ISO/IEC TS 27110:2021. Tecnología de la información, ciberseguridad y protección de la privacidad - Directrices para el desarrollo del marco de ciberseguridad

Prólogo

La ISO (Organización Internacional de Normalización) y la CEI (Comisión Electrotécnica Internacional) forman el sistema especializado de normalización mundial. Los organismos nacionales miembros de la ISO o la CEI participan en la elaboración de las normas internacionales a través de los comités técnicos establecidos por la organización respectiva para ocuparse de determinados campos de actividad técnica. Los comités técnicos de la ISO y la CEI colaboran en campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con la ISO y la CEI, también participan en los trabajos.

Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior mantenimiento se describen en las Directivas ISO/IEC, Parte 1. En particular, cabe destacar los diferentes criterios de aprobación necesarios para los distintos tipos de documentos. Este documento se ha redactado de acuerdo con las normas de redacción de las Directivas ISO/IEC, Parte 2 (véase www.iso.org/directives).

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de derechos de patente. ISO y la CEI no se responsabilizan de la identificación de ninguno o de todos esos derechos de patente. Los detalles de cualquier derecho de patente identificado durante el desarrollo del documento aparecerán en la Introducción y/o en la lista ISO de declaraciones de patentes recibidas (véase www.iso.org/patents) o en la lista IEC de declaraciones de patentes recibidas (véase patents.iec.ch).

Cualquier nombre comercial utilizado en este documento es una información que se ofrece para comodidad de los usuarios y no constituye una aprobación.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos y expresiones específicos de ISO relacionados con la evaluación de la conformidad, así como información sobre la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) en los Obstáculos Técnicos al Comercio (OTC), consulte www.iso.org/iso/foreword.html.

Este documento ha sido elaborado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la Información, Subcomité SC 27, Seguridad de la información, ciberseguridad y protección de la privacidad.
Cualquier comentario o pregunta sobre este documento debe dirigirse al organismo nacional de normalización del usuario. La lista completa de estos organismos puede encontrarse en www.iso.org/members.html.
Introducción

La ciberseguridad es un problema acuciante debido al uso de las tecnologías conectadas. Las ciberamenazas evolucionan continuamente, por lo que la protección de los usuarios y las organizaciones es un reto constante. Para hacer frente a este desafío, los grupos empresariales, las agencias gubernamentales y otras organizaciones producen documentos y herramientas denominados marcos de ciberseguridad para ayudar a organizar y comunicar las actividades de ciberseguridad de las organizaciones. Estas organizaciones que producen los marcos de ciberseguridad se denominan "creadores de marcos de ciberseguridad". Otras organizaciones y personas utilizan o hacen referencia al marco de ciberseguridad en sus actividades de ciberseguridad.

Dado que hay múltiples creadores de marcos de ciberseguridad, hay una multitud de marcos de ciberseguridad. El conjunto actual de marcos de ciberseguridad es diverso y variado. Las organizaciones que utilizan marcos de ciberseguridad se enfrentan al reto de armonizar diferentes léxicos y estructuras conceptuales para satisfacer sus necesidades. Estos marcos de ciberseguridad se convierten entonces en intereses que compiten por recursos finitos. El esfuerzo adicional podría emplearse mejor en la aplicación de la ciberseguridad y la lucha contra las amenazas.

El objetivo de este documento es garantizar que se utilice un conjunto mínimo de conceptos para definir los marcos de ciberseguridad con el fin de ayudar a aliviar la carga de los creadores y usuarios de marcos de ciberseguridad.
Como este documento se limita a un conjunto mínimo de conceptos, su longitud se mantiene al mínimo a propósito. Este documento no pretende sustituir o reemplazar los requisitos de un SGSI dados en la norma ISO/IEC 27001.
Los principios de este documento son los siguientes

    - flexible - para permitir la existencia de múltiples tipos de marcos de ciberseguridad;
    - compatible - para permitir la alineación de múltiples marcos de ciberseguridad; e
    - interoperable - para permitir que los múltiples usos de un marco de ciberseguridad sean válidos.

El público de este documento son los creadores de marcos de ciberseguridad.

1 Ámbito de aplicación
Este documento especifica las directrices para desarrollar un marco de ciberseguridad. Es aplicable a los creadores de marcos de ciberseguridad independientemente del tipo, tamaño o naturaleza de sus organizaciones.

2 Referencias normativas
En el texto se hace referencia a los siguientes documentos de manera que parte o la totalidad de su contenido constituye requisitos de este documento. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha, se aplica la última edición del documento referenciado (incluyendo cualquier enmienda).
ISO/IEC 27000, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Visión general y vocabulario
ISO/IEC TS 27100, Tecnología de la información - Ciberseguridad - Visión general y conceptos

3 Términos y definiciones
A los efectos de este documento, se aplican los términos y definiciones que figuran en ISO/IEC 27000, ISO/IEC TS 27100 y los siguientes.
La ISO y la CEI mantienen bases de datos terminológicas para su uso en la normalización en las siguientes direcciones:

    - Plataforma de navegación en línea de ISO: disponible en https://www.iso.org/obp
    - IEC Electropedia: disponible en http://www.electropedia.org/

3.1
marco de ciberseguridad conjunto básico de conceptos utilizados para organizar y comunicar las actividades de ciberseguridad
3.2
ciberpersona representación digital de un individuo u organización necesaria para interactuar en el ciberespacio
[FUENTE: U.S. DoD Joint Publication 3-12 y Caire, J, & Conchon, S:2016]
3.3
activo cualquier cosa que tenga valor para un individuo, una organización o un gobierno.
[FUENTE: ISO/IEC 27032:2012, 4.6, modificado - Se ha eliminado la nota].
Solo secciones informativas de la normativa están disponibles. Para ver el contenido completo debe comprar la normal a través del botón comprar

Bibliografía
1] ISO/IEC 20547-3, Tecnología de la información - Arquitectura de referencia de Big data - Parte 3: Arquitectura de referencia
2] ISO/IEC 20547-4, Information technology - Big data reference architecture - Part 4: Security and privacy
3] ISO/IEC TR 22446, Tecnología de la información - Mejora continua del rendimiento de los servicios habilitados para TI
4] ISO/IEC 27032:2012, Tecnología de la información - Técnicas de seguridad - Directrices para la ciberseguridad
5] ISO/IEC TR 27103:2018, Tecnología de la información - Técnicas de seguridad - Ciberseguridad y normas ISO e IEC
6] ISO/IEC TS 27570, Protección de la privacidad - Directrices de privacidad para las ciudades inteligentes
7] ISO/IEC 30141, Internet de las cosas (loT) - Arquitectura de referencia
8] ISO/IEC 30145, Tecnología de la información - Marco de referencia TIC para ciudades inteligentes
9] Método de gestión de riesgos EBIOS, ANSSI, 2018
10] Publicación conjunta 3-12, Washington, DC: Estado Mayor Conjunto de los Estados Unidos, 5 de febrero de 2013
[11] Seguridad: ¿cómo hacer frente a las sorpresas?, 20eme Congrès de maîtrise des risques et de sûreté de fonctionnement, J& Conchon,S, 2016
[12] Balance, análisis y recomendaciones sobre la protección de las infraestructuras críticas de información, ENISA, Sarri Anna & Moulinos Konstatinos, 2016
[13] La Stratégie Nationale pour la Sécurité du Numérique, Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), octubre de 2015
[14] Framework Nazionale per la Cybersecurity, CIS-Sapienza & Cyber Security National Laboratory of the National Interuniversity Consortium for Informatics, 2016
[15] Marco de seguridad cibernética/física, Ministerio de Economía, Comercio e Industria de Japón, abril de 2019
16] Common Attack Pattern Enumeration and Classification, A community resource for identifying and understanding attacks, McLean (The MITRE Corporation), febrero de 2018
[17] AFNOR CN SSI, el gestor de riesgos EBIOS™, ANSSI y Club EBIOS, 2018
[18] Normas voluntarias y enfoques innovadores en materia de ciberseguridad, AFNOR, 2019
[19] Plan Nacional de Ciberseguridad 2022, Centro de investigación y coordinación de la ciberdelincuencia, mayo de 2017
[20] Marco Ciberseguridad v4.0, Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y el Conocimiento, enero 2018
21] Marco de Ciberseguridad versión 1.1, Instituto Nacional de Estándares y Tecnología (Departamento de Comercio de los Estados Unidos), abril de 2018
[22] Publicación CG, 01/2018 - Documento de referencia sobre las medidas de seguridad para los Operadores de Servicios Esenciales, ENISA, 2018

Fuente: https://www.iso.org/obp/ui/es/#iso:std:iso-iec:ts:27110:ed-1:v1:en