ISO 27001:2022 Anexo A Control 8.27

Principios de ingeniería y arquitectura de sistemas seguros

Reserve una demostración

cerrar,arriba,imagen,de,mujer,manos,escribiendo,en,computadora portátil,computadora

ISO 27001:2022 El Anexo A 8.27 especifica que las organizaciones deben implementar una arquitectura de sistema segura y principios de ingeniería para garantizar que el diseño, la implementación y la gestión del sistema de información sean apropiados para los requisitos de seguridad de la organización. Esto incluye el establecimiento de arquitecturas de sistemas seguros, principios de ingeniería y prácticas de diseño seguras.

Las intrincadas estructuras de los sistemas de información contemporáneos, combinadas con el entorno de riesgo de seguridad cibernética en constante cambio, hacen que los sistemas de información sean más propensos a amenazas de seguridad existentes y potenciales.

El Anexo A 8.27 describe cómo las organizaciones pueden proteger proteger sus sistemas de información de las amenazas a la seguridad mediante la implementación de principios de ingeniería de sistemas seguros durante todas las etapas del ciclo de vida del sistema de información.

Propósito de ISO 27001:2022 Anexo A 8.27

El Anexo A 8.27 facilita a las organizaciones proteger los sistemas de información durante las fases de diseño, implementación y operación, mediante el establecimiento e implementación de principios de ingeniería de sistemas seguros que los ingenieros de sistemas deben cumplir.

Propiedad del Anexo A 8.27

El Director de Información de Seguridad debe ser responsable de establecer, sostener y poner en práctica las reglas que rigen la ingeniería segura de los sistemas de información.

Saltar al tema

Orientación general sobre el cumplimiento de ISO 27001:2022 Anexo A 8.27

ISO 27001:2022 Anexo A 8.27 subraya la necesidad de que las organizaciones integren la seguridad en la totalidad de sus sistemas de información, incluidos los procesos comerciales, las aplicaciones y la arquitectura de datos.

Se deben implementar prácticas de ingeniería segura para todas las tareas asociadas con los sistemas de información, revisadas y actualizadas periódicamente para tener en cuenta las amenazas y patrones de ataque emergentes.

El Anexo A 8.27 también se aplica a los sistemas creados por proveedores externos, además de los desarrollados y ejecutados internamente.

Las organizaciones deben garantizar que las prácticas y estándares de los proveedores de servicios estén en línea con sus protocolos de ingeniería seguros.

ISO 27001:2022 Anexo A 8.27 requiere principios de ingeniería de sistemas seguros para abordar los siguientes ocho temas:

  1. Métodos de autenticación de usuarios.

  2. Guía de control de sesión segura.

  3. Procedimientos de higienización y validación de datos.

  4. Se analizan exhaustivamente las medidas de seguridad para proteger los activos y sistemas de información contra amenazas conocidas.

  5. Medidas de seguridad analizadas por su capacidad para identificar, eliminar y responder a amenazas a la seguridad.

  6. Analizar las medidas de seguridad aplicadas a actividades empresariales específicas, como el cifrado de la información.

  7. Dónde y cómo se implementarán las medidas de seguridad. Como parte de este proceso, se podrá integrar un control de seguridad específico del Anexo A dentro de la infraestructura técnica.

  8. La forma en que las diferentes medidas de seguridad trabajan juntas y operan como un sistema combinado.

Orientación sobre el principio de confianza cero

Las organizaciones deben tener en cuenta estos principios de confianza cero:

  • Basado en el supuesto de que los sistemas de la organización ya están comprometidos y que la seguridad perimetral definida de su red no puede proporcionar una protección adecuada.

  • Se debe adoptar una política de “verificación antes que confianza” cuando se trata de otorgar acceso a los sistemas de información. Esto garantiza que el acceso se conceda sólo después de un escrutinio, asegurándose de que lo tengan las personas adecuadas.

  • Garantizar que las solicitudes realizadas a los sistemas de información estén protegidas con cifrado de extremo a extremo proporciona seguridad.

  • Los mecanismos de verificación se implementan asumiendo solicitudes de acceso desde redes abiertas externas a los sistemas de información.

  • Implementar privilegios mínimos y control de acceso dinámico de acuerdo con ISO 27001:2022 Anexo A 5.15, 5.18 y 8.2. Esto debe abarcar la autenticación y autorización de información y sistemas de información confidenciales teniendo en cuenta aspectos contextuales como las identidades de los usuarios (ISO 27001:2022 Anexo A 5.16) y clasificación de la información (ISO 27001:2022 Anexo A 5.12).

  • Autenticar la identidad del solicitante y verificar las solicitudes de autorización para acceder a los sistemas de información de acuerdo con la información de autenticación en ISO 27001:2022 Anexo A 5.17, 5.16 y 8.5.

¿Qué deberían cubrir las técnicas de ingeniería de sistemas seguros?

Su organización debe tener en cuenta lo siguiente:

  • Incorporar principios de arquitectura segura como "seguridad por diseño", "defensa en profundidad", "fallar de forma segura", "desconfiar de las entradas de aplicaciones externas", "asumir una infracción", "menor privilegio", "usabilidad y capacidad de gestión" y "menor funcionalidad". " es de suma importancia.

  • Realizar una revisión del diseño orientada a la seguridad para detectar cualquier problema de seguridad de la información y asegurarse de que se establezcan medidas de seguridad y satisfagan las necesidades de seguridad.

  • Es esencial documentar y reconocer las medidas de seguridad que no cumplen con los requisitos.

  • El endurecimiento del sistema es esencial para la seguridad de cualquier sistema.

¿Qué criterios considerar al diseñar principios de ingeniería seguros?

Las organizaciones deben tener en cuenta los siguientes puntos al establecer principios de ingeniería de sistemas seguros:

  • El requisito de coordinar los controles del Anexo A con una arquitectura de seguridad particular es indispensable.

  • La infraestructura de seguridad técnica existente de una organización, incluida la infraestructura de clave pública, la gestión de identidades y la prevención de fuga de datos.

  • ¿Puede la organización construir y sostener la tecnología elegida?

  • Se debe considerar el coste y el tiempo necesarios para cumplir los requisitos de seguridad, teniendo en cuenta su complejidad.

  • Adherirse a las mejores prácticas actuales es esencial.

Orientación sobre la aplicación de principios de ingeniería de sistemas seguros

ISO 27001:2022 Anexo A 8.27 establece que las organizaciones pueden utilizar principios de ingeniería seguros al configurar lo siguiente:

  • La tolerancia a fallos y otras estrategias de resiliencia son esenciales. Ayudan a garantizar que los sistemas permanezcan operativos a pesar de que ocurran eventos inesperados.

  • La segregación a través de la virtualización es una técnica que se puede utilizar.

  • La protección contra manipulaciones garantiza que los sistemas permanezcan seguros e impermeables a interferencias maliciosas.

La tecnología de virtualización segura puede reducir el riesgo de interceptación entre aplicaciones que se ejecutan en el mismo dispositivo.

Se destaca que los sistemas de resistencia a la manipulación pueden detectar la manipulación tanto lógica como física de los sistemas de información, impidiendo el acceso no autorizado a los datos.

Cambios y diferencias con respecto a ISO 27001:2013

ISO 27001:2022 Anexo A 8.27 reemplaza ISO 27001:2013 Anexo A 14.2.5 en la norma revisada de 2022.

La versión 2022 contiene exigencias más amplias que la versión 2013, tales como:

  • En comparación con 2013, la versión 2022 proporciona orientación sobre lo que deberían contener los principios de ingeniería segura.

  • A diferencia de la iteración de 2013, la versión 2022 considera los criterios que las organizaciones deben tener en cuenta al construir principios de ingeniería de sistemas seguros.

  • La versión 2022 proporciona orientación sobre el principio de confianza cero, que no se incluyó en la versión 2013.

  • La edición de 2022 del documento incluye recomendaciones para técnicas de ingeniería seguras, como la “seguridad por diseño”, que no estaba presente en la versión de 2013.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Controlar.

Controles organizacionales ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles organizacionalesAnexo A 5.1Anexo A 5.1.1
Anexo A 5.1.2		Políticas de Seguridad de la Información
Controles organizacionalesAnexo A 5.2Anexo A 6.1.1Funciones y responsabilidades de seguridad de la información
Controles organizacionalesAnexo A 5.3Anexo A 6.1.2Segregación de deberes
Controles organizacionalesAnexo A 5.4Anexo A 7.2.1Responsabilidades de gestión
Controles organizacionalesAnexo A 5.5Anexo A 6.1.3Contacto con autoridades
Controles organizacionalesAnexo A 5.6Anexo A 6.1.4Contacto con grupos de interés especial
Controles organizacionalesAnexo A 5.7NUEVOInteligencia de amenaza
Controles organizacionalesAnexo A 5.8Anexo A 6.1.5
Anexo A 14.1.1		Seguridad de la información en la gestión de proyectos
Controles organizacionalesAnexo A 5.9Anexo A 8.1.1
Anexo A 8.1.2		Inventario de Información y Otros Activos Asociados
Controles organizacionalesAnexo A 5.10Anexo A 8.1.3
Anexo A 8.2.3		Uso aceptable de la información y otros activos asociados
Controles organizacionalesAnexo A 5.11Anexo A 8.1.4Devolución de Activos
Controles organizacionalesAnexo A 5.12Anexo A 8.2.1Clasificación de la información
Controles organizacionalesAnexo A 5.13Anexo A 8.2.2Etiquetado de información
Controles organizacionalesAnexo A 5.14Anexo A 13.2.1
Anexo A 13.2.2
Anexo A 13.2.3		Transferencia de información
Controles organizacionalesAnexo A 5.15Anexo A 9.1.1
Anexo A 9.1.2		Control de Acceso
Controles organizacionalesAnexo A 5.16Anexo A 9.2.1Gestión de identidad
Controles organizacionalesAnexo A 5.17Anexo A 9.2.4
Anexo A 9.3.1
Anexo A 9.4.3		Información de autenticación
Controles organizacionalesAnexo A 5.18Anexo A 9.2.2
Anexo A 9.2.5
Anexo A 9.2.6		Derechos de acceso
Controles organizacionalesAnexo A 5.19Anexo A 15.1.1Seguridad de la Información en las Relaciones con Proveedores
Controles organizacionalesAnexo A 5.20Anexo A 15.1.2Abordar la seguridad de la información en los acuerdos con proveedores
Controles organizacionalesAnexo A 5.21Anexo A 15.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
Controles organizacionalesAnexo A 5.22Anexo A 15.2.1
Anexo A 15.2.2		Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores
Controles organizacionalesAnexo A 5.23NUEVOSeguridad de la información para el uso de servicios en la nube
Controles organizacionalesAnexo A 5.24Anexo A 16.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información
Controles organizacionalesAnexo A 5.25Anexo A 16.1.4Evaluación y Decisión sobre Eventos de Seguridad de la Información
Controles organizacionalesAnexo A 5.26Anexo A 16.1.5Respuesta a Incidentes de Seguridad de la Información
Controles organizacionalesAnexo A 5.27Anexo A 16.1.6Aprender de los incidentes de seguridad de la información
Controles organizacionalesAnexo A 5.28Anexo A 16.1.7Recolección de evidencia
Controles organizacionalesAnexo A 5.29Anexo A 17.1.1
Anexo A 17.1.2
Anexo A 17.1.3		Seguridad de la información durante la disrupción
Controles organizacionalesAnexo A 5.30NUEVOPreparación de las TIC para la continuidad del negocio
Controles organizacionalesAnexo A 5.31Anexo A 18.1.1
Anexo A 18.1.5		Requisitos legales, estatutarios, reglamentarios y contractuales
Controles organizacionalesAnexo A 5.32Anexo A 18.1.2DERECHOS DE PROPIEDAD INTELECTUAL
Controles organizacionalesAnexo A 5.33Anexo A 18.1.3Protección de registros
Controles organizacionalesAnexo A 5.34 Anexo A 18.1.4Privacidad y protección de la PII
Controles organizacionalesAnexo A 5.35Anexo A 18.2.1Revisión independiente de la seguridad de la información
Controles organizacionalesAnexo A 5.36Anexo A 18.2.2
Anexo A 18.2.3		Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información
Controles organizacionalesAnexo A 5.37Anexo A 12.1.1Procedimientos operativos documentados

ISO 27001:2022 Controles de personas

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles de personasAnexo A 6.1Anexo A 7.1.1examen en línea.
Controles de personasAnexo A 6.2Anexo A 7.1.2Términos y condiciones de empleo
Controles de personasAnexo A 6.3Anexo A 7.2.2Concientización, educación y capacitación sobre seguridad de la información
Controles de personasAnexo A 6.4Anexo A 7.2.3Proceso Disciplinario
Controles de personasAnexo A 6.5Anexo A 7.3.1Responsabilidades después de la terminación o cambio de empleo
Controles de personasAnexo A 6.6Anexo A 13.2.4Acuerdos de confidencialidad o no divulgación
Controles de personasAnexo A 6.7Anexo A 6.2.2Trabajo remoto
Controles de personasAnexo A 6.8Anexo A 16.1.2
Anexo A 16.1.3		Informes de eventos de seguridad de la información

Controles físicos ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles físicosAnexo A 7.1Anexo A 11.1.1Perímetros de seguridad física
Controles físicosAnexo A 7.2Anexo A 11.1.2
Anexo A 11.1.6		Entrada Física
Controles físicosAnexo A 7.3Anexo A 11.1.3Seguridad de oficinas, habitaciones e instalaciones
Controles físicosAnexo A 7.4NUEVOMonitoreo de seguridad física
Controles físicosAnexo A 7.5Anexo A 11.1.4Protección contra amenazas físicas y ambientales
Controles físicosAnexo A 7.6Anexo A 11.1.5Trabajar en áreas seguras
Controles físicosAnexo A 7.7Anexo A 11.2.9Limpiar escritorio y limpiar pantalla
Controles físicosAnexo A 7.8Anexo A 11.2.1Ubicación y protección de equipos
Controles físicosAnexo A 7.9Anexo A 11.2.6Seguridad de los activos fuera de las instalaciones
Controles físicosAnexo A 7.10Anexo A 8.3.1
Anexo A 8.3.2
Anexo A 8.3.3
 Anexo A 11.2.5		Medios de almacenamiento
Controles físicosAnexo A 7.11Anexo A 11.2.2Servicios públicos de apoyo
Controles físicosAnexo A 7.12Anexo A 11.2.3Seguridad del cableado
Controles físicosAnexo A 7.13Anexo A 11.2.4Mantenimiento De Equipo
Controles físicosAnexo A 7.14Anexo A 11.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles TecnológicosAnexo A 8.1Anexo A 6.2.1
Anexo A 11.2.8		Dispositivos terminales de usuario
Controles TecnológicosAnexo A 8.2Anexo A 9.2.3Derechos de acceso privilegiados
Controles TecnológicosAnexo A 8.3Anexo A 9.4.1Restricción de acceso a la información
Controles TecnológicosAnexo A 8.4Anexo A 9.4.5Acceso al código fuente
Controles TecnológicosAnexo A 8.5Anexo A 9.4.2Autenticación Segura
Controles TecnológicosAnexo A 8.6Anexo A 12.1.3Gestión de capacidad
Controles TecnológicosAnexo A 8.7Anexo A 12.2.1Protección contra malware
Controles TecnológicosAnexo A 8.8Anexo A 12.6.1
Anexo A 18.2.3		Gestión de Vulnerabilidades Técnicas
Controles TecnológicosAnexo A 8.9NUEVOConfiguration Management
Controles TecnológicosAnexo A 8.10NUEVOEliminación de información
Controles TecnológicosAnexo A 8.11NUEVOEnmascaramiento de datos
Controles TecnológicosAnexo A 8.12NUEVOPrevención de fuga de datos
Controles TecnológicosAnexo A 8.13Anexo A 12.3.1Copia de seguridad de la información
Controles TecnológicosAnexo A 8.14Anexo A 17.2.1Redundancia de instalaciones de procesamiento de información
Controles TecnológicosAnexo A 8.15Anexo A 12.4.1
Anexo A 12.4.2
Anexo A 12.4.3		Inicio de sesión
Controles TecnológicosAnexo A 8.16NUEVOActividades de seguimiento
Controles TecnológicosAnexo A 8.17Anexo A 12.4.4Sincronización de reloj
Controles TecnológicosAnexo A 8.18Anexo A 9.4.4Uso de programas de utilidad privilegiados
Controles TecnológicosAnexo A 8.19Anexo A 12.5.1
Anexo A 12.6.2		Instalación de Software en Sistemas Operativos
Controles TecnológicosAnexo A 8.20Anexo A 13.1.1Seguridad de Redes
Controles TecnológicosAnexo A 8.21Anexo A 13.1.2Seguridad de los servicios de red
Controles TecnológicosAnexo A 8.22Anexo A 13.1.3Segregación de Redes
Controles TecnológicosAnexo A 8.23NUEVOFiltrado Web
Controles TecnológicosAnexo A 8.24Anexo A 10.1.1
Anexo A 10.1.2		Uso de criptografía
Controles TecnológicosAnexo A 8.25Anexo A 14.2.1Ciclo de vida de desarrollo seguro
Controles TecnológicosAnexo A 8.26Anexo A 14.1.2
Anexo A 14.1.3		Requisitos de seguridad de la aplicación
Controles TecnológicosAnexo A 8.27Anexo A 14.2.5Principios de ingeniería y arquitectura de sistemas seguros
Controles TecnológicosAnexo A 8.28NUEVOCodificación segura
Controles TecnológicosAnexo A 8.29Anexo A 14.2.8
Anexo A 14.2.9		Pruebas de seguridad en desarrollo y aceptación
Controles TecnológicosAnexo A 8.30Anexo A 14.2.7Desarrollo subcontratado
Controles TecnológicosAnexo A 8.31Anexo A 12.1.4
Anexo A 14.2.6		Separación de entornos de desarrollo, prueba y producción.
Controles TecnológicosAnexo A 8.32Anexo A 12.1.2
Anexo A 14.2.2
Anexo A 14.2.3
Anexo A 14.2.4		Gestión del cambio
Controles TecnológicosAnexo A 8.33Anexo A 14.3.1Información de prueba
Controles TecnológicosAnexo A 8.34Anexo A 12.7.1Protección de los sistemas de información durante las pruebas de auditoría

Cómo ayuda ISMS.online

Nuestra lista de verificación paso a paso hace que la implementación de ISO 27001 sea muy sencilla. Nuestro solución completa de cumplimiento para ISO/IEC 27001:2022 lo guiará a través del proceso de principio a fin.

Al iniciar sesión, puede esperar hasta un 81% de progreso.

Esta solución es totalmente completa y sencilla.

Comuníquese ahora con reservar una demostración.

Ver ISMS.online
en acción

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Actualizado para ISO 27001 2022
  • 81% del trabajo hecho para ti
  • Método de Resultados Garantizados para el éxito de la certificación
  • Ahorre tiempo, dinero y molestias
Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más