Normas
Páginas: 7 (1691 palabras)
Publicado: 23 de junio de 2010
Estándares y Normas de Seguridad
¿Por qué normas/estándares de seguridad?
Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los recursos y datos que gestionan.
− −
Deben demostrar que identifican y detectan los riesgos a los que está sometida y que adoptan medidas adecuadas y proporcionadas. Necesario:conjunto estructurado, sistemático, coherente y completo de normas a seguir.
Herramienta: SGSI (Sistema de Gestión de la Seguridad de la Información)
En inglés ISMS (Information Security Management System) SGSI: proceso sistemático, documentado y conocido por toda la organización para garantizar que la seguridad de la información es gestionada correctamente
Familia de NormasISO/IEC 27000
Normas ISO 27000: Familia de estándares de ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) que proporciona un marco para la gestión de la seguridad Conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamieto, controlar, revisar, mantener y mejorar un SGSI
Normas base: 20001,20002 Normas complementarias: 20003, 20004, 20005, ...
Seguridad de la información (según ISO 27001): preservación de su confidencialidad, integridad y disponibilidad, así como la de los sistemas implicados en su tratamiento
Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Integridad: mantenimiento de laexactitud y completitud de la información y sus métodos de proceso. Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Familia de Normas ISO/IEC 27000
ISO/IEC 27000: define el vocabulario estándar empleado en la familia 27000 (definición de términos yconceptos) ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000
Define cómo es el SGSI, cómo se gestiona y cúales son las resposabilidades de los participantes. Sigue un modelo PDCA (Plan-Do-Check-Act) Puntos clave: Gestión de riesgos + Mejora contínua
ISO/IEC 27002: código de buenas prácticas para lagestión de la seguridad
Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendables a implantar (medidas a tomar) Antes ISO 17799, basado en estándar BS 7799 (en España norma UNE-ISO 17799)
Familia deNormas ISO/IEC 27000
ISO/IEC 27003:guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicación) ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo, pendiente depublicación)
medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
ISO/IEC 27005: gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad) ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001
Requisitos para la acreditación delas entidades de auditoria y certificación
Familia de Normas ISO/IEC 27000
ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000 ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en desarrollo)
elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones)
ISO/IEC 27031:...
¿Por qué normas/estándares de seguridad?
Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los recursos y datos que gestionan.
− −
Deben demostrar que identifican y detectan los riesgos a los que está sometida y que adoptan medidas adecuadas y proporcionadas. Necesario:conjunto estructurado, sistemático, coherente y completo de normas a seguir.
Herramienta: SGSI (Sistema de Gestión de la Seguridad de la Información)
En inglés ISMS (Information Security Management System) SGSI: proceso sistemático, documentado y conocido por toda la organización para garantizar que la seguridad de la información es gestionada correctamente
Familia de NormasISO/IEC 27000
Normas ISO 27000: Familia de estándares de ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) que proporciona un marco para la gestión de la seguridad Conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamieto, controlar, revisar, mantener y mejorar un SGSI
Normas base: 20001,20002 Normas complementarias: 20003, 20004, 20005, ...
Seguridad de la información (según ISO 27001): preservación de su confidencialidad, integridad y disponibilidad, así como la de los sistemas implicados en su tratamiento
Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Integridad: mantenimiento de laexactitud y completitud de la información y sus métodos de proceso. Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Familia de Normas ISO/IEC 27000
ISO/IEC 27000: define el vocabulario estándar empleado en la familia 27000 (definición de términos yconceptos) ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000
Define cómo es el SGSI, cómo se gestiona y cúales son las resposabilidades de los participantes. Sigue un modelo PDCA (Plan-Do-Check-Act) Puntos clave: Gestión de riesgos + Mejora contínua
ISO/IEC 27002: código de buenas prácticas para lagestión de la seguridad
Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendables a implantar (medidas a tomar) Antes ISO 17799, basado en estándar BS 7799 (en España norma UNE-ISO 17799)
Familia deNormas ISO/IEC 27000
ISO/IEC 27003:guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicación) ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo, pendiente depublicación)
medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
ISO/IEC 27005: gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad) ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001
Requisitos para la acreditación delas entidades de auditoria y certificación
Familia de Normas ISO/IEC 27000
ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000 ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en desarrollo)
elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones)
ISO/IEC 27031:...
Leer documento completo
Regístrate para leer el documento completo.