14 feb 2013

Cambios en la nueva ISO 27001:2013 Draft (III)


En el post anterior se ha analizado los cambios entre la antigua ISO 27001 (publicado en 2005) y el proyecto de 2013. Naturalmente, los controles de la ISO 27001 Anexo A no pueden cambiar sin cambiar la ISO 27002 porque la esencia de estas dos normas deben estar alineadas.

Ahora, echemos un vistazo a los cambios que se proponen en la norma ISO 27002, según el sitio web de BSI). Como siempre es importante hacer notar que, dado que esto es sólo una versión DIS (Draft), la versión final de la norma ISO 27002:2013, diferirá un poco. Aquí me centraré principalmente en la forma en que los controles están estructurados, y no tanto en su descripción.

Número de secciones: como era de esperar, el número de secciones ha aumentado de 11 secciones que contienen los controles en el viejo estándar a 14 en el nuevo. De esta manera, el problema en la norma antigua, donde algunos controles se insertaban "artificialmente" en ciertas áreas adonde no pertenecían, ahora se ha resuelto.

Número de controles: sorprendentemente, el número de controles ha disminuido de 133 a sólo 113. Esto es debido a la eliminación de algunos controles que eran demasiado específicos o anticuados.

Estructura de secciones: criptografía se ha convertido en una sección separada (#10) y ya no es (lógicamente) parte del dominio de "Desarrollo y adquisiciones de sistemas". Algo similar ha sucedido con las "relaciones con los proveedores" y se han convertido en una sección aparte (#15). El dominio "Gestión de comunicaciones y operaciones" se dividió en "Operaciones de seguridad" (#12), y "Comunicaciones de seguridad" (#13). Las secciones ahora son:
  • 5 Security Policies
  • 6 Organization of information security
  • 7 Human resource security
  • 8 Asset management
  • 9 Access control
  • 10 Cryptography
  • 11 Physical and environmental security
  • 12 Operations security
  • 13 Communications security
  • 14 System acquisition, development and maintenance
  • 15 Supplier relationships
  • 16 Information security incident management
  • 17 Information security aspects of business continuity
  • 18 Compliance

Reubicación de controles

  • El control de dispositivos móviles y teletrabajo, previamente en el control de acceso, ahora es parte de la sección 6.2 Organización de la seguridad de la información.
  • Manipulación de los medios de comunicación que anteriormente era parte de Gestión de comunicaciones y operaciones, ahora forma parte de la gestión de activos 8.3.
  • El Control de acceso al sistema operativo, las aplicaciones y el control de acceso a la información, se han fusionado en el Sistema de control de aplicaciones y acceso (9.4).
  • El Control del software operativo, anteriormente un único control en el Sistema de información de la adquisición, desarrollo y mantenimiento, es ahora una categoría aparte 12.5 en la sección de Operaciones de seguridad.
  • Las consideraciones de Auditoría sistemas de información han pasado desde el dominio de Cumplimiento a la sección 12.7 de Seguridad de operaciones.
  • La categoría de acceso a la red se ha ido, y algunos de sus controles se han trasladado a la sección 13 la Seguridad en las comunicaciones.
  • La transferencia de información (anteriormente llamado Intercambio de información) es ahora parte de la sección 13.2 Seguridad en las comunicaciones.
  • La categoría controversial sobre el procesamiento correcto de información  en las aplicaciones, se ha ido.
  • Los servicios de comercio electrónico se fusionaron en el dominio 14.1 sobre Requisitos de seguridad de sistemas de información.
  • Dos categorías de la sección de Gestión de Incidentes se han unido en una sola.
  • En la sección de continuidad de negocio se ha agregado una nueva categoría, la 17.2 sobre la redundancia de datos.

Nuevos controles

  • 14.2.1 Política de desarrollo seguro - Reglas para el desarrollo de software y sistemas de información
  • 14.2.5 Los procedimientos del sistema de desarrollo - Principios para la ingeniería de sistemas
  • 14.2.6 entorno de desarrollo seguro - establecer y proteger el entorno de desarrollo
  • 14.2.8 Sistema de pruebas de seguridad - las pruebas de funcionalidad de seguridad
  • 16.1.4 Evaluación y decisión de los eventos de seguridad de información - esto es parte de la gestión de incidentes
  • 17.2.1 Disponibilidad de instalaciones de procesamiento de información - lograr redundancia

Controles que se han ido

  • 6.2.2 Abordar la seguridad al tratar con los clientes
  • 10.4.2 Controles contra código móvil
  • 10.7.3 Procedimientos de manejo de la información
  • 10.7.4 Seguridad de la documentación del sistema
  • 10.8.5 Sistemas de Información Empresarial
  • 10.9.3 Información pública
  • 11.4.2 Autenticación de usuario para conexiones externas
  • 11.4.3 Identificación de los equipos en las redes
  • 11.4.4 remoto puerto de diagnóstico y configuración de protección
  • 11.4.6 Red de control de la conexión
  • 11.4.7 Red de control de encaminamiento
  • 12.2.1 Validación de datos de entrada
  • 12.2.2 Control de procesamiento interno
  • 12.2.3 Integridad del mensaje
  • 12.2.4 Salida de validación de datos
  • 11.5.5 Tiempo de sesión
  • 11.5.6 Limitación del tiempo de conexión
  • 11.6.2 Aislamiento del sistema Sensitive
  • 12.5.4 Filtración de información
  • 14.1.2 Continuidad del negocio y evaluación de riesgos
  • 14.1.3 Desarrollo e implementación de planes de continuidad de negocio
  • 14.1.4 Continuidad del negocio marco de planificación
  • 15.1.5 Prevención del uso indebido de las instalaciones de procesamiento de información
  • 15.3.2 Protección de las herramientas de auditoría de sistemas de información
Dado que la estructura de la norma ISO 27002 está completamente alineada con los controles de la ISO 27001, todos estos cambios también son válidos para las nuevas ISO 27001 anexo A.

A primera vista, hay muchos cambios pero la mayoría de los mismos no son realmente fundamentales sino que muchos de ellos se han adaptado en una nueva estructura y se han añadido controles que faltaban desde el principio. Para concluir, la aplicación de esta nueva norma va a ser más fácil de implementar.


Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

1 comentario:

  1. Realmente interesante el artículo!

    Gran labor realizada. Por mi parte estoy deseando obtener la versión definitiva de la norma.

    Saludos,

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!