la Informacin. Eventos de Seguridad de la Informacin. Incidentes de Seguridad de la Informacin. Definiciones relacionadas con el Riesgo.

    ISO/IEC 27002:2005
    Seccin 2: Trminos y definiciones Definicin de Trminos:
    Asset, Control, Guideline, Information Processing Security, Facilities, Information Event,

    Information

    Security

    Information

    Security

    Incident,

    Policy,

    Risk, Risk Analysis, Risk Assessment, Risk Evaluation, Risk Management, Risk Treatment, Vulnerability. Third Party, Threat,

    ISO/IEC 27002:2005
    Seccin 3: Estructura del estndar
    This standard contains 11 security control clauses
    collectively containing a total of 39 main security categories and one introductory clause introducing risk assessment

    and treatment 11 Clusulas


    39 Categoras principales de seguridad

    133
    1

    Controles
    Clusula introductoria Evaluacin y tratamiento del riesgo

    MSC: Main Security Category Categora principal de seguridad: Objetivo de control

    ISO/IEC 27002:2005
    Seccin 3: Estructura del estndar 3.1 Clauses (# of Main Sec) - Dominios o reas
    Security Policy (1) Organizing Information Security (2) Asset Management (2) Human Resources Security (3) Physical and Environmental Security (2) Communications a Operations Management (10) Access Control (7) Information Systems Acquisition, Development and Maintenance (6) Information Security Incident Management (2) Business Continuity Management (1) Compliance (3)

    ISO/IEC 27002:2005
    Seccin 3: Estructura del estndar 3.2 Main Security Categories
    Define qu contiene cada MSC (Main Security Category). Un objetivo de control que establece qu se pretende lograr. Uno o ms controles que pueden ser aplicados para lograr el objetivo de control.

    Describe la estructura de los controles: Control. Implementation Guide. Other information (e.g. reference to other standards..).

    ISO/IEC 27002:2005
    Seccin 4: Evaluacin y tratamiento del riesgo
    4.1 4.2 Evaluacin de los riesgos de seguridad. Tratamiento de los riesgos de seguridad.

    ISO/IEC 27002:2005
    Seccin 4: Evaluacin y tratamiento del riesgo
    Define los conceptos de: Evaluacin de los riesgos de seguridad

    Identificar, cuantificar y priorizar. Aproximacin sistemtica, realizada peridicamente, con un alcance claramente definido.
    Tratamiento de los riesgos de seguridad Criterios para aceptacin del riesgo, opciones para tratamiento del riesgo para cada riesgo identificado en RA

    Dominios Anexo A 27001 / Contenido 27002


    Poltica de seguridad Organizacin de la seguridad de la informacin Gestin de activos Seguridad de los recursos humanos Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de acceso Adquisicin, desarrollo y mantenimiento de S.I. Gestin de incidentes de seguridad de informacin Gestin de la continuidad de negocio Cumplimiento

    Relacin ISO 27001 ISO 27002

    Optimizacin de la efectividad de la seguridad de la informacin. Diferenciacin de la competencia. Satisfaccin de los requerimientos de los clientes. nico estndar con aceptacin mundial. Potenciales descuentos en seguros y plizas.

    Debida diligencia.

    You might also like