10 Metodolgías de GSI
Páginas: 33 (8121 palabras)
Publicado: 19 de septiembre de 2014
Estándares de Seguridad Informática
Dirección de Tecnologías de Información
y Telecomunicaciones
ESTÁNDAR DE SEGURIDAD INFORMÁTICA
MARCO LEGAL
Con fundamento al Título II capítulo I Artículo 17 fracción III y Capítulo IV Artículo 36 fracciones XXIV, XXV, XXVI y XXVII
de la Ley Orgánica de la Administración Pública del Estado de Puebla y Artículo, 40, fracción IV, del Reglamento Interiorde
la Secretaria de Administración y Artículo Cuarto de los Transitorios de mismo Reglamento, para efecto y uso de la
NORMATIVIDAD EN MATERIA DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN del periódico oficial de
fecha 22 de octubre de 2010 para las Dependencias y Entidades de la Administración Pública del Estado.
CAMPO DE APLICACIÓN
Las cláusulas de control de seguridad establecidas enel presente Estándar de Seguridad Informática, tienen como sustento
el estándar de Seguridad Internacional ISO/IEC 17799:2005 (27002) Information Technology – Security techniques – Code
of practice for information security management (Tecnología de la información. Técnicas de seguridad. Código de las
mejores prácticas para la Gestión de Seguridad de la Información), siendo la base para que laDirección de Soporte
Técnico, la Dirección de Desarrollo de Sistemas de la SFA y las UDAPIS implementen los controles de seguridad de la
información en las Dependencias y Entidades del Gobierno del Estado.
INTRODUCCIÓN
La información, es un activo de vital importancia para cualquier organización y en consecuencia requiere de una protección
adecuada, de tal forma que adquiera la confiabilidadnecesaria para servir a los fines a que está destinada, definiéndose la
seguridad de la información como la preservación de sus siguientes propiedades:
Disponibilidad: Que es el acceso y uso de los sistemas de información cuando se les requiera, que sean capaces
de resistir intrusiones y recuperarse de fallas.
Confidencialidad: Que es la utilización y difusión de la informaciónsolo entre y por aquellos que tienen derecho
de hacerlo.
Integridad: Que es la protección contra modificaciones no autorizadas, errores e inexactitudes.
La seguridad de la información se consigue implantando un conjunto adecuado de controles, que pueden ser políticas,
prácticas, procedimientos, estructuras organizacionales y funciones de software y hardware. Estos controles necesitan serestablecidos, implementados, monitoreados, revisados y mejorados donde sea necesario, para asegurar que se cumplan
los objetivos específicos de seguridad e imagen del GEP.
Existen tres fuentes principales que nos permiten determinar los requisitos de seguridad:
La primera fuente es el conjunto de requisitos legales, estatutos, regulaciones y contratos que deberían satisfacer las
Dependencias yEntidades, y los Proveedores de bienes y servicios.
La segunda fuente procede de la valoración de los riesgos en las Dependencias y Entidades, tomando en cuenta sus
objetivos y estrategias generales. Con ella se identifican las amenazas a los activos, se evalúa la vulnerabilidad y la
probabilidad de su ocurrencia y se estima su posible impacto.
La tercera fuente está formada por los principios,objetivos y requisitos que forman parte del tratamiento de la información
que las Dependencias y Entidades han desarrollado para apoyar sus operaciones.
Estándares de Seguridad Informática
Dirección de Tecnologías de Información
y Telecomunicaciones
OBJETIVOS
Salvaguardar, preservar y mantener la integridad, disponibilidad y confidencialidad de la información.
Promover unacultura de seguridad en torno a los recursos de las Tecnologías de la Información, debido a los
riesgos relacionados con su utilización.
Proveer un conjunto de controles de seguridad de la información que ayuden a mitigar los riesgos a que está
sujeta.
Crear el marco general de referencia que ayude a la definición, desarrollo, implementación, seguimiento y mejora
de políticas, estándares y...
Dirección de Tecnologías de Información
y Telecomunicaciones
ESTÁNDAR DE SEGURIDAD INFORMÁTICA
MARCO LEGAL
Con fundamento al Título II capítulo I Artículo 17 fracción III y Capítulo IV Artículo 36 fracciones XXIV, XXV, XXVI y XXVII
de la Ley Orgánica de la Administración Pública del Estado de Puebla y Artículo, 40, fracción IV, del Reglamento Interiorde
la Secretaria de Administración y Artículo Cuarto de los Transitorios de mismo Reglamento, para efecto y uso de la
NORMATIVIDAD EN MATERIA DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN del periódico oficial de
fecha 22 de octubre de 2010 para las Dependencias y Entidades de la Administración Pública del Estado.
CAMPO DE APLICACIÓN
Las cláusulas de control de seguridad establecidas enel presente Estándar de Seguridad Informática, tienen como sustento
el estándar de Seguridad Internacional ISO/IEC 17799:2005 (27002) Information Technology – Security techniques – Code
of practice for information security management (Tecnología de la información. Técnicas de seguridad. Código de las
mejores prácticas para la Gestión de Seguridad de la Información), siendo la base para que laDirección de Soporte
Técnico, la Dirección de Desarrollo de Sistemas de la SFA y las UDAPIS implementen los controles de seguridad de la
información en las Dependencias y Entidades del Gobierno del Estado.
INTRODUCCIÓN
La información, es un activo de vital importancia para cualquier organización y en consecuencia requiere de una protección
adecuada, de tal forma que adquiera la confiabilidadnecesaria para servir a los fines a que está destinada, definiéndose la
seguridad de la información como la preservación de sus siguientes propiedades:
Disponibilidad: Que es el acceso y uso de los sistemas de información cuando se les requiera, que sean capaces
de resistir intrusiones y recuperarse de fallas.
Confidencialidad: Que es la utilización y difusión de la informaciónsolo entre y por aquellos que tienen derecho
de hacerlo.
Integridad: Que es la protección contra modificaciones no autorizadas, errores e inexactitudes.
La seguridad de la información se consigue implantando un conjunto adecuado de controles, que pueden ser políticas,
prácticas, procedimientos, estructuras organizacionales y funciones de software y hardware. Estos controles necesitan serestablecidos, implementados, monitoreados, revisados y mejorados donde sea necesario, para asegurar que se cumplan
los objetivos específicos de seguridad e imagen del GEP.
Existen tres fuentes principales que nos permiten determinar los requisitos de seguridad:
La primera fuente es el conjunto de requisitos legales, estatutos, regulaciones y contratos que deberían satisfacer las
Dependencias yEntidades, y los Proveedores de bienes y servicios.
La segunda fuente procede de la valoración de los riesgos en las Dependencias y Entidades, tomando en cuenta sus
objetivos y estrategias generales. Con ella se identifican las amenazas a los activos, se evalúa la vulnerabilidad y la
probabilidad de su ocurrencia y se estima su posible impacto.
La tercera fuente está formada por los principios,objetivos y requisitos que forman parte del tratamiento de la información
que las Dependencias y Entidades han desarrollado para apoyar sus operaciones.
Estándares de Seguridad Informática
Dirección de Tecnologías de Información
y Telecomunicaciones
OBJETIVOS
Salvaguardar, preservar y mantener la integridad, disponibilidad y confidencialidad de la información.
Promover unacultura de seguridad en torno a los recursos de las Tecnologías de la Información, debido a los
riesgos relacionados con su utilización.
Proveer un conjunto de controles de seguridad de la información que ayuden a mitigar los riesgos a que está
sujeta.
Crear el marco general de referencia que ayude a la definición, desarrollo, implementación, seguimiento y mejora
de políticas, estándares y...
Leer documento completo
Regístrate para leer el documento completo.