martes, marzo 02, 2010

Marco Normativo (Normas y politicas) de un SGSI

Cuando se quiere implementar un SGSI, se debe estructurar un Modelo Normativo que incluya cada uno de los dominios de la ISO 27001 (Anexo 1) e ISO 27002 (Numerales 5 a 15), los cuales pueden ser incluidos por ejemplo, en el Manual de Seguridad que se desarrolle en la implementación del SGSI.

Este modelo normativo puede estructurarse documentando una política por cada dominio, y normas que complementen a la política y que aglomeren los objetivos de control que exista en la ISO 27002, teniendo así 10 Políticas, y aproximadamente 30 o mas Normas para cubrir completamente lo incluido en esta Norma. En realidad el número de Normas no es tan relevante como el contenido, así que es posible manejar este tema como brinde mayor comodidad a la persona que este implementando el SGSI. A continuación les muestro un modelo de marco normativo:
Organización del SGSI
1. Norma Organización Interna Seguridad Información
2. Norma Seguridad Información Relacion Terceras Partes
3. Norma Seguridad Información Acuerdos Confidencialidad
4. Norma Seguridad Información Acceso Terceros
5. Norma Seguridad Contratos con Terceros

Gestión de Activos
1. Norma de responsabilidad sobre los activos de información
2. Norma sobre clasificación de la información y responsabilidades sobre su manejo.

Recursos Humanos
1. Norma sobre requerimientos de seguridad de la información en el proceso de contratación.

Seguridad Física y Ambiental
1. Norma sobre áreas seguras.
2. Norma sobre seguridad de equipos informáticos y telecomunicaciones.
3. Norma Seguridad Trabajo Areas Seguras.

Comunicaciones y Operaciones
1. Norma sobre documentación de procedimientos operativos
2. Norma para la gestión de servicios tercerizados
3. Norma sobre planeación y aceptación de sistemas
4. Norma sobre protección contra virus, código malicioso y móvil
5. Norma sobre gestión de respaldo y recuperación
6. Norma sobre gestión de seguridad en redes
7. Norma para el manejo de medios de información
8. Norma sobre Intercambio de información
9. Norma sobre el servicio de comercio electrónico
10. Norma sobre monitoreo de actividades de seguridad de la información.

Control de Acceso
1. Requisitos del negocio para el control del acceso

2. Gestión del acceso de usuarios

3. Responsabilidades de los usuarios

4. Control de acceso a las redes

5. Control de acceso al sistema operativo

6. Control de acceso a las aplicaciones y a la información

7. Computación móvil y trabajo remoto



Desarrollo de Software
1. Norma para adquisición, desarrollo y mantenimiento de sistemas de información
2. Norma Instalación Software Ambiente Operativo
3. Norma Acceso Código Fuente
4. Norma Especificaciones Funcionales Seguridad Aplicaciones.

Gestión Incidentes
1. Norma para la gestión de incidentes de seguridad de la información.

Continuidad del Negocio
1. Norma Continuidad Negocio.

Cumplimiento
1. Norma de Cumplimiento con Requisitos Legales y Reglamentarios

Para finalizar, les comento que a partir de este modelo normativo, iniciare una serie de entradas sobre cada uno de los Dominios de la Norma en los que profundizare mas sobre que dicen las ISO 27001 y 27002 y como interpretarlo satisfactoriamente.

4 comentarios:

Niccolas dijo...

Buen aporte Leonardo.
Tengo una inquietud referente a las normas de seguridad para la informacion electronica en Colombia. Supongo que conoces los criterios de Seguridad, normalizacion y conservacion (CSNC)definido en Europa para el tratameinto de la informacion electronica. Existe algo similar en Colombia? puedo sugerir controles de acuerdo a estos criterios Europeos en un analisis de seguridad a una empresa en Colombia?

Leonardo Camelo dijo...

Hola Niccolas

La verdad el tema de reglamentación de seguridad de la información en Colombia es practicamente inexistente, por lo que todo SGSI esta fundamentado netamente en la 27001 con los controles de la 27002 (Anexo A de la 27001)

Ahora, claro que puedes sugerir controles basados en el CSNC pero como acabo de mencionar, seria ideal tener en cuenta la 27002 que es el estandar con el que se tiene mas familiaridad en Colombia.

Niccolas dijo...

Mucha Gracias por tu respuesta, de hecho eso hice ya! :) utilice los controles de la 27002.

Gracias

Unknown dijo...

leonardo te agradezco el aporte;
me puedes ayudar dicienome donde ubico informacion de tipo cientifico sobre los SGSI, ya que los requiero para realizar el estado del arte en un proyecto que estoy desarrollando....Gracias.