DANILO CUSBA PULIDO JUAN MANUEL SANCHEZ

AUDITORIA DE SISTEMAS 2015B

ISO 27000• El 1 de Mayo de 2009, revisada con una segunda edición de 01 de

Diciembre de 2012 y una tercera edición de 14 de Enero de 2014. Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI La norma ISO / IEC 27000 es una serie de normas que, cuando se usan juntos, especifican la implementación completa de un SGSI. La serie está todavía en desarrollo. Los documentos básicos de la serie son la norma ISO / IEC 27001, que especifica los requisitos para un SGSI, e ISO / IEC 27002, que establece directrices y principios para la implementación. Un SGSI puede ser auditado según la norma ISO / IEC 27001 y la certificación que garantiza el cumplimiento. Certificación de terceros está disponible a partir de un número de proveedores acreditados y, normalmente, tiene una duración de 3 años. El apoyo a la mejora de una implementación general se administra durante todo el período de certificación.

ISO 27001

• Esta norma fue publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

ISO 27002

• Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005.

ISO 27003• Esta norma fue publicada el 01 de Febrero de 2010. No certificable. Se

trata de una norma adaptada tanto para los que quieren lanzarse a implantar un SGSI como para los consultores en su trabajo diario, debido a que resuelve ciertas cuestiones que venían careciendo de un criterio normalizado.

• ISO-27003 focaliza su atención en los aspectos requeridos para un diseño exitoso y una buena implementación del Sistema de Gestión de Seguridad de la Información – SGSI – según el estándar ISO 27001.

• Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

ISO 27004

Esta norma fue publicada el 15 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001.Facilita una serie de mejores prácticas para poder medir el resultado de un SGSI basado en ISO 27001.El estándar concreta cómo configurar el programa de medición, qué parámetros medir, cuñando y cómo medirlos, y ayuda a las empresas a crear objetivos de rendimiento y criterios de éxito.La medición de la seguridad aporta protección a los sistemas de la organización y da respuesta a las amenazas de la misma.La norma ISO27004 establece cómo se deben constituir estas medidas

y cómo se deben documentar e integrar los datos obtenidos en el SGSI.

ISO 27005

• Esta norma fue publicada en segunda edición el 1 de Junio de 2011 (primera edición del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001:2005 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. Su primera publicación revisó y retiró las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. Es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.

Las secciones que se usan en esta norma son • Prefacio.

• Introducción.

• Referencias normativas.

• Términos y definiciones.

• Estructura.• Fondo.

• Descripción del proceso de ISRM.

• Establecimiento Contexto.

• Información sobre la evaluación de riesgos de seguridad (ISRA).

• Tratamiento de Riesgos Seguridad de la Información.• Admisión de Riesgos Seguridad de la información.

• Comunicación de riesgos de seguridad de información.

• Información de seguridad Seguimiento de Riesgos y Revisión.

• Anexo A: Definición del alcance del proceso.

• Anexo B: Valoración de activos y evaluación de impacto.• Anexo C: Ejemplos de amenazas típicas.

• Anexo D: Las vulnerabilidades y métodos de evaluación de la vulnerabilidad.

• Enfoques ISRA: Anexo E.

ISO 27006

• Esta norma fue publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de 2007). Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001:2005 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.

ISO 27007

• Esta norma fue publicada el 14 de Noviembre de 2011. No certificable. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011. Refleja en gran parte a la norma ISO 19001 (estándar de auditoría para sistemas de gestión de la calidad y medioambiental). Se encarga de aportar orientación adicional al SGSI.

• EL estándar que adopta esta norma es:• La gestión del programa de auditoría del SGSI: establecer qué, cuándo y

cómo se debe auditar, asignar auditores apropiados, gestionar los riesgos de auditoría, mantenimiento de los registros de la misma, mejora continua del proceso…

• Ejecución de la auditoría relativa al SGSI, ésta incluye el proceso de auditoría, la planificación, la realización de actividades clave, trabajo de campo, análisis, presentación de informes y seguimiento.

• Gestión de los auditores del SGSI: competencias, atributos, habilidades, evaluación…

• Esta guía tiene los siguientes fines:• Confirmar que los controles de seguridad de la información mitigan de

forma correcta los riesgos de la organización.• Verificar que los controles de seguridad en relación con la contabilidad

general o de los sistemas y procesos de contratación son correctas para que los auditores corroboren los datos.

• Ratificar que las obligaciones contractuales de los proveedores son satisfactorias en relación a la seguridad de la información.

• Revisar por la dirección, sin olvidar las operaciones rutinarias que forman parte del SGSI de una organización, para asegurarnos que todo está en orden.

• Auditar tras incidentes de seguridad de la información como parte del análisis y generar acciones correctivas.

ISO 27008

Esta norma fue publicada el 15 de Octubre de 2011. No certificable. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI.Es un estándar que suministra orientación acerca de la implementación y operación de los controles, es aplicable a cualquier tipo y tamaño de empresa, tanto pública como privada que lleve a cabo revisiones relativas a la seguridad de la información y los controles de seguridad de la información.Es compatible con otras normas como ISO 27001 o ISO 27002, y sirve como plataforma estratégica para garantizar la seguridad de la información. La norma incluye la comprobación de la conformidad técnica frente a un estándar de implementación de seguridad de la información establecido en la empresa. No busca suministrar orientaciones específicas sobre la verificación del cumplimiento relativo a la medición, evaluación del riesgo o auditoría del SGSI.

CONTROLES

• Estos controles que trae ISO 27008 ayudarán a la organización a:

• Comprender el alcance de los problemas o deficiencias en la aplicación y puesta en marcha de los controles de seguridad de la información, normas de seguridad de la información y controles de la información técnica.

• Identificar los posibles impactos en la empresa de las amenazas y vulnerabilidades de seguridad de la información.

• Planificar actividades de mitigación de riesgos de seguridad de la información.

• Confirmar que las deficiencias de seguridad de información emergentes se han abordado de forma adecuad.

ISO 27009

• En estado de desarrollo. Esta norma tiene por objeto orientar a los que se desarrollaría orientación sectorial o específica de la industria en ISO27k, en particular, No certificable. Es una guía sobre el uso y aplicación de los principios y la adaptación o mejora de la norma ISO / IEC 27001. para el sector servicios específicos en emisión de certificaciones acreditadas de tercera parte. La norma está en segunda fase DIS. Evidentemente, los cambios sustantivos se acordaron en la reunión SC 27 en Malasia, incluyendo texto repetitivo que se incluirán en las futuras normas ISO27k al parecer, por lo que los editores y equipo del proyecto es necesario tener un cuidado especial para asegurar que el producto final sigue siendo utilizable.

ISO 27010

• Fue publicada el 20 de Octubre de 2012. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusión de información sensible, tanto públicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los intercambios de información y participación en relación con el suministro, mantenimiento y protección de una organización o de la infraestructura crítica de los estados y naciones. Actualmente en proceso de revisión para su actualización.

ISO 27011

• Fue publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002:2005. La norma facilita modernos controles, además de una orientación para la implementación en las empresas de telecomunicaciones. Consolida la privacidad, disponibilidad e integridad de las infraestructuras y servicios de estas empresas. La norma ISO27011 nos garantiza la seguridad de la información de las empresas a través de unos controles apropiados. Estos controles han de ser implementados, controlados, especificados y deben de ir evolucionando a lo largo del tiempo para que se lleve a cabo el cumplimento de los objetivos de seguridad fijados previamente por estas entidades.

Con la implementación de la norma ISO-27011, las organizaciones dedicadas a las telecomunicaciones tendrán que llevar a cabo las siguientes pautas:

• Proteger la integridad, confidencialidad y disponibilidad de las infraestructuras y servicios.

• Asegurar la disminución de los riesgos de los servicios que las empresas de telecomunicaciones prestan mediante procesos de cooperación fiables.

• Han de saber reordenar los recursos para que las actividades llevadas a cabo sean más eficientes.

• Acoger un principio global relacionado con la seguridad de la información.

• Tener la capacidad de hacer que la moralidad de las personas y la confianza de las mismas mejoren.

ISO 27012

• ISO / IEC 27012 fue propuesto por los servicios de administración electrónica, pero fue cancelado debido a la falta de interés. ISO 27012 también fue propuesto para la norma específica industria de las finanzas, pero no hay noticias o avances al respecto.

ISO 27013

• Fue publicada el 15 de Octubre de 2012. Es una guía de implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI). Actualmente finalizando el proceso de revisión para su actualización. El estándar puede ser usado para integrar los sistemas de gestión mencionados, para implementar uno de ellos beneficiándonos de la existencia del otro y también para implementar conjuntamente los dos.

ISO-27013 ayuda a las organizaciones interesadas, por ejemplo, a:Implementar el estándar ISO 27001 cuando ya trabajan con la norma ISO 20000, o al contrario.Implementar las normas ISO 27001 e ISO 20000 conjuntamente desde cero .Alinear y coordinar los sistemas relativos a ambos estándares, tanto el SGSI como el SGS.Por otro lado, ISO27013 plantea un marco para la organización y priorización de actividades, asesorando sobre asuntos como estos:Alineación de los objetivos de seguridad y el servicio de gestión.Mejora de la información.Regularizar las actividades multidisciplinares, para tener un enfoque más integrado y alineado.Contar con un sistema colectivo de procesos y documentos de apoyo como políticas, procedimientos…Tener un vocabulario común además de una visión compartida.Obtención de beneficios empresariales, también para los clientes y proveedores de servicios, así como beneficios adicionales resultados de la integración de ambos sistemas de gestión.Auditoría conjunta de ambos sistemas, al mismo tiempo, con la derivada reducción de los costes de auditoría.La norma ISO 27013 contiene dos anexos que comparan los estándares ISO 27001 e ISO 20000.

ISO 27014

• Fue publicada el 23 de Abril de 2013. Es una norma de seguridad de la información, la cual facilita orientación sobre los principios y conceptos para gobernar la seguridad de la información. A través de esta, las organizaciones podrán dirigir, comunicar, evaluar y controlar la seguridad de la información que está relacionada con las actividades de la organización.

• Su ámbito de aplicación es para todas las clases y tamaños de organizaciones. La ISO 27014 admite que existe influencia del factor humano en la seguridad a través del apoyo a la prestación de la seguridad, formación, educación y sensibilización mediante el Consejo de Administración.

• El Consejo de Administración es aquella persona que es responsable tanto en la ejecución como en el cumplimiento de la organización. Dicho Consejo es muy importante dentro de la norma, debido a que es vital para el éxito de la aplicación.

La ISO-27014 indica seis principios de gobiernos de la seguridad de información los cuales son:

• Establecer seguridad de la información en toda la empresa.

• Seguir un enfoque basado en el riesgo• Establecer la dirección de las decisiones de

inversión• Confirmar el cumplimento de los requisitos

externos e internos.• Promover un ambiente de seguridad positiva.• Evidenciar el rendimiento en relación con los

resultados del negocio.

ISO 27015

• Fue publicada el 23 de Noviembre de 2012. Determina la orientación de las organizaciones que llevan a cabo una prestación de servicios financieros con la finalidad de servir de apoyo a la gestión de seguridad de la información de sus activos y de la información procesada.

• Las empresas del sector financiero se están centrando tanto en redes más abiertas como en prestar servicios de banco electrónico y móvil, lo que quiere decir que en este momento se enfrentan a unos retos nuevos sobre las amenazas de seguridad de la información como el malware, ataques cibeméticos y phising. Para hacer frente a estos retos, deben implantar un sistema de gestión de la seguridad de la información idóneo para poder disminuir y prevenir los impactos y riesgos a los datos financieros y de los clientes y así, confirmar un nivel de seguridad de la información efectivo y un nivel de privacidad adecuado para sus servicios y productos.

VENTAJAS DE LA NORMA ISO 27015

Las ventajas de dicha norma son:

• Otorgar asesoramiento y orientación sobre el empleo de los controles y requisitos de dicha de las normas ISO/IEC 27001 e ISO/IEC 27002 en empresas de servicios financieros. Las organizaciones de dichos servicios obtendrán beneficios de la adquisición de esta norma, debido a que se les va a permitir aplicar con mayor facilidad gracias a estos controles y requisitos.

• La orientación y el asesoramiento incluidos en esta norma para las organizaciones de servicios financieros es muy genérico, es decir, se puede emplear en cualquier parte del mundo, sin que importe el tamaño de la empresa pero con el requisito de que formen parte de los servicios financieros.

ISO 27016

• Fue publicada el 20 de Febrero de 2014. Es una guía de valoración de los aspectos financieros de la seguridad de la información. Esta norma proporciona directrices sobre cómo una organización puede tomar decisiones para proteger la información y comprender las consecuencias económicas de estas decisiones en el contexto de las necesidades de recursos de la competencia.

• También se aplica a todos los tipos y tamaños de organizaciones y proporciona información para que las decisiones económicas en la información de gestión de la seguridad por la alta dirección que tienen la responsabilidad de las decisiones de seguridad de la información.

ISO 27017

• Esta norma proporcionará orientación sobre los elementos de seguridad de la información y aspectos de la computación en nube. Será acompañado por la norma ISO/IEC 27018, que cubre los aspectos de privacidad de la computación en nube, e ISO/IEC 27036 la guía de seguridad para para el Outsourcing.

Esta norma está aún en proceso de desarrollo, por lo que todavía no se sabe si responderá a muchas de las preguntas que hoy en día se hacen las personas cuando se plantean si volcar sus servicios en la nube.

ISO 27018

• la nueva norma ISO 27018 es la primera norma internacional sobre seguridad en la nube y aborda cuestiones específicamente relacionadas con este tipo de tecnología, algo que hasta el momento no existía. Fundamentalmente protege el derecho a la privacidad de la información de los usuarios y obliga a las empresas proveedoras a informar sobre el tratamiento que le dan a los datos de sus clientes. La norma pretende fortalecer la privacidad mediante la incorporación de sistemas de protección claves para la información sensible de clientes almacenada en la nube. Se trata de una norma cuya filosofía es proteger la privacidad y la seguridad de la información de los usuarios al impedir que los proveedores de servicios en la nube utilicen los datos con fines comerciales o de otro tipo. Aquellos que cuenten con esta certificación responderán a los más altos estándares de calidad establecidos por la Directiva Europea de Protección de Datos. La norma ISO 27018 aporta un grado de uniformidad a la industria, e incorpora protecciones necesarias para mejorar la seguridad y el cumplimiento de la IIP en un entorno informático que se basa cada vez más en la nube

ISO 27019

• Fue publicada el 17 de Julio de 2013. Guía con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de control específicos relacionados con el sector de la industria de la energía. Actualmente en proceso de revisión para su actualización. Esta norma proporciona principios de guía y buenas prácticas basadas en la norma ISO/IEC 27002 para la gestión de seguridad de la información y aplicada a sistemas de control de procesos en entornos industriales de suministro de la energía.

El objetivo de esta norma es extender el conjunto de normas ISO/IEC 27000 para el dominio de los sistemas de control de procesos y la tecnología de automatización, permitiendo de este modo que la industria de la energía pueda poner en práctica un sistema de gestión de información de seguridad normalizado (SGSI) en conformidad con la norma ISO/IEC 27001 que se extienda desde la empresa hasta el nivel de control de procesos.

ISO 27021

En esta norma se establecen los principios básicos para la realización de auditorías de sistemas de gestión, y estos principios son comunes y extrapolables a cualquier proceso de auditoría, tanto la de primera como segunda parte. Mientras que las auditorías de tercera parte están reguladas por la norma ISO 27021:2011..Como auditor debes cumplir con unos principios básicos:

• Conducta ética: debes valorar únicamente las evidencias, es decir, debes ser objetivo.

• Presentación objetiva: de los hallazgos de auditoría, tus conclusiones, los informes que elabores, etc. Deben reflejar la veracidad y precisión de las actividades de la auditoría.

• Profesionalidad: debes conocer y poner en práctica la importancia de tu tarea y de la confidencialidad de tus actuaciones.

• Independencia: debes estar libres de cualquier conflicto de intereses, o sea, debes ser objetivo e independiente.

• Evidencias: deben ser verificables. Deben estar fundamentadas en muestras de la información, disponibles y confiables, obtenidas durante la auditoría.

ISO 27025

• ISO 27025: 2010 define la garantía de calidad (QA) requisitos para el establecimiento y la aplicación de programas de control de calidad de los proyectos que cubren definición de la misión, el diseño, el desarrollo, la producción y el funcionamiento de los sistemas espaciales, incluida la eliminación.

• Es aplicable a la relación cliente-proveedor para los productos espacio en la medida acordada por ambas partes. Los requisitos de esta Norma Internacional y sus normas de referencia asociados se adaptan a las necesidades y clases de proyectos específicos.

• Cuando se ve desde la perspectiva de un contexto determinado proyecto, los requisitos definidos en la norma ISO 27025: 2010 están diseñados para satisfacer las necesidades genuinas de un perfil particular y las circunstancias de un proyecto.

ISO 27026

• ISO 27026: 2011 especifica los procesos, requisitos y recomendaciones para la ruptura de las estructuras de gestión de proyectos, colectivamente denominadas estructuras de desglose del proyecto, en términos de diferentes especificaciones (es decir, requisitos), funcional, producto, el trabajo, el costo, los negocios y las estructuras de desglose de la organización que son establecido y aplicado a contribuir al éxito de un programa espacial, que a menudo se compone de uno o más proyectos.

• Está destinado a complementar y completar los procesos de la estructura de desglose del proyecto similares, requisitos y recomendaciones contenidas en la norma ISO 14300-1, que sirve como un nivel más alto estándar internacional ISO 27026: 2011 y para los otros sistemas espaciales y las operaciones de Normas Internacionales que requieren proyecto oficial estructuras de desglose.

ISO 27027

• ISO 27027: 2008 especifica las definiciones, requisitos de desempeño en general y métodos de ensayo para determinar el rendimiento de estado sólido (remoto) controladores de potencia (SSPC) para su uso en sistemas de energía eléctrica aeroespaciales.

• El controlador de potencia de estado sólido (remoto) se compone de de estado sólido dispositivo de conmutación (s) y los circuitos de estado sólido asociado para la protección, la acción de señales de control y suministro de información de estado

ISO 27031

El estándar ISO 27031 explica los principios y conceptos de la tecnología de información y comunicación (TIC), la preparación para que continúe el negocio, y la descripción de los procesos y métodos necesarios para señalar e identificar todos los aspectos que sirvan para mejorar la preparación de las TIC de una empresa con la finalidad de garantizar la continuidad del negocio.Se puede llevar a cabo en cualquier organización independientemente de su tamaño y del sector al que pertenezca, incluso que sea privada, gubernamental o no gubernamental.El ámbito de aplicación de dicha norma incluye cada uno de los eventos o incidentes, también los que están asociados con la seguridad, que pueden tener un impacto en los sistemas de TIC y en las infraestructuras. Además, se amplia a las prácticas de información de seguridad de manejo de gestión, de incidentes, servicios de planificación y preparación para las TIC.

ISO 27032ISO / IEC 27032: 2012 Tecnología de la información - Técnicas de seguridad -Directrices para la ciberseguridad ISO 27032:. 2012 proporciona orientación para mejorar el estado de Ciberseguridad, sacando los aspectos únicos de esa actividad y sus dependencias en otros dominios de seguridad, en particular:• seguridad de información,• Seguridad de la red,• seguridad de Internet, y• protección de infraestructuras críticas de información (PICI).ISO 27032 cubre las prácticas de seguridad de referencia para los interesados en el Ciberespacio. ISO 27032 Norma ofrece:

• una visión general de la Seguridad Cibernética,• una explicación de la relación entre Ciberseguridad y otros tipos de

seguridad,• una definición de las partes interesadas y una descripción de su papel en

la seguridad cibernética,• orientación para abordar las cuestiones de seguridad cibernética

comunes, y• un marco para que las partes interesadas a colaborar en la resolución de

cuestiones de seguridad cibernética.

ISO 27033Parcialmente desarrollada. Es una norma derivada de la norma de seguridad ISO/IEC 18028 de la red de cinco partes existentes.Esta norma da una visión general de seguridad de la red y de los conceptos asociados. Explica las definiciones relacionadas y aporta orientación de la gestión de la seguridad de la red. Se destina a la gestión de la seguridad, aplicaciones de servicios y/o redes, seguridad de los dispositivos de red y a la seguridad de información que se pasa mediante enlaces de comunicaciones.El alcance de la norma puede modificarse a medida que el estándar sigue desarrollando de forma paralela la evolución de la seguridad de la red.

Consistente en 7 partes: 27033-1, conceptos generales (Publicada el 15 de Diciembre de 2009); 27033-2, directrices de diseño e implementación de seguridad en redes (Publicada el 27 de Julio de 2012); 27033-3, escenarios de referencia de redes (Publicada el 3 de Diciembre de 2010); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (Publicada el 21 de Febrero de 2014); 27033-5, aseguramiento de comunicaciones mediante VPNs (Publicada el 29 de Julio de 2013); 27033-6, convergencia IP (en desarrollo); 27033-7, redes inalámbricas (en propuesta de desarrollo).

ISO 27034

Esta norma proporciona una guía de seguridad de la información dirigida a los agentes de negocio y de TI, auditores y desarrolladores y los usuarios finales de las TIC, es decir, sirve para aquellas personas que llevan a cabo el diseño, programación, adquisición y uso de los sistemas de aplicación.La finalidad de dicha norma es asegurar que las aplicaciones informáticas conceden el nivel necesario o deseado de la seguridad en apoyo del Sistema de Gestión de Seguridad de la Información de las empresas. La ISO-27034 proporciona orientación sobre el diseño, selección, especificación y aplicación de los controles de seguridad de la información mediante un conjunto de procesos que están integrados a través del Desarrollo de Sistemas de Ciclo de una organización (SDLC).Son un conjunto de aplicaciones de software que se han realizado internamente, a través de la adquisición externa de enfoques híbridos

ISO 27035

Esta norma explica un enfoque de mejores prácticas destinado a la gestión de la información de incidentes de la seguridad.Los controles de la seguridad de la información no son perfectos debido a que pueden fallar, pueden trabajar solo parcialmente o incluso, a veces, están ausentes, es decir, no están en funcionamiento. Debido a esto, los incidentes pasan debido que los controles preventivos no son totalmente eficaces o fiables.La orientación de la seguridad de la información en ISO-27035 se puede aplicar a todas las organizaciones, ya sean pequeñas, medianas o grandes. Además, se da orientación de forma específica para las empresas que presten servicios de gestión de incidentes de seguridad de información.

ISO 27036ISO / IEC 27036-3: 2013 proporciona productos y servicios adquirentes y proveedores de la tecnología de la información y la comunicación (TIC) cadena de suministro con orientación en:ganar visibilidad y la gestión de los riesgos de seguridad de información causadas por las cadenas de suministro de las TIC dispersos físicamente y de varias capas;responder a los riesgos derivados de la cadena de suministro mundial de las TIC a los productos y servicios TIC que pueden tener un impacto en la seguridad de información sobre las organizaciones que utilizan estos productos y servicios. Estos riesgos pueden estar relacionados con aspectos organizativos y técnicos (por ejemplo, la inserción de código malicioso o presencia de la tecnología de la información falsificada (IT) los productos);la integración de los procesos y las prácticas de seguridad de la información en el sistema y el ciclo de vida del software, los procesos descritos en la norma ISO / IEC 15288 e ISO / IEC 12207, mientras que el apoyo a los controles de seguridad de la información, que se describe en la norma ISO / IEC 27002.

ISO 27037

• Esta norma fue publicada el 15 de Octubre de 2012. Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.

ISO 27038

ISO / IEC 27038: 2014 especifica las características de las técnicas para llevar a cabo la redacción digital en documentos digitales. También especifica los requisitos para las herramientas y los métodos de control de que la redacción digital de redacción de software se ha completado de forma segura.

No incluye la redacción de la información de las bases de datos.

ISO 27039

• ISO / IEC 27039: 2015 proporciona directrices para ayudar a las organizaciones en la preparación para implementar sistemas de prevención (PDI) de detección de intrusos y. En particular, se aborda la selección, implementación y operaciones de los desplazados internos. También proporciona información de fondo del que se derivan de estas directrices.

ISO 27040• ISO / IEC 27040: 2015 proporciona orientación técnica

detallada sobre cómo las organizaciones pueden definir un nivel apropiado de mitigación de riesgos mediante el empleo de un enfoque bien probada y consistente para la planificación, diseño, documentación y puesta en práctica de la seguridad de almacenamiento de datos. La seguridad de almacenamiento se aplica a la protección (seguridad) de la información, donde se almacena y para la seguridad de la información que se transfiere a través de los enlaces de comunicación asociados con el almacenamiento. La seguridad de almacenamiento incluye la seguridad de los dispositivos y medios de comunicación, la seguridad de las actividades de gestión relacionados con los dispositivos y medios de comunicación, la seguridad de las aplicaciones y servicios, y de seguridad pertinentes a los usuarios finales durante la vida útil de los dispositivos y medios de comunicación y después de finalizar su uso.

ISO 27041

• ISO / IEC 27041: 2015 proporciona orientación sobre mecanismos para asegurar que los métodos y procesos utilizados en la investigación de los incidentes de seguridad de la información son "adecuados para sus fines". Encapsula las mejores prácticas en la definición de requisitos, que describe los métodos, y proporcionar evidencia de que las implementaciones de los métodos se pueden mostrar para satisfacer los requisitos. Incluye la consideración de cómo proveedor y pruebas de terceros se pueden utilizar para ayudar a este proceso de garantía.

ISO 27042

• ISO / IEC 27042: 2015 proporciona orientación sobre el análisis e interpretación de la evidencia digital de una manera que se ocupa de cuestiones de continuidad, validez, reproducibilidad y repetitividad. Encapsula las mejores prácticas para la selección, diseño e implementación de los procesos de análisis y registro de la información suficiente para permitir que este tipo de procesos para ser sometidos a un escrutinio independiente cuando sea necesario. Proporciona orientación sobre mecanismos apropiados para demostrar la habilidad y competencia del equipo de investigación.

• Análisis e interpretación de la evidencia digital puede ser un proceso complejo. En algunas circunstancias, puede haber varios métodos que se pueden aplicar y se requerirán los miembros del equipo de investigación para justificar su selección de un determinado proceso y que muestran cómo es equivalente a otro proceso utilizado por otros investigadores. En otras circunstancias, los investigadores pueden tener que idear nuevos métodos para el examen de la evidencia digital que previamente no se ha considerado y debe ser capaz de demostrar que el método de producción es "adecuado para el propósito".

ISO 27043

• ISO / IEC 27043: 2015 proporciona directrices basadas en modelos idealizados de los procesos de investigación de incidentes comunes a través de diversos escenarios de investigación de incidentes que involucran evidencia digital. Esto incluye los procesos de preparación previa al incidente a través de cierre de la investigación, así como cualquier asesoramiento general y advertencias sobre tales procesos. Las directrices describen los procesos y principios aplicables a los diversos tipos de investigaciones, incluyendo, pero no limitado a, el acceso no autorizado, la corrupción de datos, fallos del sistema, o infracciones corporativas de seguridad de la información, así como cualquier otra investigación digital.

• En resumen, esta Norma Internacional proporciona una visión general de todos los principios y procesos de investigación de incidentes sin prescribir detalles particulares dentro de cada uno de los principios y procesos de investigación cubiertos en esta norma. Muchas otras normas internacionales pertinentes, donde se hace referencia en esta norma internacional, proporcionan contenidos más detallado de los principios y procesos de investigación específicos.

ISO 27044

• SO / IEC 27044 - Tecnología de la información - Técnicas de seguridad -. Directrices para la información de seguridad y gestión de eventos (SIEM) (BORRADOR) ISO 27044 norma ofrecerá presumiblemente orientación sobre el diseño, implementación, uso y / o manejo de SIEM, posiblemente en el contexto de un Sistema de Gestión de Seguridad de la Información ISO27k.

• La información relativa a los incidentes y eventos de seguridad de información es a veces el tiempo-crítico y / o necesita una respuesta urgente. Por el contrario, en algunas situaciones, los incidentes de seguridad de información sólo se hacen evidentes si uno examina los archivos de registro y otras fuentes de información en el largo plazo. Sistemas SIEM proporcionan apoyo administrativo y de gestión para los procesos asociados, por ejemplo, mediante el cotejo de las fuentes de datos dispares, analizarlos y presentar informes sobre anomalías o inquietudes en función de su naturaleza

ISO 27048

• ISO 27048: 2011 especifica los requisitos mínimos para la evaluación de los datos de la vigilancia de los trabajadores ocupacionalmente expuestos al riesgo de contaminación interna por sustancias radiactivas. Presenta procedimientos y supuestos para la interpretación estandarizada de datos de vigilancia, a fin de lograr niveles aceptables de fiabilidad. Estos procedimientos permiten la cuantificación de las exposiciones a la documentación de cumplimiento de las normas y programas de protección radiológica. Los límites se establecen para la aplicabilidad de los procedimientos con respecto a los niveles de dosis por encima del cual los métodos más sofisticados tendrán que aplicar.

ISO 27050

• ISO / IEC 27050, el Discovery Tecnologías de la Información-Security Techniques-Electrónica." El trabajo está siendo coordinado bajo la norma ISO / IEC JTC (Técnicas de TI de seguridad) 1 / SC27. Una vez completada, la nueva norma de orientación proporcionará una visión general de e-discovery y la información almacenada electrónicamente (ESI), definir la terminología, y hacer frente a los retos tecnológicos y de procesos asociados con e-discovery. Este será el primer lanzamiento en lo que se espera para convertirse en un estándar de varias partes que proporciona los requisitos, así como orientación.

ISO 27799ISO 27799: 2008 define los lineamientos para apoyar la interpretación y aplicación de la informática en salud de la norma ISO / IEC 27002 y es un complemento de esa norma.Especifica un conjunto de controles detallados para la gestión de seguridad de la información de salud y proporciona información sobre la salud de seguridad directrices sobre mejores prácticas. Mediante la implementación de esta norma internacional, las organizaciones sanitarias y otros custodios de la información de salud serán capaces de garantizar un nivel mínimo de seguridad requerido es adecuada a las circunstancias de su organización y que va a mantener la confidencialidad, integridad y disponibilidad de la información de salud personal.Se aplica a la información de salud en todos sus aspectos; cualquiera de sus formas la información toma (palabras y números, grabaciones de sonido, dibujos, vídeo e imágenes médicas), todos los medios se usan para almacenarla (impresión o escribir en papel o de almacenamiento electrónico) y todos los medios se utilizan para transmitirlo (a mano, por fax, a través de redes informáticas o por correo), ya que la información siempre debe ser protegido de manera apropiada.