Sistema de gestión de seguridad de información
Un sistema de gestión de seguridad de información[1] (SGSI) es un conjunto de políticas relacionadas con seguridad de la información gestión o LO relacionado a los riesgos. Los modismos surgieron principalmente de BS 7799.
El principio que gobierna detrás de un SGSI es que una organización debe diseñar, implementar y mantener un conjunto coherente de políticas, procesos y sistemas de gestión de riesgos a su activos de información, asegurando un nivel aceptable de riesgo de seguridad de la información.
Contenido
- 1 Descripción de SGSI.
- 2 Necesidad de un SGSI
- 3 Factores críticos de éxito para el SGSI.
- 4 Temas dinámicos en SGSI.
- 5 Véase también
- 6 Notas y referencias
Descripción de SGSI.
Como con todos los procesos de gestión, un SGSI debe seguir siendo eficaces y eficientes a largo plazo, adaptándose a los cambios en la organización interna y el ambiente externo. ISO/IEC 27001: 2005 por lo tanto, incorporado al "Plan-do-Check-Act" (CÍRCULO DE DEMING), o Deming ciclo, enfoque:
- El Plan de fase se trata de diseñar los ismos, evaluar los riesgos de seguridad de la información y seleccionar los controles adecuados.
- El Do fase consiste en implementar y operar los controles.
- El Cheque fase se pretende revisar y evaluar el desempeño (eficiencia y eficacia) de los ismos.
- En Ley fase, se realizan cambios donde sea necesario para llevar los ismos a obtener el máximo rendimiento.
ISO/IEC 27001: 2005 es un estándar de seguridad de información basada en riesgo, que significa que las organizaciones necesitan tener un proceso de gestión de riesgo en el lugar. El proceso de gestión de riesgo se adapta a la CÍRCULO DE DEMING modelo dada anteriormente.[2]
Sin embargo, el último estándar, ISO/IEC 27001:2013, no hacer hincapié en el ciclo de Deming ya. El usuario de ISMS es libre de usar cualquier enfoque de procesos (mejora) de gestión como PDCA o Seis Sigmas DMAIC.
Es otra competencia ISMS Foro de seguridad de la informaciónes Normas de buenas prácticas (SOGP). Es más mejores prácticas-basado en como se trata de experiencias de la industria de la ISF.
Algunos ISMSs más conocidos para la certificación de seguridad informática son la Criterios comunes Estándar internacional (CC) y sus precursores Criterios de evaluación de seguridad de tecnología de información (ITSEC) y Criterios de evaluación del sistema equipo fiable (TCSEC).[3]
Algunas naciones publicar y utilizar sus propias normas de SGSI, por ejemplo, la certificación de seguridad de tecnología de información de Departamento de defensa (DoD) y proceso de acreditación (DITSCAP) de Estados Unidos, la Certificación de garantía de la información de Departamento de defensa y el proceso de acreditación (DIACAP) de Estados Unidos, el alemán Protección de línea de base es, SGSI de Japón, de Corea, seguridad de la información SGSI verificar servicio (ISCS) de Corea.[3]
Otros frameworks tales como COBIT y ITIL toque sobre la seguridad publica, pero están orientados principalmente hacia la creación de un marco de gobernabilidad para información y más en general. COBIT tiene un compañero marco Riesgo es dedicado a la seguridad de la información.
Tabla siguiente ilustra la comparación de la estructura de certificación de algunos ISMSs conocidos:[3]
BS 7799 | Criterios comunes | Criterios de evaluación de seguridad de ti | |
---|---|---|---|
Área de operación | Inglaterra | Unos 25 países | Países europeos |
Estructura básica | -6 fases de gestión -11 dominios de seguridad -Objetivos de control 139 -Controles de seguridad 133 |
-3 piezas -11 requisitos funcionales de seguridad -8 requisitos de aseguramiento |
-4 fases -6 niveles |
Proceso de gestión | 1 - definir la política 2 - definir alcance 3 - evaluación de riesgos 4 - gestión de riesgo 5 - Seleccione controles para ser implementado y aplicado 6 - preparar una declaración de aplicabilidad |
1 - Introducción PP/ST 2-conformance reclamos Definición del problema 3-seguridad Objetivos de seguridad 4 Definición de componentes 5-extended Requisitos de seguridad-6 |
1. requisitos 2 - arquitectura 3 - diseño detallado 4 - aplicación |
Diferencia del proceso | Énfasis en la seguridad empresarial | Énfasis en la seguridad técnica | Énfasis en la seguridad empresarial |
Punto de Control de la especificación | Proporcionar mejor código de prácticas para la administración de seguridad de información | Proporcionar un conjunto común de requisitos para la funcionalidad de seguridad de los productos | Proporcionar un conjunto común de requisitos para la funcionalidad de seguridad de los productos |
Método de evaluación | Use el ciclo de modelo PDCA | Siga cada procedimiento de evaluación de certificación | Siga la Comisión de comunidades europeas |
Hay una serie de iniciativas enfocadas a la gobernabilidad y cuestiones organizativas de asegurar los sistemas de información teniendo en cuenta que es empresarial y organizacional no sólo un problema técnico:
- Información Federal ley de gestión de seguridad de 2002 es un Ley federal de los Estados Unidos promulgada en 2002, que reconoció la importancia de seguridad de la información a los intereses de seguridad nacional y económica de los Estados Unidos.[4] La ley requiere que cada uno Agencia Federal a desarrollar, documentar e implementar un programa general de la Agencia para proporcionar seguridad de la información para la información y sistemas de información que soportan las operaciones y activos de la agencia, incluyendo aquellos proporcionados o gestionado por otra agencia, contratista, u otra fuente.[4][5]
- Que rigen para la guía de implementación de Enterprise Security [6] de la Universidad Carnegie-Mellon Software Engineering Institute CERT está diseñado para ayudar a empresarios a implementar un programa efectivo para gobernar la tecnología de la información (IT) y seguridad de la información.
- A Modelo de madurez de la capacidad (CMM) para el sistema de seguridad Ingeniería fue estandarizado en ISO/IEC 21827.
- Modelo de madurez de gestión de seguridad de información (conocido como ISM-cubed o ISM3) es otra forma de SGSI. ISM3 se basa en estándares tales como ISO 20000, ISO 9001, CMM, ISO/IEC 27001y los conceptos de gobernabilidad y seguridad de información general. ISM3 puede utilizarse como una plantilla para un SGSI de ISO 9001-obediente. Tiempo ISO/IEC 27001 es la base, los controles ISM3 proceso basado e incluye indicadores de proceso. ISM3 es un estándar para la gestión de la seguridad (cómo lograr a la misión de las organizaciones a pesar de errores, ataques y accidentes con un presupuesto determinado). La diferencia entre ISM3 y ISO/IEC 21827 es que ISM3 se centra en la gestión, ISO 21287 en ingeniería.
Necesidad de un SGSI
Expertos en seguridad dicen:[7]
- los administradores de seguridad de tecnología de información deben esperar dedicar aproximadamente una tercera parte de su tiempo de abordar los aspectos técnicos. Los dos tercios restantes se deben destinar desarrollando políticas y procedimientos, realizar revisiones de seguridad y análisis de riesgo, abordar la planificación de contingencia y promover la conciencia de seguridad;
- seguridad depende de personas más en la tecnología;
- los empleados son una amenaza mucho mayor para la seguridad de la información que los forasteros;
- la seguridad es como una cadena. Es sólo tan fuerte como su eslabón más débil;
- el grado de seguridad depende de tres factores: el riesgo está dispuesto a tomar, la funcionalidad del sistema y los costes están dispuestos a pagar;
- la seguridad no es un estado o una instantánea, sino un proceso en ejecución.
Estos hechos conducen inevitablemente a la conclusión de que Administración de la seguridad es un asunto de gestión y no una cuestión puramente técnica.[7]
El establecimiento, mantenimiento y actualización continua de un SGSI proporcionan una indicación fuerte que una empresa está utilizando un enfoque sistemático para la identificación, evaluación y gestión de los riesgos de seguridad de la información. Factores críticos de ismos:
- Confidencialidad:: Protección de información de terceros no autorizados.
- Integridad:: Información protección de modificación por parte de usuarios no autorizados.
- Disponibilidad de:: Pone la información disponible para los usuarios autorizados.
Una empresa será capaz de enfrentar con éxito la información confidencialidad, integridad y disponibilidad de requisitos que a su vez tienen implicaciones:
- continuidad del negocio;
- minimización de daños y perjuicios;
- ventaja competitiva;
- rentabilidad y flujo de efectivo;
- imagen respetada organización;
- cumplimiento legal
El objetivo principal de gestión de seguridad de la información es implementar las medidas adecuadas para eliminar o minimizar el impacto que relacionados con la seguridad de varios amenazas y vulnerabilidades puede tener en una organización. De esta manera, gestión de seguridad de la información permitirá implementar las deseables características cualitativas de los servicios ofrecidos por la organización (por ejemplo, disponibilidad de servicios, preservación de la confidencialidad de los datos y la integridad etc..).[7] Por prevenir y minimizar los impactos de los incidentes de seguridad, SGSI garantiza la continuidad del negocio, confianza de los clientes, proteger las oportunidades y las inversiones empresariales o reducir el daño al negocio.[8]
Las grandes organizaciones, bancos e institutos financieros, los operadores de telecomunicaciones, salud y hospital institutos y organismos públicos o gubernamentales tienen muchas razones para abordar la seguridad de la información muy en serio. Requisitos legales y reglamentarios que tienen como objetivo proteger los datos sensibles o personales, así como los requisitos generales de seguridad pública impulsan a dedicar la máxima atención y prioridad a los riesgos de seguridad de la información.[7]
Bajo estas circunstancias, el desarrollo e implementación de una gestión separada e independiente proceso - es decir un SGSI - es la única alternativa.[7]
El desarrollo de un marco de SGSI basado en ISO/IEC 27001: 2005 consiste en los siguientes seis pasos:[7]
- Definición de política de seguridad,
- Definición del alcance del SGSI,
- Evaluación del riesgo (como parte de la gestión de riesgos),
- Gestión del riesgo,
- Selección de la correspondiente controles y
- Declaración de aplicabilidad
Factores críticos de éxito para el SGSI.
Para ser eficaces, los ismos deben:[7]
- tiene el apoyo continuo, inquebrantable y visible y el compromiso de la alta dirección de la organización;
- ser administrado centralmente, basado en una política y estrategia común en toda la organización;
- ser una parte integral de la gestión global de la organización relacionadas con y que refleja el enfoque de la organización para la gestión de riesgos, los objetivos de control y los controles y el grado de aseguramiento requerido;
- actividades y objetivos de seguridad estar basadas en los requisitos y objetivos de negocio y lideradas por gestión empresarial;
- realizar solamente tareas necesarias y evitar sobrevirajes y pérdida de valiosos recursos;
- cumplen plenamente con la filosofía de la organización y la mentalidad proporcionando un sistema que en vez de impedir que la gente haciendo lo que son empleadas para hacer, permitirá a hacerlo en el control y demostrar su plena rendición de cuentas;
- basarse en continua formación y sensibilización del personal y evitar el uso de medidas disciplinarias y "policía" o "militares" prácticas;
- ser un proceso interminable;
Temas dinámicos en SGSI.
Hay tres problemas principales que conducen a la incertidumbre en sistemas de gestión de seguridad de información (SGSI):[9]
- Dinámicamente cambiantes requisitos de seguridad de una organización
Rápido desarrollo tecnológico plantea nuevos problemas de seguridad para las organizaciones. Los requisitos y medidas de seguridad existentes obsoletas como nuevas vulnerabilidades se presentan con el desarrollo de la tecnología. Para superar este problema, el SGSI debe organizar y administrar dinámicamente cambiantes requerimientos y mantener actualizado el sistema.[9]
- Externalidades causadas por un sistema de seguridad
Externalidad es un concepto económico para los efectos sufragados por la parte que no está directamente implicada en una transacción. Las externalidades pueden ser positivos o negativos. Los ismos desplegados en una organización también pueden causar las externalidades para otros sistemas de interacción. Externalidades causadas por los ismos son inciertas y no pueden ser predeterminadas antes de que se implementa el SGSI. La internalización de las externalidades causadas por los ' ismos ' es necesario para beneficiar a organizaciones internalizantes y socios interactúan protegiéndolos de comportamientos SGSI vulnerables.[9]
- Evaluación obsoleto de las preocupaciones de seguridad
Las evaluaciones de las preocupaciones de seguridad utilizadas en SGSI obsoletas conforme avanza la tecnología y las vulnerabilidades y amenazas surgen. La necesidad de seguridad continua evaluación organizacionales productos, servicios, métodos y tecnología es esencial para mantener un SGSI eficaz. Las preocupaciones de seguridad evaluados deben ser reevaluados. Un mecanismo de evaluación continua de la seguridad de ismos dentro de la organización es una necesidad fundamental para alcanzar los objetivos de seguridad de la información. El proceso de reevaluación está empatado con el proceso de gestión de seguridad dinámica requisito discutido anteriormente.[9]
Véase también
- Activo (informática)
- Ataque (informática)
- CERT
- COBIT
- ENISA
- Arquitectura empresarial
- FISMA
- Gestión de seguridad de la información
- Gobierno de ti
- ITIL
- Riesgo
- ISO 9001
- ISO/IEC 27001
- ISO/IEC 27002
- ISO/IEC 27004
- ISO/IEC 27005
- NIST
- CÍRCULO DE DEMING
- Control de seguridad
- Administración de eventos e información de seguridad
- Amenaza (computadora)
- Vulnerabilidad (informática)
- WARP (seguridad de la información)
- TRAC (ISMS)
Notas y referencias
- ^ "Llave de usabilidad del sistema de gestión de seguridad de fácil adopción". sourcesecurity.com. 22 de agosto 2013.
- ^ Humphreys, Edward (08 de marzo de 2011). "Información gestión sistema estándares de seguridad". Datenschutz und Datensicherheit - DuD 35 (1): 7 – 11. Doi:10.1007/s11623-011-0004-3.
- ^ a b c Jo, Heasuk; Kim, Seungjoo; Ganado, Dongho (01 de enero de 2011). "Avanzado sistema de evaluación de gestión de seguridad de información". KSII transacciones en Internet y sistemas de información 5 (6): 1192 – 1213. Doi:10.3837/Tiis.2011.06.006.
- ^ a b NIST: FISMA Resumen
- ^ Caballero, Albert. (2009). "14". Computadoras y manual de seguridad de la información. Publicaciones de Morgan Kaufmann. Elsevier Inc. p. 232. ISBN978-0-12-374354-1.
- ^ CERT que rigen para la guía de implementación de Enterprise Security
- ^ a b c d e f g Gestión de riesgos de ENISA, inventario de evaluación de riesgo, página 8
- ^ Ma, Qingxiong; Schmidt, Mark B.; Pearson, Michael (2009). "Un marco integrado para la gestión de seguridad de la información". Revisión del negocio 30 (1): 58-69. 26 de octubre 2013.
- ^ a b c d Abbas, Haider; Magnusson, Christer; Yngstrom, Louise; Hemani, Ahmed (01 de enero de 2011). "Cuestiones de dinámica en la administración de seguridad de información". Gestión de la información y seguridad informática 19 (1): 5 – 24. Doi:10.1108/09685221111115836.