Contabilidad
Páginas: 11 (2537 palabras)
Publicado: 11 de mayo de 2010
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799
Antonio Villalón Huerta Grupo S2
Contenidos
● Introducción. – Problemática de seguridad. – ¿Qué es ISO 17799? – Historia ● Estructura de la norma. – Dominios de control. – Objetivos de control. ● Trabajando con ISO 17799. – Auditoría. – Consultoría. – Implantación. ● Ventajas. ● Conclusiones.
2
Introducción: problemática
●¿Cómo establecer qué entendemos por ‘seguridad'? ● Diferentes criterios de evaluación de la seguridad: internos a una organización, sectoriales, nacionales, internacionales... ● Multitud de estándares aplicables a diferentes niveles: – TCSEC (Trusted Computer Security, militar, US, 1985). – ITSEC (Information Technology Security, europeo, 1991). – Common Criteria (internacional, 1986-1988). – *7799(británico + internacional, 2000). – ... ● Actualmente, tras adoptar *7799 como estándar internacional, es el más extendido y aceptado.
3
Introducción: ¿qué es ISO 17799?
● ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. ●ISO 17799 define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio. ● La seguridad de lainformación se define como la preservación de: – Confidencialidad. Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso. – Integridad. Garantía de la exactitud y completitud de la información y de los métodos de su procesamiento. – Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.4
Introducción: ¿qué es ISO 17799?
● El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad. ● La adaptación española de la norma se denomina UNE-ISO/IEC 17799. ● Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar (o almenos, a evaluar) para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma UNE 71502, CERTIFICABLE.
5
Introducción: historia
● En 1995 el British Standard Institute publica la norma BS 7799, un código de buenas prácticas para la gestión de la seguridad de la información. ● En 1998, también el BSI publica la norma BS 7799-2, especificaciones para lossistemas de gestión de la seguridad de la información; se revisa en 2002. ● Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799: – Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información. – Aplicable por toda organización, con independencia de su tamaño. – Flexible e independiente decualquier solución de seguridad concreta: recomendaciones neutrales con respecto a la tecnología. ● En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).
6
Introducción: historia
BS7799: Code of practice for information security management (BS7799-1) BS7779:1999 ISO/IEC 17779:2000UNE-ISO/IEC 17779:2002: Código de buenas prácticas para la gestión de la seguridad de la información UNE 71502:2004: Especificaciones para los Sistemas de Gestión de la Seguridad de la Información BS7799-2: Specification for Information Security Management Systems
1995 1996 1997
BS7779:1999
1998 1999
BS7779-2:2002
2000 2001 2002 2003 2004
7
Estructura: dominios de control
● La...
Antonio Villalón Huerta Grupo S2
Contenidos
● Introducción. – Problemática de seguridad. – ¿Qué es ISO 17799? – Historia ● Estructura de la norma. – Dominios de control. – Objetivos de control. ● Trabajando con ISO 17799. – Auditoría. – Consultoría. – Implantación. ● Ventajas. ● Conclusiones.
2
Introducción: problemática
●¿Cómo establecer qué entendemos por ‘seguridad'? ● Diferentes criterios de evaluación de la seguridad: internos a una organización, sectoriales, nacionales, internacionales... ● Multitud de estándares aplicables a diferentes niveles: – TCSEC (Trusted Computer Security, militar, US, 1985). – ITSEC (Information Technology Security, europeo, 1991). – Common Criteria (internacional, 1986-1988). – *7799(británico + internacional, 2000). – ... ● Actualmente, tras adoptar *7799 como estándar internacional, es el más extendido y aceptado.
3
Introducción: ¿qué es ISO 17799?
● ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. ●ISO 17799 define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio. ● La seguridad de lainformación se define como la preservación de: – Confidencialidad. Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso. – Integridad. Garantía de la exactitud y completitud de la información y de los métodos de su procesamiento. – Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.4
Introducción: ¿qué es ISO 17799?
● El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad. ● La adaptación española de la norma se denomina UNE-ISO/IEC 17799. ● Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar (o almenos, a evaluar) para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma UNE 71502, CERTIFICABLE.
5
Introducción: historia
● En 1995 el British Standard Institute publica la norma BS 7799, un código de buenas prácticas para la gestión de la seguridad de la información. ● En 1998, también el BSI publica la norma BS 7799-2, especificaciones para lossistemas de gestión de la seguridad de la información; se revisa en 2002. ● Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799: – Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información. – Aplicable por toda organización, con independencia de su tamaño. – Flexible e independiente decualquier solución de seguridad concreta: recomendaciones neutrales con respecto a la tecnología. ● En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).
6
Introducción: historia
BS7799: Code of practice for information security management (BS7799-1) BS7779:1999 ISO/IEC 17779:2000UNE-ISO/IEC 17779:2002: Código de buenas prácticas para la gestión de la seguridad de la información UNE 71502:2004: Especificaciones para los Sistemas de Gestión de la Seguridad de la Información BS7799-2: Specification for Information Security Management Systems
1995 1996 1997
BS7779:1999
1998 1999
BS7779-2:2002
2000 2001 2002 2003 2004
7
Estructura: dominios de control
● La...
Leer documento completo
Regístrate para leer el documento completo.