Estandares De La Normativa It
Páginas: 5 (1169 palabras)
Publicado: 3 de agosto de 2012
Estándares de IT
Estándar Británico ISO-IEC BS7799-IT [3]
El Estándar Británico ISO-IEC BS7799-IT es un código aceptado internacionalmente en la práctica de la seguridad de la información. El estándar aplica un método de cuatro fases para implementar una solución de sistemas de administración de seguridad de la información.
• Fase 1: evaluación. Determinar la situación de la seguridad actual ydefinir los requisitos para la seguridad de la información basada en un riesgo de negocio aceptable (deseada).
• Fase 2: diseño. Desarrollar un diseño de solución de sistemas de administración de seguridad de la información con recomendaciones específicas y un plan detallado para implementarla.
• Fase 3: implementación. Probar el diseño y desarrollar una configuración de producción estándar.Definir y documentar las directrices, estándares y procedimientos necesarios para implementar y administrar la solución de una manera efectiva.
• Fase 4: administración. Establecer una arquitectura básica que sea posible de ampliar para proporcionar una plataforma de administración con todas las características.
Estándar RFC2196
El Estándar RFC2196 es otro de los estándares usados en lapráctica de la seguridad de la información. A continuación se mencionan sus características y sus aspectos más relevantes.
Entre las características de la seguridad de la información, según el RFC2196, se tienen las siguientes: se debe poder poner en práctica mediante procedimientos descritos de administración de sistemas, publicación de guías sobre el uso aceptable de los recursos informáticos o pormedio de otros métodos prácticos apropiados; debe poder implantarse; debe obligar al cumplimiento de las acciones relacionadas mediante herramientas de seguridad; tiene que detectar fugas o errores; debe definir claramente las áreas de responsabilidad de los usuarios, administradores y dirección, y tener un responsable para toda situación posible.
Por otro lado, el RFC-2196 establece una serie decomponentes incluidos en las políticas de seguridad. Éstos son:
• Guías de compras de tecnología de la información.
Especifica funciones de seguridad requeridas o preferidas. Estas políticas deben complementar cualquier otra política de compra de la organización.
• Política de privacidad. Determina las expectativas razonables de privacidad sobre temas relacionados con monitoreo de correoselectrónicos, acceso a archivos y registro de teclados. Podría incluir también políticas acerca de registro, escucha y control de llamadas telefónicas, control de accesos a sitios web, uso de herramientas de mensajería instantánea, etc.
• Política de acceso. Define derechos o privilegios de acceso a activos o recursos de información protegidos. Especifica comportamientos aceptables para usuarios,empleados soporte y directivos. Debe incluir reglas respecto a las conexiones y accesos externos, así como reglas acerca de la comunicación de datos, conexiones de dispositivos a las redes e inclusión de nuevas aplicaciones informáticas en los sistemas existentes.
• Política de responsabilidad. Define las responsabilidades de usuarios, personal de mantenimiento y directivos. Debe especificar lacapacidad de realizar auditorías y sus características, y proveer las guías para el registro y manejo de incidentes de seguridad.
• Política de autenticación. Debe establecer los mecanismos de “confianza” mediante el uso de una política de contraseñas apropiadas. Debe considerar, si aplica, políticas de autenticación local y de acceso remoto.
• Declaración de disponibilidad. Determina las expectativasde disponibilidad de los recursos de los sistemas e información. Con base en la disponibilidad necesaria, podrán establecerse mecanismos de redundancia y procedimientos de recuperación.
• Política de mantenimiento de los sistemas relacionados con la tecnología de la información. Describe cómo deberá hacerse el mantenimiento realizado tanto por personal interno como externo a la organización....
Estándar Británico ISO-IEC BS7799-IT [3]
El Estándar Británico ISO-IEC BS7799-IT es un código aceptado internacionalmente en la práctica de la seguridad de la información. El estándar aplica un método de cuatro fases para implementar una solución de sistemas de administración de seguridad de la información.
• Fase 1: evaluación. Determinar la situación de la seguridad actual ydefinir los requisitos para la seguridad de la información basada en un riesgo de negocio aceptable (deseada).
• Fase 2: diseño. Desarrollar un diseño de solución de sistemas de administración de seguridad de la información con recomendaciones específicas y un plan detallado para implementarla.
• Fase 3: implementación. Probar el diseño y desarrollar una configuración de producción estándar.Definir y documentar las directrices, estándares y procedimientos necesarios para implementar y administrar la solución de una manera efectiva.
• Fase 4: administración. Establecer una arquitectura básica que sea posible de ampliar para proporcionar una plataforma de administración con todas las características.
Estándar RFC2196
El Estándar RFC2196 es otro de los estándares usados en lapráctica de la seguridad de la información. A continuación se mencionan sus características y sus aspectos más relevantes.
Entre las características de la seguridad de la información, según el RFC2196, se tienen las siguientes: se debe poder poner en práctica mediante procedimientos descritos de administración de sistemas, publicación de guías sobre el uso aceptable de los recursos informáticos o pormedio de otros métodos prácticos apropiados; debe poder implantarse; debe obligar al cumplimiento de las acciones relacionadas mediante herramientas de seguridad; tiene que detectar fugas o errores; debe definir claramente las áreas de responsabilidad de los usuarios, administradores y dirección, y tener un responsable para toda situación posible.
Por otro lado, el RFC-2196 establece una serie decomponentes incluidos en las políticas de seguridad. Éstos son:
• Guías de compras de tecnología de la información.
Especifica funciones de seguridad requeridas o preferidas. Estas políticas deben complementar cualquier otra política de compra de la organización.
• Política de privacidad. Determina las expectativas razonables de privacidad sobre temas relacionados con monitoreo de correoselectrónicos, acceso a archivos y registro de teclados. Podría incluir también políticas acerca de registro, escucha y control de llamadas telefónicas, control de accesos a sitios web, uso de herramientas de mensajería instantánea, etc.
• Política de acceso. Define derechos o privilegios de acceso a activos o recursos de información protegidos. Especifica comportamientos aceptables para usuarios,empleados soporte y directivos. Debe incluir reglas respecto a las conexiones y accesos externos, así como reglas acerca de la comunicación de datos, conexiones de dispositivos a las redes e inclusión de nuevas aplicaciones informáticas en los sistemas existentes.
• Política de responsabilidad. Define las responsabilidades de usuarios, personal de mantenimiento y directivos. Debe especificar lacapacidad de realizar auditorías y sus características, y proveer las guías para el registro y manejo de incidentes de seguridad.
• Política de autenticación. Debe establecer los mecanismos de “confianza” mediante el uso de una política de contraseñas apropiadas. Debe considerar, si aplica, políticas de autenticación local y de acceso remoto.
• Declaración de disponibilidad. Determina las expectativasde disponibilidad de los recursos de los sistemas e información. Con base en la disponibilidad necesaria, podrán establecerse mecanismos de redundancia y procedimientos de recuperación.
• Política de mantenimiento de los sistemas relacionados con la tecnología de la información. Describe cómo deberá hacerse el mantenimiento realizado tanto por personal interno como externo a la organización....
Leer documento completo
Regístrate para leer el documento completo.