¿Cómo utilizar la serie SP 800 53 para la aplicación de la norma ISO 27001?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

¿Cómo utilizar la serie SP 800 53 para la aplicación de la norma ISO 27001?

¿Cómo utilizar la serie SP 800 53 para la aplicación de la norma ISO 27001?

SP 800 53

SP 800 53

Durante el artículo anterior, ¿Cómo utilizar la serie SP 800 de la norma ISO 27001?, hicimos una descripción a groso modo sobre la serie SP 800, llegamos a la conclusión de que describen las prácticas de seguridad informática publicado por el Instituto Nacional de Estándares y Tecnología,  y de algunos documentos específicos que se puede usar para apoyar a la norma ISO 27001.

Durante este artículo, se detallará el SP 800 53 que nos habla sobre los controles de seguridad y privacidad para los sistemas de información federal y organizaciones, que presenta todos los controles de seguridad que se recomiendan por el Instituto Nacional de Estándares y Tecnología, y cómo esta información puede ser utilizada junto con la norma ISO 27002 para diseñar e implantar todos los controles de seguridad especificados en la norma ISO 27001 dentro del Anexo A.

Estructura

Dentro de SP 800 53 tenemos tres capítulos y 10 apéndices, que son los siguientes:

Capítulos:

  • Introducción
  • Fundamentos
  • Procesos

Apéndices:

  • Referencias
  • Glosario
  • Acrónimos
  • Línea base de control de seguridad
  • Seguridad y confiabilidad
  • Catálogo de los controles de seguridad
  • Sistema de Gestión de Seguridad de la Información
  • Plantilla de reposición
  • Privacidad del catálogo de control

Introducción: se cubre el documento objetivo y la aplicabilidad, la identificación del público objetivos, la relación con otras publicaciones de control de seguridad, y las responsabilidades de la empresa.

Fundamentos: abarca los conceptos usados para la selección y la especificación de todos los controles de seguridad, por ejemplo, la gestión de los riesgos, la estructura de los controles de seguridad, las líneas base, etc. además deberá proporcionar toda la documentación detallada del SP 800.

Proceso: se describe todo el proceso de selección y especificación de los controles de seguridad.

Apéndices: se cubre toda la información de soporte.

Durante este artículo sólo queremos  hacer hincapié sobre las partes más importantes de este documento.

Estructura de control de seguridad

La estructura de los controles de seguridad en SP 800 53 es muy parecida a la norma ISO 27001. Sus 256 controles se encuentran organizados en 18 familias diferentes, cada uno que contiene los controles relacionados con la norma ISO 27001.

Los controles en cada familia pueden cubrir los aspectos que se relacionan con la política, la supervisión, los procesos manuales, las acciones de los individuos o los mecanismos automatizados, dependiendo de su aplicación y su estructura de la siguiente forma:

  • Control: prescribe actividades de forma específica que se relacionan con la seguridad básica que debe llevarse a cabo.
  • Guía complementaria: facilita información de orientación adicional para ser utilizado en su caso.
  • Mejoras de control: proporciona medidas adicionales a las actividades de seguridad descritas en la sección de control, se debe tener en cuenta que, en determinadas situaciones, pueden no ser suficientes para garantizar los niveles de protección requeridos.
  • Referencias: incluyendo un listado con toda la documentación correspondiente que se considere pertinente para el control, que facilita enlaces a otros documentos de la serie SP 800.
  • Prioridad y asignación de referencia: proporciona información sobre todos los controles de seguridad durante la ejecución de prioridades y la asignación inicial de los controles de seguridad y mejoras de control, teniendo en cuenta un modelo de referencia.

Estructura tiene algunas similitudes con la norma ISO 27002 y también proporciona suficiente detalle para apoyar la norma ISO 27001 durante la aplicación del Anexo A.

Además de los controles de seguridad, SP 800 53 también facilita una familia de 16 controles para la gestión de todos los programas de seguridad de la información y 14 controles que se encuentran agrupados en tres familiares, para la protección de la privacidad. Estas tres listas de SP 800-53 se encuentran disponibles en los apéndices F, G y J.

Mapeo de SP 800 53 a los controles ISO 27001

SP 800 53 proporciona un mapeo de todos los controles de seguridad que se encuentran en la norma ISO 27001. Algunos ejemplos son:

  • 1.2 La separación de las funciones asignadas a la CA 5 para la separación de tareas.
  • 3.2 Eliminación de todos los mapas de los medios de comunicación, MP 6 medios de desinfección
  • 3.1 Información de copia de seguridad que se asigna al Sistema de Información, CP 9 copia de seguridad.

A pesar de que esta asignación puede agilizar la identificación de la información que puede ser utilizada para realizar el diseño o mejorar todos los controles de seguridad ISO 27001, ya que los dos conjuntos de controles fueron creados bajo distintas expectativas, en algunos casos, pueden no ser completamente equivalentes y esta asignación se debe utilizar con precaución.

Aunque las normas ISO proporcionan prácticas reconocidas en todo el mundo, eso no quiere decir que son la respuesta definitiva en todos los temas que cubren. Como en cualquier situación que enfrentamos todos los días, siempre habrá algo en otras fuentes de conocimiento que podemos utilizar para mejorar nuestros resultados.

La norma ISO 27002 es una gran fuente para ayudar en el diseño de la norma ISO 27001 controles, y combinando su utilización de los recursos que ofrece SP 800 53, al igual que los controles de seguridad, líneas de base y las prioridades de asignación, una empresa puede conseguir mejores resultados durante la aplicación,  administración y funcionamiento de los controles de seguridad, la mejora de todos los niveles de seguridad y confianza de todos los usuarios.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...

Loading Facebook Comments ...