Videovigilancia

ISO 27000

INTRODUCCIÓN

Hoy en día se sabe que la información es un activo vital para el éxito y continuidad en el mercado de cualquier organización. Así que el aseguramiento de dicha información y de los sistemas que la procesan debeser uno de los principales objetivos de las Empresas.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International OrganizationforStandardization) e IEC (International ElectrotechnicalCommission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

ORIGEN

Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British StandardsInstitution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como:

 1979 Publicación BS 5750 - ahora ISO 9001

 1992 Publicación BS 7750 - ahora ISO 14001

 1996 Publicación BS 8800 - ahora OHSAS 18001

La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información.

La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.

Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.

En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.

FAMILIA ISO 27000

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.

Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044, como las siguientes:

 ISO 27000:

Fecha de publicación:

En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008.

Contenido:

Términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión.

Costo:

Gratuita.

 ISO 27001:

Fecha de publicación:

15 de Octubre de 2005.

28 de Noviembre de 2007 en AENOR (España) como UNE-ISO/IEC 27001:2007.

Contenido:

Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.

Origen:

Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones.

Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última.

*Otros países donde también está publicada en español son, por ejemplo, Colombia, Venezuela y Argentina. El original en inglés y la traducción al francés pueden adquirirse en ISO.org.

 ISO 27002:

Fecha de publicación:

Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición.

Contenido:

Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita).

Dominios:

1. Aspectos administrativos:

Se asignan las responsabilidades relativas a la seguridad de la información.

Se maneja acuerdos de confidencialidad.

Riesgos del acceso de terceros.

2. Gestión de activos.

Inventario de activos.

3. Recursos Humanos y seguridad de la información.

Principales fuentes de riesgo para la seguridad de la información.

4. Seguridad Física.

Seguridad Física.

Seguridad de equipos.

5. Gestión de comunicaciones.

Responsabilidades y perímetros.

Copias de seguridad.

Seguridad de redes.

Intercambio de información.

6. Control de acceso.

Gestión de acceso de usuarios a la red, sistemas operativos, aplicaciones, información.

7. Gestión de Sistemas de Información.

Controles criptográficos.

Bueno uso de las aplicaciones.

8. Gestión de Incidentes.

Mejoras de seguridad de la información.

9. Continuidad del negocio.

Se desarrollan e implantan

10. Recursos Legales.

Normas legales

Políticas

Normas de seguridad

Cumplimiento técnico.

 ISO 27003:

Fecha de publicación:

En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009.

Contenido:

Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

• ISO 27004:

Fecha de publicación:

En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008.

Contenido:

Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA (Plan-Do-Check-Act).

• ISO 27005:

Fecha de publicación:

Publicada el 4 de Junio de 2008.

Contenido:

Establece las directrices para la gestión del riesgo en la seguridad de la información.

Apoya los conceptos generales especificados en la norma ISO/IEC 27001

Está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.

• ISO 27006:

Fecha de publicación:

Publicada el 13 de Febrero de 2007.

Contenido:

Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

• ISO 27007:

Fecha de publicación:

En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI.

• ISO 27011:

Fecha de publicación:

En fase de desarrollo; su fecha prevista de publicación es finales de 2008. Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).

• ISO 27031:

Fecha de publicación:

En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010.

Contenido:

Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.

• ISO 27032:

Fecha de publicación:

En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009.

Contenido:

Consistirá en una guía relativa a la ciber-seguridad.

• ISO 27033:

Fecha de publicación:

En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011.

Contenido:

Es una norma consistente en 7 partes:

- Gestión de seguridad de redes

- Arquitectura de seguridad de redes

- Escenarios de redes de referencia

- Aseguramiento de las comunicaciones entre redes mediante gateways

- Acceso remoto

- Aseguramiento de comunicaciones en redes mediante VPNs y

- Diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO 18028.

...