9/5/06

Resumen general del marco normativo en materia de seguridad de la información

De una reciente reunión del subcomité responsable del desarrollo del marco normativo en seguridad de la información me parece interesante extraer de un documento del Ministerio de Administraciones Públicas, un extracto de la reestructuración de los estandares aparecidos y en borrador en relación a la seguridad de la información y la construcción de sus sistemas de gestión.

  Posted by Picasa

En primer lugar, en la definición del futuro de las normas relativas a la gestión de la seguridad de la información son de aplicación los siguientes principios:

-La gestión de la seguridad de la información debe ser coherente con los principios generales de gobernanza de las tecnologías de la información en las organizaciones.

- La gestión de la seguridad de la información debe ser coherente con los principios de seguridad de la OCDE.

- La gestión de la seguridad de la información debe ser coherente con otros sistemas de gestión, tales como los contemplados en ISO 9001 e ISO 14001.

- La gestión de la seguridad de la información debe ser coherente con los previsto en las Guías ISO siguientes: ISO Guide 72 e ISO Guide 73.

En segundo lugar, se considera que la familia de normas de gestión de la seguridad de la información debiera cubrir áreas tales como las siguientes:
- Marco de las normas de gestión de la seguridad de la información.

- Sistemas de gestión de la seguridad de la información.

- Análisis y gestión de riesgos.
- Controles y salvaguardas.

- Métricas.

- Auditoría.

- Directrices de implantación de los sistemas de gestión de la seguridad de la información.

- Difusión y concienciación.

Así también, cabe considerar aspectos tales como los siguientes:
- Productos y servicios.
- Política y procedimientos.
- Personal.
- Seguridad física.
- Esquemas de reporte.

En consecuencia, se considera que las siguientes normas son necesarias para completar la familia de normas de gestión de la seguridad de la información:

- Marco de las normas de gestión de la seguridad de la información. Debe haber un marco que proporcione una visión global de la familia de normas de gestión de la seguridad de la información y que explique las áreas de normalización, cubiertas o no por normas existentes a la fecha, las relaciones y dependencias de estas normas entre sí y con otras familias de normas; en particular, las relaciones con la familia de normas relativas a evaluación y certificación de la seguridad de las tecnologías de la información (ISO/IEC 15408) y aspectos complementarios como la elaboración de perfiles de protección (ISO/IEC 15446).
- Normas relativas a los sistemas de gestión de la seguridad de la información. Este pudiera ser un documento compuesto de varias partes que trate de cuestiones relativas a la especificación de los sistemas de gestión y a su evaluación.
- Norma relativa al análisis y gestión de riesgos. El análisis y gestión de riesgos es una actividad fundamental en la gestión de la seguridad de la información para identificar los requisitos de seguridad, establecer las políticas y objetivos de seguridad, para seleccionar los controles y salvaguardas proporcionados a los riesgos identificados y para gestionar riesgos emergentes derivados del cambio continuo en la tecnología, los actores, los requisitos, el marco legal, las amenazas, etc. Este papel del análisis y gestión de riesgos ya ha sido identificados por las normas ISO/IEC TR 13335, ISO/IEC IS 17799 e ISO/IEC 15408. También es reconocido por las Directrices de seguridad de la OCDE.
- Norma de métricas. Las métricas cuantitativas son relevantes para la gestión de la seguridad de la información, el análisis y gestión de riesgos y la eficacia, eficiencia y calidad de los controles implantados.
- Norma relativa a controles y salvaguardas. Esta norma se puede alcanzar a través de la convergencia entre ISO/IEC IS 17799 e ISO/IEC 13335. La carencia de armonización entre los dos documentos introduce confusión e incertidumbre en relación con cuál es el papel específico de cada una de estas dos normas y cuál es su relación en el sentido de que puedan ser opciones alternativas.
- Normas relativas a la auditoria de la gestión de la seguridad de la información. Se pueden considerar diversas fuentes como IEEE 1028, ISO 9126, ISO/IEC 12207, Guide to Software Quality Audit of EEA y otras posibles.
- Directrices relativas a la difusión y concienciación de la seguridad de la información.

6 comentarios:

Anónimo dijo...

Iso 24001??? No sera ISO 27001 la e lso requisitos de sistemas de gestión e ISO 27004 la de métricas?

Javier Cao Avellaneda dijo...

Si,
27001 la de especificaciones de los sistemas de gestión (SGSI) e ISO 27004 la que establece las métricas. ¿Dónde has leído en mi blog 24001?

José Manuel Fernández dijo...

Buenas. Pues el usuario anónimo se refiere a la denominación que han usado en la imagen que has incluido en el post: IS 24001, IS 24004, ... Llama la atención que no hayan actualizado la Norma de SGA a la versión 2004, sobre todo siendo un documento que afecta a normas. En fin. Soy demasiado purista para estas cosas, pero la verdad es que no afecta a SI. Cuando me dijeron que habían colgado esto, esperaba un documento mejor, con datos más jugosos. Es una panorámica, pero deberían aclarar ciertos términos que se echan de menos. Dejémoslo en 'Documento interesante'.

Deberían entrar en el 'Mundo Rosa' y recrear programas de testimonios acerca de los 'dimes y diretes' (¿se escribe así?)con los ingleses sobre estas Normas. Varias personas de las que han estado directamente más relacionadas con el tema BS 7799-2 Vs. UNE 71502 Vs. ISO xxx (que resultó ser 27001), podrían contar historias para no dormir, alguna de las cuales, podría dar cierto sentido del humor a las posturas de ciertas personas. Total que para que le pongan al bonito título (ISO 27001) el 'UNE' por lo visto hay que esperar como año y medio según me comentan desde AENOR.

Bueno, a ver cuándo siguen introciendo algunas BS más que interesantes que quedan por ahí referentes a SI. Por ejemplo, para el tema de RRHH en entornos de riesgo (no pretende ser una traducción del título, sino una orientación de la temática) BS 7858:2004 es un documento interesante de consultar, lo que pasa es que valía como 30.000 de las antiguas pelas. Dividiendo por folio útil ... un susto. En fin.

Javier Cao Avellaneda dijo...

No había advertido que lo que estaba mal era el dibujo porque la fuente es el MAP y lo único que he hecho ha sido subir la imagen. Según nos comenta el responsable de SGSI de AENOR, la UNE ISO 27001 parece que estará para este verano porque Firma, Proyectos y Formación S.L. quiere iniciado el proceso de certificación y así nos lo han hecho saber.

José Manuel Fernández dijo...

No sé si te refieres a Carlos Manuel Fernández. Bueno, hablar de fechas es eso. Él medijo por teléfono hace dos días que se esperaba en año y medio, ya que hemos presentado oferta a un proyecto bastante grande y queríamos delimitar fechas, ''normas'', etc. Es la información de primera mano que me dió. Si conoces esa fecha y a nosotros nos han dado otra, así como desde el Comité nos dicen otra ... pues ya podemos sacar conclusiones.

Por cierto, tras hablar con Sergio Hernando, pues he decidio lanzar lo que sería mi blog (http://iso9001-iso27001-gestion.blogspot.com). No será específico de ISO 27001 pero sí trataré los asuntos de los que me vaya enterando por mis propias carnes. Supongo que cuando vea información importante en el tuyo pues te referenciaré. Queda a tu disposición. Es un site de información general de gestión que, a ver si puedo mantener dentro de dos semanas con las ganas que lo estuve haciendo todo ayer. Ya se sabe como es esto.

José Manuel Fernández dijo...

No sé si te refieres a Carlos Manuel Fernández. Bueno, hablar de fechas es eso. Él medijo por teléfono hace dos días que se esperaba en año y medio, ya que hemos presentado oferta a un proyecto bastante grande y queríamos delimitar fechas, ''normas'', etc. Es la información de primera mano que me dió. Si conoces esa fecha y a nosotros nos han dado otra, así como desde el Comité nos dicen otra ... pues ya podemos sacar conclusiones.

Por cierto, tras hablar con Sergio Hernando, pues he decidio lanzar lo que sería mi blog (http://iso9001-iso27001-gestion.blogspot.com). No será específico de ISO 27001 pero sí trataré los asuntos de los que me vaya enterando por mis propias carnes. Supongo que cuando vea información importante en el tuyo pues te referenciaré. Queda a tu disposición. Es un site de información general de gestión que, a ver si puedo mantener dentro de dos semanas con las ganas que lo estuve haciendo todo ayer. Ya se sabe como es esto.