ISO 17779
Páginas: 11 (2522 palabras)
Publicado: 24 de septiembre de 2014
Códigos de
buenas prácticas
de seguridad.
UNE-ISO/IEC
17799
Antonio Villalón Huerta
Grupo S2
Contenidos
● Introducción.
– Problemática de seguridad.
– ¿Qué es ISO 17799?
– Historia
● Estructura de la norma.
– Dominios de control.
– Objetivos de control.
● Trabajando con ISO 17799.
– Auditoría.
– Consultoría.
– Implantación.
● Ventajas.
● Conclusiones.
2
Introducción:problemática
● ¿Cómo establecer qué entendemos por ‘seguridad'?
● Diferentes criterios de evaluación de la seguridad: internos a
una organización, sectoriales, nacionales, internacionales...
● Multitud de estándares aplicables a diferentes niveles:
– TCSEC (Trusted Computer Security, militar, US, 1985).
– ITSEC (Information Technology Security, europeo, 1991).
– Common Criteria(internacional, 1986-1988).
– *7799 (británico + internacional, 2000).
– ...
● Actualmente, tras adoptar *7799 como estándar internacional, es
el más extendido y aceptado.
3
Introducción: ¿qué es ISO 17799?
● ISO 17799 es una norma internacional que ofrece recomendaciones para
realizar la gestión de la seguridad de la información dirigidas a los
responsables de iniciar, implantar o mantener laseguridad de una
organización.
● ISO 17799 define la información como un activo que posee valor para la
organización y requiere por tanto de una protección adecuada. El objetivo de
la seguridad de la información es proteger adecuadamente este activo para
asegurar la continuidad del negocio, minimizar los daños a la organización y
maximizar el retorno de las inversiones y las oportunidades denegocio.
● La seguridad de la información se define como la preservación de:
– Confidencialidad. Aseguramiento de que la información es accesible sólo
para aquellos autorizados a tener acceso.
– Integridad. Garantía de la exactitud y completitud de la información y de
los métodos de su procesamiento.
– Disponibilidad. Aseguramiento de que los usuarios autorizados tienen
acceso cuando lorequieran a la información y sus activos asociados.
4
Introducción: ¿qué es ISO 17799?
● El objetivo de la norma ISO 17799 es proporcionar una base común para
desarrollar normas de seguridad dentro de las organizaciones y ser una
práctica eficaz de la gestión de la seguridad.
● La adaptación española de la norma se denomina UNE-ISO/IEC 17799.
● Se trata de una norma NO CERTIFICABLE, pero querecoge la relación de
controles a aplicar (o al menos, a evaluar) para establecer un Sistema de
Gestión de la Seguridad de la Información (SGSI) según la norma UNE
71502, CERTIFICABLE.
5
Introducción: historia
● En 1995 el British Standard Institute publica la norma BS 7799, un código
de buenas prácticas para la gestión de la seguridad de la información.
● En 1998, también el BSIpublica la norma BS 7799-2, especificaciones para
los sistemas de gestión de la seguridad de la información; se revisa en
2002.
● Tras una revisión de ambas partes de BS 7799 (1999), la primera es
adoptada como norma ISO en 2000 y denominada ISO/IEC 17799:
– Conjunto completo de controles que conforman las buenas prácticas de
seguridad de la información.
– Aplicable por toda organización, conindependencia de su tamaño.
– Flexible e independiente de cualquier solución de seguridad concreta:
recomendaciones neutrales con respecto a la tecnología.
● En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE
17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2
(no existe equivalente ISO).
6
Introducción: historia
BS7799: Code of practice forinformation security management
(BS7799-1)
BS7779:1999
ISO/IEC 17779:2000
UNE-ISO/IEC 17779:2002:
Código de buenas prácticas para
la gestión de la seguridad de la
información
UNE 71502:2004:
Especificaciones para los
Sistemas de Gestión de la
Seguridad de la Información
BS7799-2: Specification for
Information Security
Management Systems
1995
1996
BS7779:1999
1997
1998
1999...
buenas prácticas
de seguridad.
UNE-ISO/IEC
17799
Antonio Villalón Huerta
Grupo S2
Contenidos
● Introducción.
– Problemática de seguridad.
– ¿Qué es ISO 17799?
– Historia
● Estructura de la norma.
– Dominios de control.
– Objetivos de control.
● Trabajando con ISO 17799.
– Auditoría.
– Consultoría.
– Implantación.
● Ventajas.
● Conclusiones.
2
Introducción:problemática
● ¿Cómo establecer qué entendemos por ‘seguridad'?
● Diferentes criterios de evaluación de la seguridad: internos a
una organización, sectoriales, nacionales, internacionales...
● Multitud de estándares aplicables a diferentes niveles:
– TCSEC (Trusted Computer Security, militar, US, 1985).
– ITSEC (Information Technology Security, europeo, 1991).
– Common Criteria(internacional, 1986-1988).
– *7799 (británico + internacional, 2000).
– ...
● Actualmente, tras adoptar *7799 como estándar internacional, es
el más extendido y aceptado.
3
Introducción: ¿qué es ISO 17799?
● ISO 17799 es una norma internacional que ofrece recomendaciones para
realizar la gestión de la seguridad de la información dirigidas a los
responsables de iniciar, implantar o mantener laseguridad de una
organización.
● ISO 17799 define la información como un activo que posee valor para la
organización y requiere por tanto de una protección adecuada. El objetivo de
la seguridad de la información es proteger adecuadamente este activo para
asegurar la continuidad del negocio, minimizar los daños a la organización y
maximizar el retorno de las inversiones y las oportunidades denegocio.
● La seguridad de la información se define como la preservación de:
– Confidencialidad. Aseguramiento de que la información es accesible sólo
para aquellos autorizados a tener acceso.
– Integridad. Garantía de la exactitud y completitud de la información y de
los métodos de su procesamiento.
– Disponibilidad. Aseguramiento de que los usuarios autorizados tienen
acceso cuando lorequieran a la información y sus activos asociados.
4
Introducción: ¿qué es ISO 17799?
● El objetivo de la norma ISO 17799 es proporcionar una base común para
desarrollar normas de seguridad dentro de las organizaciones y ser una
práctica eficaz de la gestión de la seguridad.
● La adaptación española de la norma se denomina UNE-ISO/IEC 17799.
● Se trata de una norma NO CERTIFICABLE, pero querecoge la relación de
controles a aplicar (o al menos, a evaluar) para establecer un Sistema de
Gestión de la Seguridad de la Información (SGSI) según la norma UNE
71502, CERTIFICABLE.
5
Introducción: historia
● En 1995 el British Standard Institute publica la norma BS 7799, un código
de buenas prácticas para la gestión de la seguridad de la información.
● En 1998, también el BSIpublica la norma BS 7799-2, especificaciones para
los sistemas de gestión de la seguridad de la información; se revisa en
2002.
● Tras una revisión de ambas partes de BS 7799 (1999), la primera es
adoptada como norma ISO en 2000 y denominada ISO/IEC 17799:
– Conjunto completo de controles que conforman las buenas prácticas de
seguridad de la información.
– Aplicable por toda organización, conindependencia de su tamaño.
– Flexible e independiente de cualquier solución de seguridad concreta:
recomendaciones neutrales con respecto a la tecnología.
● En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE
17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2
(no existe equivalente ISO).
6
Introducción: historia
BS7799: Code of practice forinformation security management
(BS7799-1)
BS7779:1999
ISO/IEC 17779:2000
UNE-ISO/IEC 17779:2002:
Código de buenas prácticas para
la gestión de la seguridad de la
información
UNE 71502:2004:
Especificaciones para los
Sistemas de Gestión de la
Seguridad de la Información
BS7799-2: Specification for
Information Security
Management Systems
1995
1996
BS7779:1999
1997
1998
1999...
Leer documento completo
Regístrate para leer el documento completo.