¿US FIPS equivalente a ISO 27001?

0

Estoy familiarizado con las normas FIPS del gobierno de EE. UU., como FIPS 140, políticas y procedimientos; y controles de seguridad como los enumerados en SP800-53. Estoy menos familiarizado con ISO 27001.

Una vista previa de ISO 27001 está disponible en línea, pero es solo un reclamo sin información útil.

¿Cuál es el FIPS del gobierno de los EE. UU. o el equivalente de publicación especial de ISO 27001?

    
pregunta jww 06.05.2015 - 11:35
fuente

1 respuesta

2

No hay un solo documento dentro de FISMA que se asigne a ISO27k1. En cambio, hay varias publicaciones que pueden usarse para lograr lo mismo que con ISO27k1. Tenga en cuenta que, en general, el alcance de ISO27k1 se centra en el negocio. Creo que es menos específico que FISMA, está más orientado a los negocios. Eche un vistazo a este documento desde ATSEC . A continuación se muestra un extracto relevante:

  

Aquí comparamos cómo los dos difieren en algunos aspectos fundamentales. los   El esquema desarrollado por NIST es utilizado por las agencias federales, sus   Los contratistas y los involucrados como parte de la infraestructura crítica.   Incluyendo servicios públicos (electricidad, nuclear, gas y petróleo, represas),   Transporte (aire, carretera, ferrocarril, puerto, vías navegables), Salud Pública   Sistemas / Servicios de Emergencia, Información y Telecomunicaciones,   Defensa Nacional, Banca y Finanzas, Correos y Envío,   Agricultura / Alimentos / Agua, y la industria química para reunirse   sus requisitos obligatorios en virtud de la ley. Hasta la fecha un gran número   Los sistemas han sido certificados y acreditados bajo el esquema. La suite   de los estándares de FISMA está a punto de completarse e incluye un riesgo   metodología de evaluación (SP 199) y una lista de controles detallada (SP   800-53) con criterios de evaluación objetivos (SP 800-53A). Originalmente   se caracterizó por adoptar un enfoque "de abajo hacia arriba" como   El enfoque técnico está firmemente en los aspectos operacionales y técnicos.   del sistema informático. El enfoque del marco está en los sistemas de TI, y   en su certificación y acreditación para operar.

     
  • Publicación FIPS 199, Normas para la categorización de seguridad de la información federal y los sistemas de información
  •   
  • Publicación FIPS 200, Requisitos mínimos de seguridad para la información federal y los sistemas de información federales
  •   
  • Publicación especial NIST 800-18, Guía para el desarrollo de planes de seguridad para sistemas de información federales
  •   
  • Publicación especial 800-37 de NIST, Guía para la certificación de seguridad y acreditación de sistemas de información federales
  •   
  • Publicación especial NIST 800-30, Gestión de riesgos
  •   
  • Publicación especial NIST 800-53, Controles de seguridad recomendados para sistemas de información federales
  •   
  • Publicación especial 800-53A de NIST, Guía para evaluar los controles de seguridad en sistemas de información federales
  •   
  • Publicación especial 800-59 de NIST, Guía para identificar un sistema de información como sistema de seguridad nacional
  •   
  • Publicación especial 800-60 de NIST, Guía para mapear tipos de información y sistemas de información a categorías de seguridad
  •   

A medida que las normas y directrices relacionadas con FISMA han madurado, han   Destacó la importancia de un marco de gestión de riesgos que pueda ser   utilizado para aumentar el enfoque de conjunto de control de línea de base.

     

Por otro lado, la norma ISO / IEC 27001 está alineada con ISO / IEC   9001 (el Sistema de Gestión de Calidad) y se basa en las lecciones   aprendido en la carrera de ese estándar, satisfaciendo necesidades en el   ámbito no gubernamental para la escalabilidad y debe garantizar que se   El sistema de gestión de las organizaciones cumple con las mejores prácticas básicas.   sistema de gestión. El paradigma es que al asegurar que el   organización tiene un proceso de gestión de riesgos adecuadamente definido y   metodología de evaluación, entonces el tratamiento de los riesgos identificados   significa que se pueden aplicar controles apropiados y, por lo tanto, la garantía puede   Se puede obtener que los sistemas de la organización también estén asegurados adecuadamente.   Este estándar se enfoca en asegurarse de que la organización tenga un   Sistema de gestión capaz de gestionar la seguridad de la información, un   enfoque necesario para el ámbito no gubernamental donde una muy amplia   variedad de organizaciones necesitan ser atendidas. Por lo tanto, adopta más de   Un enfoque de "arriba hacia abajo". Las normas incluidas en la ISO / IEC 27000.   familia incluye:

     
  • Principios y principios de ISO / IEC 27000
  •   
  • Requisitos de ISO / IEC 27001 ISMS
  •   
  • Controles de seguridad ISO / IEC 27002 (Código de práctica para la gestión de la seguridad de la información)
  •   
  • ISO / IEC 27003 Guía de implementación del SGSI ISO / IEC 27004 Métricas y mediciones de la gestión de la seguridad de la información ISO / CEI   27005 riesgo SGSI
  •   
    
respondido por el Lucas Kauffman 06.05.2015 - 12:00
fuente

Lea otras preguntas en las etiquetas