ISO/IEC 27002

De Viquipèdia
Jump to navigation Jump to search

ISO/IEC 27002 (anteriorment denominada ISO 17799) és un estàndard per a la seguretat de la informació publicat per l'Organització Internacional de Normalització i la Comissió Electrotècnica Internacional. La versió més recent és la ISO/IEC 27002:2013.

Precedents i evolució històrica[modifica]

L'estàndard ISO/IEC 17799 té el seu origen en el British Standard BS 7799-1 que va ser publicat per primera vegada en 1995. L'any 2000 l'Organització Internacional de Normalització i la Comissió Electrotècnica Internacional van publicar l'estàndard ISO/IEC 17799:2000, amb el títol de Information technology - Security techniques - Code of practice for information security management. Després d'un període de revisió i actualització dels continguts de l'estàndard, es va publicar l'any 2005 el document modificat ISO/IEC 17799:2005.

Amb l'aprovació de la norma ISO/IEC 27001 a l'octubre de 2005 i la reserva de la numeració 27.000 per a la Seguretat de la Informació, l'estàndard ISO/IEC 17799:2005 va passar a ser canviat el nom com a ISO/IEC 27002 l'any 2007.

Publicació de la norma en diversos països[modifica]

A Espanya existeix la publicació nacional UNEIX-ISO/IEC 17799, que va ser elaborada pel comitè tècnic AEN/CTN 71 i titulada Codi de bones pràctiques per a la Gestió de la Seguretat de la Informació, que és una còpia idèntica i traduïda de l'anglès de la Norma Internacional ISO/IEC 17799:2000. L'edició en espanyol equivalent a la revisió ISO/IEC 17799:2005 s'estima que estigui disponible en la segona meitat de l'any 2006.

A Espanya la ISO/IEC 17799:2000 és d'ús obligatori en totes les institucions públiques des d'agost del 2004, estandarditzant d'aquesta forma els diversos projectes i metodologies en aquest camp, responent a la necessitat de seguretat per l'ús intensiu d'Internet i xarxes de dades institucionals, la supervisió del seu compliment està a càrrec de l'Oficina Nacional de Govern Electrònic i Informàtica - ONGEI (www.ongei.gob.pe).

A Espanya, es empleó la ISO/IEC 17799:2005 per dissenyar la norma que estableix les característiques mínimes obligatòries de seguretat i confidencialitat que han de complir els document electrònics dels òrgans de l'Administració de l'Estat de la República de Xile, i l'aplicació de la qual es recomana per a les mateixes finalitats, denominat Decret Suprem No. 83, "NORMA TÈCNICA SOBRE SEGURETAT I CONFIDENCIALITAT DEL DOCUMENT ELECTRÒNIC". En 2013, l'Institut de Normalització Nacional (INN), va homologar la norma vigent en el document Nch ISO27002 Of. 2013.

A Espanya, es va aprovar la primera traducció sota la sigla NB ISO/IEC 17799:2003 per l'Institut de Normalització i qualitat IBNORCA el 14 de novembre de 2003. Durant l'any 2007 es va aprovar una actualització a la norma sota la sigla NB ISO/IEC 17799:2005. Actualment el IBNORCA ha emès la norma NB ISO/IEC 27001 i NB ISO/IEC 27002.

L'estàndard ISO/IEC 17799 té equivalents directes en molts altres països. La traducció i publicació local sol demorar diversos mesos fins que el principal estàndard ISO/IEC és revisat i alliberat, però l'estàndard nacional aconsegueix així assegurar que el contingut hagi estat precisament traduït i reflecteixi completa i fefaentment l'estàndard ISO/IEC 17799. A continuació es mostra una taula amb els estàndards equivalents de diversos països:

Països Estàndard equivalent
Austràlia

Nova Zelanda

AS/NZS ISO/IEC 27002:2006
Brasil ISO/IEC NBR 17799/2007 - 27002
Plantilla:Country data Francia ČSN ISO/IEC 27002:2006
Dinamarca DS484:2005
Plantilla:Country data Alemania EVS-ISO/IEC 17799:2003, 2005 versió en traducció
Plantilla:Country data Japón JIS Q 27002
Plantilla:Country data Italia LST ISO/IEC 17799:2005
Plantilla:Country data Holanda NEN-ISO/IEC 17799:2002 nl, 2005 versió en traducció
Plantilla:Country data Polonia PN-ISO/IEC 17799:2007, basada en ISO/IEC 17799:2005
Plantilla:Country data España NTP-ISO/IEC 17799:2007
Plantilla:Country data España NB-ISO/IEC 17799:2005
Plantilla:Country data Holanda SANS 17799:2005
Plantilla:Country data España UNEIX 71501
Plantilla:Country data Suecia SS 627799
Portugal TS ISO/IEC 27002
Plantilla:Country data Reino Unido BS ISO/IEC 27002:2005
Brasil UNIT/ISO 17799:2005
Plantilla:Country data España Nch ISO-27002 Of. 2013
Plantilla:Country data Rusia /ГОСТР ИСО МЭК 17799-2005
República Popular de la Xina GB/T 22081-2008

Directrius de l'estàndard[modifica]

ISO/IEC 27002 proporciona recomanacions de les millors pràctiques en la gestió de la seguretat de la informació a tots els interessats i responsables a iniciar, implantar o mantenir sistemes de gestió de la seguretat de la informació. La seguretat de la informació es defineix en l'estàndard com "la preservació de la confidencialitat (assegurant que només els qui estiguin autoritzats poden accedir a la informació), integritat (assegurant que la informació i els seus mètodes de procés són exactes i complets) i disponibilitat (assegurant que els usuaris autoritzats tenen accés a la informació i als seus actius associats quan ho requereixin)".

La versió de 2013 de l'estàndard descriu els següents catorze dominis principals:

1. Polítiques de Seguretat. Sobre les directrius i conjunt de polítiques per a la seguretat de la informació. Revisió de les polítiques per a la seguretat de la informació.

2. Organització de la Seguretat de la Informació. Tracta sobre l'organització interna: assignació de responsabilitats relacionades a la seguretat de la informació, segregació de funcions, contacte amb les autoritats, contacte amb grups d'interès especial i seguretat de la informació en la gestió de projectes.

3. Seguretat dels Recursos Humans. Comprèn aspectes a prendre en compte abans, durant i per al cessament o canvi de treball. Per abans de la contractació se suggereix investigar els antecedents dels postulantes i la revisió dels termes i condicions dels contractes. Durant la contractació es proposa es tractin els temes de responsabilitat de gestió, conscienciació, educació i capacitació en seguretat de la informació. Per al cas d'acomiadament o canvi de lloc de treball també han de prendre's mesurades de seguretat, com l'és donis habilitació o actualització de privilegis o accessos.

4. Gestió dels Actius. En aquesta part es toca la responsabilitat sobre els actius (inventari, ús acceptable, propietat i devolució d'actius), la classificació de la informació (directrius, etiquetatge i manipulació, manipulació) i maneig dels suports d'emmagatzematge (gestió de suport extraïbles, eliminació i suports físics en trànsit).

5. Control d'Accessos. Es refereix als requisits de l'organització per al control d'accessos, la gestió d'accés dels usuaris, responsabilitat dels usuaris i el control d'accés a sistemes i aplicacions.

6. Xifrat. Versa sobre els controls com a polítiques d'ús de controls de xifrat i la gestió de claus.

7. Seguretat Física i Ambiental. Parla sobre l'establiment d'àrees segures (perímetre de seguretat física, controls físics d'entrada, seguretat d'oficines, despatx i recursos, protecció contra amenaces externes i ambientals, treball en àrees segures i àrees d'accés públic) i la seguretat dels equips (emplaçament i protecció d'equips, instal·lacions de subministrament, seguretat del cablejat, manteniment d'equips, sortida d'actius fora de les instal·lacions, seguretat d'equips i actius fora de les instal·lacions, reutilització o retir d'equip d'emmagatzematge, equip d'usuari desatès i política de lloc de treball i bloqueig de pantalla).

8. Seguretat de les Operacions: procediments i responsabilitats; protecció contra malware; resguard; registre d'activitat i monitoratge; control del programari operatiu; gestió de les vulnerabilitats tècniques; coordinació de l'auditoria de sistemes d'informació.

9. Seguretat de les Comunicacions: gestió de la seguretat de la xarxa; gestió de les transferències d'informació.

10. Adquisició de sistemes, desenvolupament i manteniment: requisits de seguretat dels sistemes d'informació; seguretat en els processos de desenvolupament i suport; dades per a proves.

11. Relacions amb els Proveïdors: seguretat de la informació en les relacions amb els proveïdors; gestió del lliurament de serveis per proveïdors.

12. Gestió d'Incidències que afecten a la Seguretat de la Informació: gestió de les incidències que afecten a la seguretat de la informació; millores.

13. Aspectes de Seguretat de la Informació per a la Gestió de la Continuïtat del Negoci: continuïtat de la seguretat de la informació; redundàncies.

14. Conformitat: conformitat amb requisits legals i contractuals; revisions de la seguretat de la informació.

Dins de cada secció, s'especifiquen els objectius dels diferents controls per a la seguretat de la informació. Per a cadascun dels controls s'indica així mateix una guia per a la seva implantació. El nombre total de controls suma 114 entre totes les seccions encara que cada organització ha de considerar prèviament quants seran realment els aplicables segons les seves pròpies necessitats.

Certificació[modifica]

La norma ISO/IEC 17799 és una guia de bones pràctiques i no especifica els requisits necessaris que puguin permetre l'establiment d'un sistema de certificació adequat per a aquest document.

La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) @sí_ja és certificable i especifica els requisits necessaris per establir, implantar, mantenir i millorar un Sistema de Gestió de la Seguretat de la Informació segons el famós “Cercle de Deming”: PDCA - acrònim de Pla, Do, Check, Act (Planificar, Fer, Verificar, Actuar). És consistent amb les millors pràctiques descrites en ISO/IEC 17799 i té el seu origen en la norma britànica British Standard BS 7799-2 publicada per primera vegada en 1998 i elaborada amb el propòsit de poder certificar els Sistemes de Gestió de la Seguretat de la Informació implantats en les organitzacions i per mitjà d'un procés formal d'auditoria realitzat per un tercer.

Referències[modifica]

  • ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management.
  • ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements.

Vegeu també[modifica]

Enllaços externs[modifica]