TECNOLOGIA LA INFORMACIN TCNICAS B E SEGURIDAD. SISTEMAS GESTI~N/DE LA SEGURIDAD DE INFORMACI~N (SGSI). REQUISITOS
d~
ICONTEC
CORRESPONDENCIA:
esta norma es una adopcin iddntica (IDT) por traduccibn, respecto a su documento de referencia, la norma ISOIIEC 27001.
DESCRIPTORES:
I.C.S.: 35.040.00
Editada por el lnstltuto Colombiano de Normas Tdenicas y Cdficacibn (ICON-TEC) Apartado 14237 Bogoth, D.C. - Tel. 607- Fax 2221435
Pmhibida su repmtuccibn
Editada 20064443
NTC-ISOIIEC 27001
m. :
gi?i:r:
,.
**.h
+
9 ,
TECNOLOGCADE LA IMFORMACIN. TECNICAS DE SEGURIDAD. SISTEMAS . G E S ~ O N DE . LA SEGURIDAD' DE " INFORMACldN (SGSi). REQUISITOS
DE LA
E:
- ,
MANAGEMENT SYSTEMS.
.J.
'
kg..
s.
.
,-
, ,:
I
,t
I
. :
& :
:
,
;
.
Ii r . .
,a#,.:,'-;
ISOllEC 27001,
;
8'
ir?'?br: .
/ * - ' .
DESCRIPTORES:
i
e.
.,
:
;-
.:,
.--
. . ,. , ._.
..
..-
'
. ._-
l.!
.'
-t
y % , :
>
j;
El Instituto Colombiano de Normas Tcnicas y Certificacibn, ICONTEC, es el organismo nacional de normalizacin, segn el Decreto 2269 de 1993.
ICONTEC es una entidad de caracter privado, sin nimo de lucro, cuya Misin es fundamental
para brindar soporte y desarrollo al productor y proteccibn al consumidor. Colabora con el sector gubernamental y apoya al sector privado dei pals, para lograr ventajas competitvas en -11. ' ... .. .. los mercados interno y externo,
, , d 5
'
La representacien de todos los sectores involucrados en el proceso de Normalizacidn f ecnica esta garantizada por los Comites Tcnicos y el perlodo de Consulta Pblica, este Qttimo caracterizado por la participacindel pblico en general.
Esta norma esta sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales.
A continuacin se relacionan las empresas que colaboraron en el estudia de esta norma a traves de su participacidn en el Comitg Tenico 181 Tknicas de seguridad de la informacibn.
AV VILLAS ASOCIACIN BANCARIA DE COLOMBIA BANCO CAJA SOClAU COLMENA BCSC BANCO GRANAHORRAR BANCO DE LA REPUBLICA BANISTMO CO LSUBSlDlO D.S. SISTEMAS LTDA. ETB S.A. ESP
FLUlDSlGNAL GROUP S.A. IQ CONSULTORES IQ OUTSOURCING S.A. MEGABANCO NEW NET S.A. SOCIEDAD COLOMBIANA DE ARCHIVISTAS UNIVERSIDAD NACIONAL DE COLOMBIA
Ademss de las anteriores, en Consulta Pblica el Proyecto se puso a consideracidn de las siguientes empresas:
ABN AMRO BANK AGENDA DE CONECTIVIDAD AGP COLOMBIA ALPINA S.A, ASESORIAS EN SISTEMATIZACIN DE DATOS S.A. ASOCIACIM LATINOAMERICANA DE PROFESlONALES DE SEGURIDAD INFORMARCA COLOMBIA ATH
BANCAFE
BANCO AGRARIO DE COLOMBIA BANCO COLPATRIA RED MULTlaANCA COCPAlRIA
BANCO OAVlVl ENDA BANCO DE BOGOTA BANCO DE COLOMBIA BANCO DE CREDITO BANCO DE CREDITO HELM FINAFJC1AL SERWCES BANCO DE OCCIDENTE BANCO MERCANTIL DE COLOMBIA BANCO POPULAR BANCO SANTANDER COLOMBIA BANCO STANDARD CHARTERED COLOMBIA BANCO SUDAMERlS COLOMBIA BANCO SUPERIOR BANCO TEQUENDAMA
BANCO UNIN COLOMBIANO BANK BOSTON BANK OF AMERICA COLOMBIA BBVA BANCO GANADERO BFR S.A. CENTRO DE APOYO A LA TECNOLOGIA INFORMATICA -CATICITIBANK COlNFlN LTDA. COLGRABAR LTDa)r+;=;;2.3 t ,, ? q ; 2; ~ .~ , , ; . COMPAN~A AGRICOLA DE SEGUROS DE VIDA CONSTRUYECOOP CORPOWCION FINANCIERA COLOMBIANA CORPORACION FINANCIERA CORFINSURA CORPORACIN FINANCIERA DEL VALLE CREDIBANCO VISA CYBERlA S.A. ESCUELA DE ADMINISTRACION DE NEGOCIOS -EANFEDERACION COLOMBIANA DE LA INDUSTRIA DEL SOFTWARE - FEDESOFT-
INCOCREDITO
INDUSTRIAS ALIADAS S.A. INTERBANCO MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO MINISTERIO DE DEFENSA N.C.R. NEXOS SOFTWARE LTDA. REOEBAM MULTICOLOR SECRETARIA DE HACIENDA DlSTRlTAL SERVIBANCA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO TMC & CIA UNIDAD DE SRVK:E TECNOLGm LTDA UNIVERSIDAD DE LOS ANDES UNIVERSIDAD JAVERIANA WORLDCAD ETDA.
"" '
,,
V N T E C cuenta con un Centro de Inforrnacidn que pone a disposicidn de los interesados normas Internacionales, regionales y nacionales y otros documentos relacionados. < .- ;:$c:, p?;y:, . ' - - a Q i ;?b- 4-a 5 - ;&qlot y*- ';k. DIRECCI~NDE NORMALIZACION
' 1
-.. ._
, ,
+ :',=:e. , ., *
.-.
:;,y
s.
imRoouw
.................................................................................................. l
................................................................................................
I
0.1 0.2
0.3
QEII#RALdDAES
1.1
1.2
1 1
................................. ......................................................................... 1
. .
REFERENCIA NORMATIVA
.....................................................................................
SRMINOS Y DEFIYICIOES
...................................................................................2
..................... 4
4
4.1
4.2
REQHISITOS GENERALES
...................................................................................
............................................................
4
9
10
10
4.3
.......................................................................
RESPONSABILIDAD DE LA DIRECCIN
COMPROIIIIISO DE LA WRECC16N
..............................................................
....................................................................
................................................................. 1 2
HL.
Pagina
.-*.A
7.1
7.2
7.3
....................................................... GENERALIDADES ............................................................................................ INFORMACIN PARA LA REVISION ..................................................................... RESULTAMIS DE LA REVISIN ........................................................................
R E V I S ~ ~DEL SGSI POR LA DIRECCIN AI
m
*m . . . .
12 1 2
12
13
U.
8.1
8.2
.............................................................. 13
13
8.3
14 14
ANEXO A
OBJETlVOS DE CONTROL Y COMTROLES
ANEXO S
15
..........................................................
33
A~XO c
CORRESPONDENCIA ENTRE LA NTC-ISO 9001.2000. LA NTC-ISO 14001.2004. Y LA PRESENTE NORMA 34
.................................................................................. .. ..
1
/
.
i
NTC-IYUIEC 11001
0.1
GENERAUDADES
Esta norma ha sido elaborada para brindar un modelo para el establecimiento, irnplemeritacin, operacin, seguimiento, revisin, mantenimiento y mejora de un sistema de gestidn de la segurida de la informacin (SGSI). La adopcin de un SGSl deberfa ser una decisidn estratgica para una organizacin. El diseno e lrnplementacin del SGSl de una organizacion estan influenciados por las necesMades y objetlvos, los requisltos de seguridad, los procesos empleados y el tamailo y estructura de la organizacin. Se espera que estos aspectos y sus sistemas de apoyo camMen con el tiempo. Se espera que la implernentacibn de un SGSl se ajuste de acuerdo con las necesidades de la organizacin, por ejemplo, una situacin simple requiere una solucln de SGSl simple.
Esta norma se puede usar para evaluar la confwmidad, por las partes interesadas, tanto internas como externas.
0.2
1
j
Esta norma promuwe la adopcidn de un enfoque basado en procesos, para establecer, irnplementar, operar, hacer seguimiento, mantener y mejorar el SGCI de una organizacibn.
Para funcionar eficazmente, una organizacidn debe identificar y gestionar muchas actividades. Se puede considerar como un proceso cualquier actividad que use recursos y cuya gestidn permita la transformacin de entradas en salidas. Con frecuencia, el resultado de un proceso estituye directamente la entrada del proceso siguiente.
- -.
La aptlcacln de un sistema de procesos dentro de una organizacibn, junto con la identificacidn e interacciwies entre estos procesos, y su gestin, se puede denominar como un "enfque basado en procesos".
irnpkmentar y operar controles para manejar los riesgos de seguridad de la infmacidn de una wganizacion en el contexto de los riesgos giobales del negocio de la organizacibn;
c)
'
el seguimiento y revisin del desernpeAo y eficacia del SGSI, y la mejora continua basada en la medicin de objetivoc.
Esta norma adopta el modelo de procesos "Planificar-Hacer-Verificar-Actuar"(PHVA), que se aplica para estructurar todos los procesos del SGSI. La Figura 1 ilustra cmo el SGSi torna como elementos de entrada los requisitos de seguridad de la informacin y las expectativas de las partes interesadas, y a traves de las acciones y procesas necesarios produce resultados de seguridad de la Informacin que cumplen estos requisitos y expectativas. L Figura 1 tambien a Ilustra los vfnculos en los procesos especlfkados en los numerales 4, 5, 6, 7 y 8.
La adopcin del modelo PHVA tambin reflejar8 los principios establecidos en las Directrices
OCDE (2002)' que controlan la seguridad de sistemas y redes de informacin. Esta norma
brinda un modelo robusto para implementar los principios en aquellas directrices que controlan la watuacibn de riesgos, diseo e irnplementacidn de la seguridad, gestin y reevaluacin de fa seguridad.
EJEMPLO 1 Un requisito - 8 1 ser que las vWaclones ei la segurldad de la infwmaci6n no causen dano nnanclero severa a una organizacion, ni sean motivo de premupaci&I para esta.
EJEMPLO 2 Una expeaadva podrla ser que SIa u r e wi Incidente serio, como pw ejemplo el Hacklng del sitio web de una organtzodbn, haya personas con capacitaci* suficiente en los pmcedimientos apropiarloc, para
minhnlzar el impacto.
__-e----
_-*-
Partes
,dd
~ntemdas
/ '
y , , 0
FlanW r
--__ %, .-.
x
% \
Panes
~~~~S
,'
'
I \
\ \ \ \
\
I Cii IqI--!
e SGSt l
""\\\ \
\ 1 1 1
i 1
1 t
/
\ \
,
'x
'. . -.
'
/ ,
revisar d SGSl
/M '
Seguridaa*
L9kAwmackki
-------__--__-----~
M
VerHbr
*-
geionada
W r e m k e s OCDE para le wgwtdad de slsiemas y re& de krfomiaelm.Hada wta eu9uira de la seguridad. Parfs: OCDE, Julio c 2002.winw,&.org. k
II
h w k a f (establecer el SGSI)
7 del SGSI.
la poltica, los objeths, m e s o s y p"edhnientos de w d P W para ge9-r el riesgo y +ar la seguridad c la Infwmadbn, con e k l fin de emregar resultados aeardes cwr las polticas y o W h s qlobles de una aqsnlzacln. I m p l e m r y operer la poiltb, bs conaoles, p e s o s y
Esta-
Evaiwr, y, en dmuk sea ap#eable, meti& el del~contralapolftbyios~deseguldad y la przlcth, y r e p t a r los msultadw a la a d b n , para w mi?Wn.
b m r (mantener y r nr
e SGSI) i
en im res&&m
del SGSI.
de la
cta m a e m - alineada con la NTC-ISO 9001:2000 y la NTC-ISO 14001:2004, con el fin de dpyar la hnplememadh y operacibn, consistentes e integradas con sistemas de gestidn rebchados. Un sistema de gestldn diseado adecuadamente puede entonces satisfacer los fequ+sbsde todas estas m s . la Tabla C.1 taistra la rehcibn entre los numerabs de esta m, mNTC-tSO 9001:2000 y la NTC-ISO 14001:2004. !a
Esta norma esta disenada para'perrnitlr que una organizaclon alinee o integre su SGSl con los -8de los sistemas de gestin relacionados.
dem-wa-.
OBJETO
k a mmna cubse todo tlpo de organlackmes (por ejemplo: empresas comerciales, agencias -les, apanizacbms s nimo de -1. l Esta mxma especifica los requisitos pera m k r implementar, operar, hacer seguimiento, revisar, mantener y m b e, r un SGS1 d w m m m c b dentro dd contexto de los riesgos glabales del nqmb de la organizacbn. s los requis#os para la implementacbn de controles de seguridad adaptados a las &dd&s de !as organizeicbes individuab o a partes de ellas.
-Jan
B5GSI a disettado para asegurar c m m k de sqwidad w k h t e s y pqmcionales que los acvos de informacin y brinden confianza a las partes interesadas.
WTA 1
Las q se hacen en esta ma 'negado" se deberran Hqxetar a-merirs w acavldadesgue~%senelalcrspambexl~&Laarganltaei0n.
como
idos en esta mmna son genricos y estn prwkms para ser aptimbles a todas de su tipo, tamano y nalwaleza. No es acepable la las organizaciones, eitckision de cuakpma & b s requMm especiCicados en los numerales 4, 5, 6, 7 y 8 cuando una aganlzadn dedar8 confomiidad con b m m .
Cualquier exclusin de controles, cmslderada necesaria para satisfacer los criterios de aceptacin de rlesgos, necesita Justificarse y debe suministrarse evidencia de que los riesgos asociados han sido aceptados apropiadamente por las personas responsables, En donde se exchya cualquier control, las declaraciones de conformidad con esta norma no son aceptables a menos que dichas exclusbnes rm afecten la capacidad de la wganizaci6n y10 la responsabilidad para ofrecer seguridad de la informacin que satisfaga los requisitos de segwkiad determinados por la valoracidn de riesgos y los requisitos reglamentarios aplicables,
SI una organlzacldnya tiene en ~ ~ m l e nun s i m a de gestkln de los v e s o s de su negmlo (por t o en relacln can la NTC-ISO 9001 o NTC-ISO 14001), en la maywla de bs casos es p e n k satisfacer los reqisitos de la presente m e dentro de este sistema de g e s t h exlaente.
-0:
MITA
S4;lguiente d o c u referenciada es indispensable para la aplicacidn de esta nwrna. Para ~ Mkwencias fechadas, solo se aplica la edicln citada. Para referencias no fechadas. se aplica
1
'
CWriesgo
r'
de asumir un riesgo.
1 b
<
.--
. . ,'
midad m i e d a d que determina que la infomiacrn no este disponible ni sea revelada a individuos, ! b c i e s o procesos no autorizados.
N-5411-1:2006]
.t..m
-,. .
LJp
I r,
- > i-
. .,
,. .. ,.:;*
:.
34
..
L.
dm ip4icabilSdad
@xummto que describe los objetivos de control y b s controles pertinentes y aplicables para el %SI de b organizaclbn,. , . ,. , . ,, . y 3f1 . . , .., , . . .,* ' . . .. ... ,
.
:l.:
L.
, .
Loa obyetivos de m d y los ctmtmles se basan en los resultados y cwclusonss de los procesos de y tratamiento de riesgos, requlsltos legales o reglamentarios, obligaciones contractuales y los requlsltoc $Mm w o de la organizaciW en Ut8tUO a la -dad de la infwmecln.
#~TA
-clbn
3*7
waluacibn del riesgo pmeso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar la importancia del riesgo.
'
C TR 18044:2004]
t
dn ciei riesgo
r
b
8.10 h i m e de seguridad de Is lnformacidn cd t un evento o serie de eventos de seguridad de la informacin no deseados o inesperados, que tknen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la informacin. . '
' 1
>
3
. .
,
-: ,&rnT,
'?
c,,
i, , L . '
3.3 1
1
Lhfesrw
,:<:::
r,.
-!
'
b5411-1:2006]
.'
7
;:,
.
,.
t.
'
. f .
1,
i
k
3.12
..
sgo residual
"
. ' .. :
*,
..
, .
>,
<
,
,
-,
..
preservacidn de la confidencialidad, la integridad y la disponibilidad de la informacin; adems, puede involucrar otras propiedades tales como: autenticidad, trazabllidad (Accountability), m .- r repudio y fiabilidad.
S
INTC-ISOIIEC 17799:2006]
.
rt
-, , F . +
*--F..
.
,
t-%'
13.14
L-:~a(yx-.
pSne M sistema de gestWn global, basada en un enfaque hada b s r i e w globales de un wgmio, cuyo fin es establecer, irnpkmentar, operar, hacer seguimiento, revisar, mantener y mpar la seguridad de la informacin.
D M A TCNICA COLOMBIANA
OTA
NTC-ISOIIEC 27001
El sistema de gestibn Incluye la estructura organizacional, pollticas, actividades de planlficacibn, !sponsabllldades, practicas, procedimientos, procesos y recursos.
'atamiento del riesgo ., roceso de seleccin e implementacion de medidas para modificar el riesgo.
V.
b'
-#m
:,
:'
OTA
.10
4,
.
'
. ..
*,"
.
: f . , ' - '
REQUISITOS GENERALES
.a organizacin debe establecer, irnplementar, operar, hacer seguimiento, revisar, mantener y nejwar un SGSl documentado, en el contexto de las actividades globales del negocio de la irganizacin y de los rlesgos que enfrenta. Para l s propsitos de esta norma, el proceso o tsado se basa en el modelo PHVA que se ilustra en la Figura l .
ESTABLECIMENTO Y GESTldN DEL SGSl
Establecimiento del SGSl
I .
irganizacin debe:
a)
Definir el alcance y ltmites del SGSl en trminos de las caracterlsticas del negocio, la organizacin, su ubicacin, sus activos, tecnologra, e incluir los detalles y justificacin de cualquier exclusidn del alcance (vease el numeral 1,2). Definir una polftica de SGSl en terminos de las caracterlsticas del negocio, la organlracibn, su ubfcactbn, sus acttvos y tecnologfa, que: incluya un marco de referencia para fijar objetivos y establezca un sendo general de dlreccldn y principios para la accin con relacin a la seguridad de la infwmacln;
2)
tenga en cuenta los requisttos del negoclo, los legales a reglamentarios, y las obligaciones de seguridad contractuales;
. . . ..
3)
4)
-.
,-_
.J
este alineada con el contexto organizacional estrategiro de gestfon del rlesgo en el cual tendra lugar el establecimiento y mantenimiento del SGSI;
establezca los criterios contra los cuales se evaluar el riesgo. (Vease el numpr l 4 2 1 literal c) y; . . &, O < * i < , ' --**..u*-:.' Lf,
Ir.
-. b .>
y ar & rym
* . + i v ~ ; , . ~ ~ : , r ~ x r . r u > . r
rQ Wt rq
:'
. '< ;-
.- '.f
'
f.
5)
c)
1)
Identificar una metodologia de valoracidn del riesgo que sea adecuada al SGSl y a los requisitos reglamentarlos, legales y de seguridad de la Informacl6n del negocio, identificados.
2)
Desamollar criterios para la aceptacidn de riesgos, e identificar los niveles de riesgo aceptables. (Vase el numeral 5.1, llteral f).
La metodologra seleccionada para valoracidn de riesgos debe asegurar que dichas valoraciones producen resultados comparables y reproducibles.
NOTA Enlsien dlferentes metodologlas para la valoracidn de riesgos, En el documento ISOIIEC TR 13335-3, Informatlon iechno/ogy.Gulddlnes for tite Management of IT Securlty Techniques for t h e Management of IT Securlty se presentan algunos ejemplos.
1)
identificar los activos dentro del alcance del SGSl y los propietarlos2 de
estos activos,
2)
identificar las amenazas a estos activos.
3)
4)
e)
identificar las vulnerabilidades que podrran ser aprovechadas por las amenazas. Identificar los impactos que la p&dida de confidencialidad, integridad y disponibilidad puede tener sobre estos activos.
1)
valwar el impacto de negocios que podra causar una falla en la seguridad, sobre la organizacin, teniendo en cuenta las consecuencias de la p&dlda de confidencialidad, integridad o disponibilidad de los
acths.
2)
v a h a r la posibilidad realista de que ocurra una falla en la seguridad, consldersndo las amenazas, las vulnerabilidades, los impactos asociados con estos activos, y los controles imptementa#os actualmente.
3)
4)
estimar los niveles de los riesgos. determinar la aceptacidn del riesgo o la necesidad de su tratamiento a partir de los crlterlos establecidos en el numeral 4,2.1, literal c),
Ident#fePj a un lnivldw o entidad que me la responsablkkd, &SQmda p la El Wrnlmi gerencia, de eonrrolsr #af o u c , x c mdewrrollo, mantenlmlento, usa y seguddad de tos xvus, El #rl p mrealmente tenga aQUn derecho de propklad sake el actka a "progleterkr"rm qulem decir
3)
4)
transferir a otras partes los riesgos asociados con el negocio, por ejemplo: aseguradoras, proveedores, etc.
SeOecclanar los obJetivos de control 'y los controtes para el tratamiento de los desgos.
Los obpttvos de control y los controles se deben seleccionar e implementar de manera que cumplan los requisitos IdeMicados en el proceso de vabacibn y tratade riesgos. Esta se!eccMn debe tener en cuenta los criterios para la aceptaclm de riesgos (vase el numeral 4.2.1. literal c)), al igual que los requisitos legales, reglamentarios y contractuales.
Los objetivos de control y los controles del Anexo A se deben seleccionar como parte de este proceso, en tanto sean adecuados para cubrir estos requisitos,
Los objetivos de control y los controles presentados en el Anexo A no son exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y controles adicionales.
NOTA
El Anexo A m e n e una lista ampia de objetivos de control y controles que comnmente se han encontrada pertinentes en las wganlmciwies. Se sugiere a los usuarios de esta norma consultar el Anexo A como punto de partida para la selecclon de controles, con e fin de l
asegurarse de que no se pasan por alto opciones de contrd Importantes.
j)
Laexckisindecualquier~decantrolycwitrdesenumeradosmel
&
i organizacin debe:
a)
formular un plan para el tratamiento de riesgos que identifique la accidn de gestin apropiada, los recursos, responsabilidades y prioridades para manejar los riesgos de seguridad de la informacin (vease el numeral 5); implementar el plan de tratamiento de riesgos para lograr los objetivos de control identificados, que incluye considerar la financiacfn y la asignacidn de funciones y respnsabitidades; i m p l m t a r los controles seteccionados en el numeral 4.2.1, literal g) para cumplir los objetivos de control; definir cbmo medi la eficacia de los controles o grupos de controles seleccionaclos, y especMcar cmo se van a usar estas medkiones con el fin de vabrar la eficacia de los controles para producir resultados comparables y reproducibles (vease el numeral 4.2.3 literal c));
La rwdicldn de la Mcacia de los controks permite a los germes y al personal determinar la medida en que se cumplen los objevos de cont~d planiffcadoC.
c)
/'
'
d)
NOTA
e)
fl
g)
h)
23
a mganizacidn debe:
Ejecubr f.wocedIMieriAOs de seguimiento y rwlsidn y otros controles para:
1)
2 )
3)
identificar con p n t h d los incidentes e intentos de vioiacbn a la seguridad, U t los que twleron exito como los que fracasaron: na
posibilitar que la dkeccidn determine si las actividades de seguridad deBegadas a las personas o irnplementadas mediante tecnolqra de la informacin se estsn ejecutando en la forma esperada:
4) 5)
ayudar a d e t w r eventos de seguridad, y de esta manera impedir incidentes de seguridad mediante el uso de indicadores, y
determinar si ias accfones tomadas para solucionar un probbma de violacitlii a la seguridad fueron eflcaces.
FL(
L
Emprender revisiones regulares de la eficacia del SGSl (que incluyen el cumplimiento de la poltica y obmvos del SGSI, y la revisin de los conboles de seguridad) teniendo en cuenta los resultados de las auditwias de seguridad, incidentes, medlcldn de la eficacia sugerencias y retroalimentacidn de todas las partes interesadas.
c)
Medir f efikacia de los controles para verificar que se han curnplkh los a re$uIsbs de seguridad.
d)
Rwisar las valoraciones de los riesgos a Intervalos planif~ados, revisar el nivel y de riesgo residual y riesgo aceptable identificado, teniendo en cuenta los cambios en:
3)
2)
3)
eventos extanos, tales como cambios m el entorno legal o reglamentario, en las obiigacbnes contractuaks, y en el clima social.
el nwnerat 6).
e)
...
*
MOTA Las audltw(as Internas, d m l n a d a s atgunas veces auc?imlas de prlmera parte, las realiza la propia organlzacldn u oaa organlzaclbn en su nombre. para prop&sltos hiternos.
8 ' '
g)
E m p m k r una revlsi6n del SGSI, realizada pw la direa%n, en fwma regular para a w a r que el abnce siga sk& suficiente y c se Idena#iquen -as p al procecodeSGSl [v&sednwnsral7.1).
Actualizar los planes de seguridad para tener en cuenta las conciuslones de las aahridedes d@ seguimiento y revisiOn, Rqistrar acciones y eventos que podrran tener impacto en la eficacia o el desempeno del SGSl (vase el numeral 4.3.3).
h)
I
!A
a)
b)
tmplementar las mejrwas ldentlflcadas en el SGSI; Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y las de la propia organlzscln;
Comunicar las acciones y mejoras a todas las partes interesadas, con un nivel de detalle apropiado a las circunstancias, y en donde sea pertinente, llegar a acuerdos sobre cmo proceder;
c)
~ R M TLCNICA COLOMBIANA A
d)
NTC-ISOIIEC 27MH
REQUISITOS DE DOCUMEMTACION
. T
ntacidn del SGSl debe incluir registros de las decisiones de la direccion, asegurar iones sean trazabtes a las decisiones y poltticas de la gerencia, y que los resultados
S del proceso de valoracidn y tratamiento de riesgos, y seguidamente, con la etivos del SGSI. . - l
. '
4 q docwimentacin del
a)
declaraciones documentadas de la poltica y objetivos del SGSl (vease el numeral 4.2.1, literal b));
el alcance del SGSl (vease el numeral 4.2.1, literal a))
b)
--,
e)
g)
Los procedimientos documentados que necesita la organizacin para asegurar la eficacia de la planificacin, operacidn y control de sus procesos de seguridad de la informacin, y para describir como medir la eficacia de los controles (vease el, numeral 4.2.3, literal c));
Losregls~osexigidosporestanorma(vaseelnumerai4.3.3),y
'
h)
:,-
-,.
u:.,
..
La declaracidn de aplicabilidad.
A1
En esta m a , e temiino 'pmcedirnknto documentado" slgnlfka que e procedlmlento esta estabecklo, l l do, irnplememadoy mantenido.
El akance de h docurnentaclm ciei SGSl puede ser diferente de una wganizacibn a otra debido a: . . . El tamam de la wganizacibn y e Elpo de sus aabidades, y l
5
TA 2
El alcance y complejidad de los requlsltos de seguridad y del sistema que se est gestionando.
NOTA 3
Lo5 documentos y registros pueOen tener cuslqWer forma a estar en cualquier tlpo de medio.
l,{
..
1 Los documentos exigidos par el SGSI se deben proteger y controlar. Se debe establecer un
edimiento documentado para definir las acciones de gestin necesarias para:
dw~s>z .
a)
.
b)
d]
asegwar que las versiones ms rechtes de los documentos pmnentes estn disponibles en b s puntos de uso;
asegurar que los documentos permanezcan leg-S
e)
y fdcilmente Wentlficabk;
--
que se apliquen los procedimientos pertinentes, de acuerdo con su clasificaci6n, para su transferencia, almacenamiento y disposkibn Rnal.
g)
h)
aplicar Ia identifmcibn adecuada a los documentos obsdetos, si se retienen para cualquier propsito.
.3 Controidemgistnis
deben llevar registros del desemdel proceso, como se esboza en el numeral 4.2, y de los casos de incidentes de seguridad significativos relacionados con el %SI.
PLO Aigumrc ejemplos de registros son: un libro de vlsltantes, informes de auditwlas y lwmatos de zacldn de acceso diligenciados.
COMPROMISO M LA M R E C C W
, f .
'
t..::,.',..
..-c
a) b) c)
rtai.di4jri ;pax
10
e)
brindando lr recursos suficientes para establecer, implementar, operar, hacer cs m m n ,revisar, mantener y mejwar un SGSI ( a s e e numwai 5.2.1); d l t e o l
d numeral 6), y
G&ON
DE RECURSOS
a)
. . .'
un SGSI;
...
' 1
.:
. .
b:.
..
,
13)
asegurar que tos procedimientos de seguridad de la informacfin brindan apoyo a los requisitos del negocio; ,. ,
identificar y atender los requisitos legales y reglamentarios, asl como las obligaciones de seguridad contractuales;
1 '
c)
d)
+
e)
'.'
f)
l ;
- , , .
'.. ' .. .
:.1
.,
.:
*-'
,:
'L."
: ,--, -
-.- .
organizacin debe asegurar que todo el personal al que se asigne responsabilidades Mdas en el SGSl sea competente para realizar las tareas exigidas, mediante:
L determlnacim de t s competencias necesarias para el personal que W t el a a u e trabajo que afecta el SGSI; , .., . .. . ! i r , ..; :...+-. .. - . * .-r7vc 4 . .: ,\: el suministro de formacin o realizacin de otras acciones (por ejemplo, la b) ! fi contratacin de persond competente) para satisfacer estas necesidades;
a)
.,
i1
c) d)
el mantenimiento de rtqistros de la educacMn, fwmacibn, habilidaes, ex periencla y califtcaciones (vease el numeral 4.3.3).
;
. , > m ,
,.
'
,T.
?N -a
v*.:t. -
-: '
e. -
11
-, - .:A2-'3c.3
. :b>+2:L:
e importancia de sus acvMades de seguridad de la informacidn y como ellas al logro de los objetivos del SGSI.
a)
mwma y de la legislacidn d
as areas que se van a auditar, ast como los resultados de las auditorlas previas. Se Ir (OS criterios, el alcance, la frecuencia y los metodos de la auditorla. seieccion uditares y la realizacin de las auditorras deben asegurar la objetividad e imparcialidad eso de auditorla. Los auditores m, deben auditar su propio trabajo.
finir en un procedimiento documentado las responsabilidades y requisitos para la y reallzacbn de las auditorras, para Infamar los resultados, y para mantener los (*ase el numeral 4.3.3).
dos de la verifkaci0n.
..,.-
: .
..
M), para asegurar su conveniencia, suficiencia y eficacia continuas. Esta revlsion debe
evaluaclm de las oportunidades de mejora y la necesidad de cambios del %S!, la polltica de seguridad y los objetivos de seguridad. Los resultados de las revisiones dmumentar claramente y se deben Hevar registros (vease el numeral 4.3.3).
'
:!~:?. !
l . L ?
h .
,:
:.,
l.,&,.
i..
:,m
..-!f..,,
:j.,r
a)
.-::i3. .. tgg
a~.wias
NTC-ISOIIEC 27001
1 '*.,
c)
tcnicas, productos o procedimientos que se pueden usar en la organiracidn para mejorar el desernpeno y eficacia del SGSI;
E:;4
1 e) i,
k
$ fi
& 6
Y
g>
,h
c)
La modificacibn de los procedimientos y controles que afectan la seguridad de la informacin, segQn sea necesario, para responder a wentos internos o externos que pueden tener impacto en el SGSI, incluidos cambios a:
1) 2)
3)
1
4) 5)
6)
l s recursos necesarios. o
= ,
C' 1
MEJORA CONTINUA
nizacin debe mejorar continuamente la eficacia del SGSl mediante el uso de la poltica ridad de la informacibn, l s objetiwos de seguridad de la informacin, los resultados de o rla, el andlisis de l s wentos a los que se les ha hecho seguimiento, las acciones o vas y preventivas y la revisidn por !a direccin.
13
SCMCA COLONlBiANA
ACCCCY CORRECTWA
NTC-ISOIIEC 27001
,#.
la causa de no conformidades Liadas con los requisitos del SGSI. con el fin de prevenir que ocurran nuevamente. El @miento documentado para la accin correctiva debe definir requisitos para:
darmmar e i
~ b ~
4rwmwd 4.3.3); y r C
-.
4 3:., 4 7
~~trsr~resu~~~ada\tomade(&se*-~~~3.31,y
-4
cuanto acciones preventivas, concentrando la atencin en los riesgos que han cambiado significativamente. prioridad de las acciones preventivas se debe determinar con base en los resuitados de la haclbn de los rlesgos.
b Las acciones para prevenir m confaimldades con frecuencia son mas rentabies que la accldn correctlva.
ANEXO A
(Mwrnativo)
S de apoyo a
a b h A . l . ~ d i l e m t m i y ~
Lapdfacade~detalrdamacldn~
claro, u comprom(ca , i -
una
seguridaddela infamacin.
bs
15
TCNICA COLOMBIANA
NTC-ISOIIEC 27001
3.8.1.3
T&nnlnos
condiciones Control
. , ?
.:i ,
4 ,
flrmar los trminos y condiciones de su contrato laboral, el cual debe establecer sus respmsabllldades y las de la organizaclbn con relacidn a la seguridad de la Inforrnacirin.
AA2 k
% la vigencia
de la
iaboral
., ObJetlvo:asegurar que todos los empleados, contratistas y usuarlos de terceras partes &en conscientes de las amenazas y preocupaciunes respecto a la seguridad de la inkrrnaclbn, sus recponsabllldadesy sus deberes. y que esten equipados para apoyar
,; :
4.;
Ir...'
."-j , . -
-.
. t ' *
7.-
.p-w:
A>: . . -y
--.,a--
----.d -
.-
-'
ta
A TECNICA COLOMBIANA
NTC-ISOIIEC 27001
b s func1ones y Las areas de responsabYdad se deben dlctiibulr para reduclr las opmtunldades de rnodificacibn no autorlrada o w intencional, o el uso inadecuado de los activos de la organizacin. A.f0,1.4 SeparaciOn de las Control Instalaciones de desarrollo, ensayo y b s Instalaciones de desarmllo, ensayo y operaclbn. operacion deben estar separadas para reducir los 1. riesgos de acceso o cambios no autorizados en el sistema operativo. A.10.2 Geistian de la prestacin del sewico por ierceras parLes
-L~bj~bjetivo: irnplementar y mantener un grado adecuado e leseguridad de la Inforrnacl6n y de la prestacion d d l &vicio, de conformidad con los acuerdos de prestacrbn del servicio por terceras partes.
Conud
w y m i * d e I w servidos pa -S
se detsen garantizar que los conboles de seguridad, las definlclones del servklo y los niveles de prestacion del swvklo Incluldoc en el acuerdo, sean Irnplementados, mantenidos y operados por las terceras partes. C ~ O I
Los swvkios, reportes y reglcmis suministrados por tarceras partes se deben wntrolar y revisar con regularidad y las audkorias se deben llevar a calm a
Los cambios en la prestacldn de los servicios, incluyendo mantenimiento y rnejwa de las pdlticas existentes de q u r l d a d de la inforrnacion, en los procedlmlentos y los controles se deben gestionar tenimdo en cuenta la lmportancla de los sisternas y procesos del negmio Involucrados, as1 como la rewaluacldn de los riesgos.
1
1 1
r
capacidad.
+.'.
Se debe hacer seguimiento y adaptacidn dd wo de los recursos, asf como proyecciones de los
requisitos de la capacidad futura para asegurar el desempeAo requerido del sistema.
,
. .
..
,
:1c
Se deben estabimer criterios de aceptacidn para sistemas de inbrmacin nuevo!%, actualizaciones y m a s v e r s i e s y llevar a cabo los ensayos adecuados dei sistema durante el desarrollo y antes de ia aceptacion.
.,
0
.
,
.., ,
-..
',:
'
>
8 .
'
- ,
.
,>
,? .,
A
.>,
S :.
e , ,
,.-.a~~,r,.-~,
. -. : .
a ?+ c .
--
*j
-* :
i '
Para redes compartidas, especialmente aquellas que se extienden m8s alla de las fronteras de la
?:
l Control
Vaiidacion de los datos Control de sallda. Se deben valldar los datos de ~ N d de una aplkacion a para asegurar que el pracesamiento de la Informacin almacmda es correcto y adecuado a las circunstancias
1,
b: proteger la
glos cripwrkos.
R3,I
Poirtlca sobra e uso c Conwol i k cmrotes crlgtogr8ficos. . ,.._ Se debe desarrollar e lmplementar una polftlca S O W ~
l. .
de la lnformacian.
Control
. 14
debe lmplementar un stcterna de gestin de llaves para apoyar el uso de las tcnicas crlptcqrficas pr parte de la orc)antzacidn. Segrsidsd do 10sarchivos del sistemi , ,., . ..v -. ,. ., ,..,
....
-.
1 Se
._,; .
garantizar la sequridad de tos archivos d l sistema. e C m d del software Control , .F. - . . , operativo. ,.. . = ..: Se deben imptmentar procedlmtentos para controlar la instalacldn de sodtware en sistemas 1 o9eratlvoc. I Proteccin de los datos control - - -. . de prueba d d sistema. Los dams de prueba deben seiecclonarse culdadosarnente, asl como prot-se y controlarse .. r A. . Control de acceso al Contrd cdigo Fuente de los . ' . ' , +. ,, ! ', . .< ,-: ., Se debe restrlnglr el accesa al cddlgo fuente de los programas
1 programas.
l1 -are e
Control
I 1
d m loa
de desarrollo y
y de la InformaciOn dei sistema de
Miw:
comol de carnblos.
apiicaclones despus de
sistema operativo.
--
v.-
,.
Cuando se cambian los cist~naasoperattvos, las apilcaclms aRicas para el negacio se deben revlcsr y someier a prueba para asegurar qqu no hay ""-"-"'-' Impacto adverso en las operdones nl en la sewidad de la organizaciCm.
Se deben evitar las oportunkiack para que se proair- fuqa de Irirormaciki. . t U . 5 Desarrollo de software C m 0 4
,-,..t
I>*
-,..
contratado ex ternamente
I
1
c m
Se debe
nilnerabilkiades mnlcas de los slstemas de lnlamacedn gue estan en uso, evaluar la exposlcln de la qafilzaddn a d c h s vulnerabilidades y m a r las amimes apropiadas para iratar los riwgw
acegurar que los eventos ! las ckbilldades de la segwldad de la Infwrnaclbn asa lados con los sistemas Mwmacin se m u n l c a n de f l a tal que permitentomar las acclones ccmxtlvas apc mnamente. m ccfmoi .+ " . , .A*. . .
a,
wentos de seguridad de
la inlomiaddn
Los eveiaos c -&id k de la i&madbn se debwi infonnar a mvs de los canales de gestin a m a d o s tan prwito como sea -Me.
-F"Yad .
las Coarol la Se debe exlgir a taios !os empleados. ctmtraHstas y I lusuarios de m a s partes de los sistemas y servidos de iraomiacibn que observen y reporten todas las debM&&s observadas o sospechadas en los CIstemas o s?wkKis.
i
i a s i r i . J w w m b ~ d a l a i ~ i o r r
Wvo: asegurar que se aplica un enfoque cmlstente y eficaz para la gestlbn de Iw incidentesde seguridad de
Se deben establecer las respwisaMlldadeC y los procedsmisntos de gestin para aseguar una
Pespuecia dplda, dicaz y wdenada a los Incidentes
deldad de ia Inwmaclon. Aprendizaje debido a 1 5 0 Imldentes de segwidad de la IriTorrnaclbn Deben existir mecanismos que pemdtan cuankar y mwiltmear mos los t)pos, voiornenes y costos de los ~ d e s e g u l d a d d e l a ~ .
Cuando una accln e seguimiento contra una persona u wganlzacin desp&s de un lncldente de seguridad de la lnbrmackla Implica acciones legales (cMles o penales), la evidmcla se debe recolectar, retener y presentar para cumplk con las regias para la wldewia estabiddas en la JurisdlcclOn
#@va
tiectos
ewitrarrectar las interrupclones en las octivkiades del negmlo y proteger suk procesos crticos contra los fallas knpwtantes en los sistemas de inlormaclbn o coma desastres, y asegurar su recuperaclcin
- -
la
del nsgocb
h.li.1.1 lincluslbn de la seguridad 1 Como! , , 1 de la inlorrnactm- en el . - , proceso de gestm de la Se debe desarrollar y r a nun proceso de continuidad del iiegocio gestldn para la continuidad del n e g m en t d a la organlzacibn e! cual trate b s requisitos de segurldad de la irmmaclbn necesarios para la cominuldad del ) rw&o de la oi?qanizaclbn. 1 u I 4.14.1.2 1 continuidad del negocb 1 Cwwol y waluacldn de riesgos
ocasroMr Intenupciones en ios procesos del negocio junto con la probabilidad y el impacto de dichas interrupclones, ast como sus consecuencias para la -dad de b infamacin.
Control
plardflcaciCa
para la de b Se debe mantener una cola esbuctura de los planes conUnuldad del negocro de cor~irwideid negodo, para asegurar que iodos del los planes son condstemes, y mslderar los requlcltns de la segurkiad de la irif0m7aclbn cte fwma mlstente, as1 mtdensificar las prior&&s para pruebas y rnantenimlento Controt y reevaluactbn de los planes de continuidad del Los planes de continuidad del rmgoclo se deben somaer a pniebas y misiones perldkas para aa -r su ackmlzaelbny su eftcPida. - ,
Estructura
ANEXO B
( nformativo) 1
I
fr
-
RespaniMIWad
Todw los prtktpantes son responsables p la -dad de los slctemas y redes de Infamacin.
Esta actividad e5 parte de la fase Hacer (vanse los nwnwates 4.2.2 y 5.1)
Esta es en parte una actividad de seguimiento de la fase V ~ B (veanse los numerales 4.2.3 y 6 a 7.3 y una T clpeims deberlan actuar de una manera amldad de respuesta de la fase bar ( ~ a n s e los numerales 4.2.4 y 8.1 s 8.3). Esto tarnblm se puede cuklr por aQunos aspectos de las fases m n i f i w y Verlkar. Esta actividad es parte de la fase flanifmr (vease el numeral 4.2.1) y la rewaluaclbn del rlesgo es parte de la llos participantes deberlan realizar valoraciones de fase Verificar (&ame los nurneales 4.2.3 y 6 a 7.3).
seleccionan conwoles para el tratamiento de los riesgos deberan incwporar la seguridad como pane cie la fase RaniWar (vgace el numeral 4.2.1). La un alemento esenctal de los slsternas y redes fase Hacer (veanse los numerales 4.2.2 y 5.2) cubre la Implementaclon y el usa operachal de estos m o l e s . abndoI8La gestibn de riesgos es un proceso que incluye la p;evencion, deteccidn y respuesta a incidenies, rtlclpantes deberran adoptar un enfoque ampllo mantenimiento, auditorlas y reviskki continuos. Todos estor a gestlbn de la seguridad. aspectos estan cobijados en las fases de Phnlficar, Hacer, VwiRar y Actuar. La reevaluacldn de la seguridad de la InfwmaclOn es una pnede la fase V&kx(v~ancelos numerales 4.2.3 y 6 a 7.3), partklpantes deberlan rwlsar y reevaluar la en donde se deberlan realirar revtdmm regulares pan Mad de los sistemas y redes de InFmnacif?,y vwMcar la dicada del sktema de gestin de la seguridad de k er las mdificaclones apropiadas a las polltlcas, inomiackin; y la mejora d la seguridad es parte de fa facf e Ac~iar (v&mse !osw a i e s 4.2.4 y 8.1 a 8.3). Wcticas, medidas y procedimientos de seguridad.
S
FT'
f-
eImplen#ntleldn de I regurid.d r
MoRmA TCMA
COL-ANA
. .- . . .
NTC-ISOnEC 27001
ANEXO C (Informativo)
. .,
. ..
..
. -
--
..
l NTC-ISO 14001:2W4, A
0.1 Generalidades
1.1 Generalidades
1.1 Generaldades
,.
.
.
+ j
-y
-.+;
...
.-
:.
, .:
..
.
,
.
,,
. , - . . ~ ' - x w ~ - % ~ . ~ . . . . . -
.-
.-*
- -
,.
- <.
+ 1 . .. -.-..
.. __ .. . .<
. .
.
.<
* .F-
. .--
34
N l G S U E C 2 ~
.2.1 Gemralkhks
4.3.2
Conaddedoewfientos
4.2.3 Cwitroi
ios dowmmms
Iso de la dlreccbn
4.3 b n i k a c l a n
Wlbdad, autoridad
6.3 Infraeskructwa
7.1 GmmMades
35
-A
T~CMGAC O L ~ M A N A
,',,VI&
NTC-tw~c 27001
BIBLIOGRAF~A
*
:. ,
'
, ,
:1
I
11 1
[21
[3]
NTC-tSO 9001:2000, Sistemas de gestin de la calidad. Requisitos. NTC-ISO 14001:M04. Sistemas de gestidn ambiental. Requisitos morientacidn para su usa, NTC-ISO 19011:2002, Directrices para la auditwia de los sistemas de gestin de la calidad
36 Requlsrtos generales para organismos que realizan evaluacidn y caciddregistro de sistemas de calidad. (ISOIIEC Guide 62)
NTC 5411-1Tecmiogra de la informacibn. T-nicos de seguridad, Gestion de la segffidad de la tecndogla de la informaciony las comunicaciones, Parte 1: Conceptos y rmdelos para la gesn de la tecmiogra de la informackny las comunicaciones ( ISOllEC 13335-1:2004).
[6] ISOIIEC TR 13335-3:1998, lnformation Technology, Guidelines for the Management of IT Security. Part 3: Technlques fw the Management of IT Security. ISOIIEC TR 13335-4:2000, lnformation Technology. Guidellnes for the Management of IT Security. Part 4: Seiection o Safeguards. f ISOllEC TR 18044:2004, lnforrnation Technology. Security Techniques. lnformation Security lncident Management. ISOAEC Guide 73:2002, Risk Management. Vocabulary. Guidelines for use in Standards.
171
[8] 11 9
Otras publicac~ones
-
OECD. Guidelines for the Security of lnforrnation Systems and Networks. Twards a Cukure of Security, Paris: OECD, July 2002. www.oecd.org.
NlST SP 800-30, Risk Management Guide for lnformation Technology Systems.
[2]
., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineerig
* <
36
- ij-* t
'5