Tiendas Virtuales
TALLER ESPECIALIZACION SEGURIDAD EN REDES
CARLOS ALFONSO MACHACON GARCIA
RONAL TELLEZ
INSTRUCTOR
CARTAGENA COLOMBIA.
21/07/2012
CUESTIONARIO
* Norma de la familia Iso27000
* Norma relativa a la continuidad del negocio Norma británica BS 25999
* Norma relativas a la continuidad de servicios TI:BS 25777
* Cobit(control de objetivos parainformación y tecnología relativa)
* ITIL
* Capability maturity model
* SSE-CMM o Modelo de madurez de capacidades en la ingeniería de seguridad de sistemas (system security engineering capability maturity model).
Como trabaja las siguientes metodologías de análisis de riesgo:
* MAGERIT
* NIST
* CRAMM
* OCTAVE
DESARROLLO
* Normas ISO 27000: Familia de estándaresde ISO (International Organization for Standardization).
A partir de esta norma se ha derivados otras normas estándares que hace parte de la familia y son las siguientes:
ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000.
Además define cómo es el SGSI, cómo se gestiona y cuáles son las responsabilidades de los participantes.Puntos clave: Gestión de riesgos + Mejora contínua
ISO/IEC 27002:
* Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización
* Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendables a implantar (medidas a tomar)
* Antes ISO 17799, basado en estándarBS 7799 (en España norma UNE-ISO 17799).
ISO/IEC 27003: guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicación).
ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (endesarrollo, pendiente de publicación).
ISO/IEC 27005: gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad)
ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001, Requisitos para la acreditación de las entidades de auditoria y certificación
ISO/IEC 27007: guía deactuación para auditar los SGSI conforme a las normas 27000.
ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en desarrollo).
ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones (en desarrollo).
ISO/IEC 27032: guía relativa a la ciberseguridad (en desarrollo).
ISO/IEC 27032: guía deseguridad en aplicaciones (en desarrollo).
ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos.
* LA NORMA BRITÁNICA BS 25999
La norma británica BS 25999 de la Institución Británica de Normas toma la idea de un plan de continuidad de negocios y amplía su alcance para abarcar en su totalidad a su compañía. BS 25999 enfoca los objetivos de su organización,realizando el desarrollo de un Sistema de Gestión de Continuidad de Negocios (SGCN) más eficiente y su implementación más eficaz.
BS 25999 está dividida en dos partes: BS 25999-1 y BS 25999-2.
La BS 25999-1, o Código de Práctica fue publicado en diciembre de 2006 y es un documento general que explica el propósito de la norma. BS 25999-2, o la Especificación, fue liberada en noviembre de 2007 yproporciona los pasos concretos que un negocio debiera seguir para desarrollar y gestionar un SGCN.
Debido a las instrucciones específicas de BS 25999-2, éste es el documento que las oficinas de registro externas utilizarán para auditar su compañía. Esto incluye las cuatro secciones principales para la creación y mantenimiento de un SGCN*:
1. Planificación del SGCN
2. Implementación y...
Regístrate para leer el documento completo.