Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Estándares SGSI
Cargado por
DJ071286888Título original
Derechos de autor
Formatos disponibles
Compartir este documento
Compartir o incrustar documentos
¿Le pareció útil este documento?
¿Este contenido es inapropiado?
Denunciar este documentoCopyright:
Formatos disponibles
Estándares SGSI
Cargado por
DJ071286888Copyright:
Formatos disponibles
ITIL V3 FOUNDATION
ISO 17799 Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin
Introduccin
El Instituto Britnico de Normas Tcnicas (BSI) y la Organizacin Internacional de Normas Tcnicas (ISO), durante ms de un siglo, han proporcionado parmetros globales a las normas tcnicas de fabricacin. Slo restaba que propusieran una norma tcnica para la seguridad de la informacin. En 1995, el BSI public la primera norma tcnica de seguridad, BS 7799, que fue redactada con el fin de abarcar los asuntos de seguridad relacionados con el comercio electrnico. Problemas posteriores como el efecto 2000 y la Unidad Monetaria Europea prevalecieron sobre otros. La norma 7799 se consideraba inflexible y no tuvo gran acogida. No fue un momento para presentarla, lo problemas de seguridad no despertaban mucho inters entonces. Los escasos accesos a Internet existentes entre la poblacin tampoco ayudaron a mejorar la situacin. En mayo de 1999, el BSI public una segunda versin de la norma BS 7799. Era una revisin ms amplia que la primera publicacin. Sufri muchas mejoras respecto a la versin de 1995. Fue entonces cuando la ISO comenz a trabajar sobre la norma BS 7799. En diciembre de 2000, la ISO adopt y public la primera parte de la norma BS 7799 bajo el nombre de ISO 17799. Se formaliz un medio de acreditacin y certificacin para cumplir con la norma. La adopcin por parte de ISO de los criterios de la norma tcnica BS 7799 recibi gran aceptacin por parte del sector a nivel internacional y fue en este momento cuando el grupo de de normas tcnicas de seguridad tuvo un amplio reconocimiento.
Definicin
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. ISO 17799 define la informacin como un activo que posee valor para la organizacin y requiere por tanto de una proteccin adecuada. El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio.
Versin 1.1
ITIL V3 FOUNDATION
La seguridad de la informacin se define como la preservacin de: � � � Confidencialidad: Aseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso. Integridad: Garanta de la exactitud y completitud de la informacin y de los mtodos de su procesamiento. Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados.
El objetivo de la norma ISO 17799 es proporcionar una base comn para desarrollar normas de seguridad dentro de las organizaciones y ser una prctica eficaz de la gestin de la seguridad. La norma ISO 17799 no incluye la segunda parte de BS 7799, que se refiere a la implementacin. ISO 17799 hoy en da es una compilacin de recomendaciones para las prcticas exitosas de seguridad que toda organizacin puede aplicar independientemente de su tamao o sector. La norma tcnica fue redactada intencionalmente para que fuera flexible y nunca indujo a las personas que la cumplan para que prefirieran una solucin de seguridad especfica. Las recomendaciones de la norma tcnica ISO 17799 son neutrales en cuanto a la tecnologa y no ayudan a evaluar y entender las medidas de seguridad existentes. As, la norma discute la necesidad de contar con cortafuegos, pero no profundiza sobre los tipos de cortafuegos y cmo se utilizan, lo que conlleva a que algunos detractores de la norma digan que ISO 17799 es muy general y que tiene una estructura muy imprecisa y sin valor real. La flexibilidad e imprecisin de ISO 17799 es intencional por cuanto es difcil contar con una norma que funcione en una variedad de entornos de tecnologa de la informacin y que sea capaz de desarrollarse con el cambiante mundo de la tecnologa. ISO 17799 simplemente ofrece un conjunto de reglas a un sector donde no existan. La adaptacin espaola de la norma se denomina UNE 71502, que ser explicada posteriormente.
Estructura
La norma ISO 17799:2000 establece 10 captulos de actuacin que cubren por completo la gestin de la seguridad de la informacin. Incluye 129 controles de seguridad de posible aplicacin. La norma ISO 17799:2005, actualizacin de la anterior, establece 11 captulos de actuacin, Incidentes de seguridad es captulo propio. Incluye 137 controles seguridad.
Versin 1.1
ITIL V3 FOUNDATION
Contenidos de ISO 17799:2000:
1. Poltica de Seguridad. Su objetivo principal es dirigir y dar soporte a la gestin de la seguridad de la informacin. La alta direccin debe definir una poltica que refleje las lneas directrices de la organizacin en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la informacin. La poltica se constituye en la base de todo el sistema de seguridad de la informacin. La alta direccin debe apoyar visiblemente la seguridad de la informacin en la compaa.
2. Estructura Organizativa para la Seguridad. Gestionan la seguridad de la informacin dentro de la organizacin. Mantienen la seguridad de los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin que son accedidos por terceros. Mantienen tambin la seguridad de la informacin cuando la responsabilidad de su tratamiento se ha externalizado a otra organizacin. Debe disearse una estructura organizativa dentro de la compaa que defina las responsabilidades que en materia de seguridad tiene cada usuario o rea de trabajo relacionada con los sistemas de informacin de cualquier forma. Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente tcnicos.
3. Clasificacin y Control de Activos. Mantener una proteccin adecuada sobre los activos de la organizacin. Asegurar un nivel de proteccin adecuado a los activos de informacin. Debe definirse una clasificacin de los activos relacionados con los sistemas de informacin, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de proteccin adecuado a su criticidad en la organizacin.
4. Seguridad en el Personal. Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el mbito de la seguridad de la informacin, y que estn preparados para sostener la poltica de seguridad de la organizacin en el curso normal de su trabajo. Minimizar los daos provocados por incidencias de seguridad y por el mal funcionamiento, controlndolos y aprendiendo de ellos. Las implicaciones del factor humano en la seguridad de la informacin son muy elevadas. Todo el personal, tanto interno como externo a la organizacin, debe conocer tanto las lneas generales de la poltica de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. Debe haber diferentes relaciones con los sistemas de informacin: operador, administrador, guardia de seguridad, personal de servicios, etc., y procesos de notificacin de incidencias claros, giles y conocidos por todos.
Versin 1.1
ITIL V3 FOUNDATION
5. Seguridad Fsica y del Entorno. Evitar accesos no autorizados, daos e interferencias contra los locales y la informacin de la organizacin. Evitar prdidas, daos o comprometer los activos as como la interrupcin de las actividades de la organizacin. Prevenir las exposiciones a riesgo o robos de informacin y de recursos de tratamiento de informacin. Las reas de trabajo de la organizacin y sus activos deben ser clasificadas y protegidas en funcin de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de ndole fsica (robo, inundacin, incendio...).
6. Gestin de Comunicaciones y Operaciones. Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la informacin. Mantener la integridad y la disponibilidad de los servicios de tratamiento de informacin y comunicacin. Asegurar la salvaguarda de la informacin en las redes y la proteccin de su infraestructura de apoyo. Evitar daos a los activos e interrupciones de actividades de la organizacin. Prevenir la prdida, modificacin o mal uso de la informacin intercambiada entre organizaciones. Se debe garantizar la seguridad de las comunicaciones y de la operacin de los sistemas crticos para el negocio.
7. Control de Accesos. Controlar los accesos a la informacin, evitar accesos no autorizados a los sistemas de informacin, evitar el acceso de usuarios no autorizados, proteger los servicios en red. Evitar accesos no autorizados a ordenadores, el acceso no autorizado a la informacin contenida en los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil y teletrabajo. Se deben establecer los controles de acceso adecuados para proteger los sistemas de informacin crticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc.
8. Desarrollo y mantenimiento de sistemas. Asegurar que la seguridad est incluida dentro de los sistemas de informacin. Evitar prdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Proteger la confidencialidad, autenticidad e integridad de la informacin. Asegurar que los proyectos de Tecnologa de la Informacin y las actividades complementarias son llevadas a cabo de una forma segura. Mantener la seguridad del software y la informacin de la aplicacin del sistema. Debe contemplarse la seguridad de la informacin en todas las etapas del ciclo de vida del software en una organizacin: especificacin de requisitos, desarrollo, explotacin, mantenimiento, etc.
Versin 1.1
ITIL V3 FOUNDATION
9. Gestin de continuidad del negocio. Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente a grandes fallos o desastres. Todas las situaciones que puedan provocar la interrupcin de las actividades del negocio deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados. Los planes de contingencia deben ser probados y revisados peridicamente. Se deben definir equipos de recuperacin ante contingencias, en los que se identifiquen claramente las funciones y responsabilidades de cada miembro en caso de desastre.
10. Cumplimiento legal. Evitar el incumplimiento de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier requerimiento de seguridad. Garantizar la alineacin de los sistemas con la poltica de seguridad de la organizacin y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditora de sistemas. Se debe identificar convenientemente la legislacin aplicable a los sistemas de informacin corporativos (en nuestro caso, LOPD, LPI, LSSI...), integrndola en el sistema de seguridad de la informacin de la compaa y garantizando su cumplimiento. Se debe definir un plan de auditora interna y ser ejecutado convenientemente, para garantizar la deteccin de desviaciones con respecto a la poltica de seguridad de la informacin.
Niveles de seguridad
� � � � Lgica: Confidencialidad, integridad y disponibilidad del software y datos de un SGI. Organizativa: Relativa a la prevencin, deteccin y correccin de riesgos. Fsica: Proteccin de elementos fsicos de las instalaciones: servidores, ordenadores de sobremesa,... Legal: Cumplimiento de la legislacin vigente. En Espaa: LOPD (Ley Orgnica de Proteccin de Datos).
Versin 1.1
ITIL V3 FOUNDATION
Aplicaciones
� Auditora: Consiste en valorar el nivel de adecuacin, implantacin y gestin de cada control de la norma en la organizacin. Se trata de una referencia de la seguridad de la informacin estndar y aceptada internacionalmente. Una vez se conoce el estado actual de la seguridad de la informacin en la organizacin, podemos planificar correctamente su mantenimiento y mejora. Consultora: Si se conoce el nivel de cumplimiento actual, es posible determinar el nivel mnimo aceptable y el nivel objetivo en la organizacin: Nivel mnimo aceptable => Estado con las mnimas garantas de seguridad necesarias para trabajar con la informacin corporativa. Nivel objetivo => Estado de seguridad de referencia para la organizacin, con un alto grado de cumplimiento ISO 17799. A partir del nivel mnimo aceptable y el nivel objetivo, podemos definir un plan de trabajo para alcanzar ambos a partir del estado actual. Nivel mnimo aceptable. Implantacin de los controles tcnicos ms urgentes, a muy corto plazo.
Versin 1.1
ITIL V3 FOUNDATION Nivel objetivo. Se desarrolla en el tiempo dentro del Plan Director de Seguridad corporativo, y es el paso previo a la certificacin UNE 71502. � Implantacin: Se debe tener en cuenta que ISO 17799 no es una norma tecnolgica. Ha sido redactada de forma flexible e independiente de cualquier solucin de seguridad especfica. Proporciona buenas prcticas neutrales con respecto a la tecnologa y a las soluciones disponibles en el mercado. Estas caractersticas posibilitan su implantacin en todo tipo de organizaciones, sin importar su tamao o sector de negocio, pero al mismo tiempo son un argumento para los detractores de la norma.
Ventajas
La adopcin de la norma ISO 17799 proporciona las siguientes ventajas a cualquier organizacin: 1. 2. 3. 4. 5. 6. 7. 8. 9. Aumento de la seguridad efectiva de los sistemas de informacin. Correcta planificacin y gestin de la seguridad. Garantas de continuidad del negocio. Relaciones comerciales ms seguras. Mejora continua a travs del proceso de auditora interna. Incremento de los niveles de confianza de clientes y socios. Aumento del valor y mejora de la imagen de la organizacin. Auditoras cada vez ms precisas y fiables. Menor responsabilidad civil.
Versin 1.1
ITIL V3 FOUNDATION
UNE 71502 Especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin
La organizacin debe establecer y mantener un SGSI documentado. Este debe identificar los activos a proteger, el enfoque de la gestin de riesgo adoptado por la organizacin, los objetivos y controles, as como el grado de proteccin requerido. El proceso de certificacin del SGSI conforme a la Norma UNE 71502:2004 se basa en la implantacin de los controles descritos en la Norma ISO17799. El organismo certificador espaol que debe expedir el certificado es AENOR. Para los procesos de certificacin en las empresas de mayor tamao, la Norma recomienda emplear una metodologa como MAGERIT, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin de las Administraciones Pblicas. El proceso de certificacin consta de las siguientes fases: � � � � � � � � Solicitud de la certificacin: cumplimentar cuestionario (Empresa). Anlisis de la documentacin: Informe de deficiencias de la documentacin (AENOR). Visita previa para analizar el SGSI: Informe de la visita previa (AENOR). Auditora del SGSI: Informe de disconformidades (AENOR). Plan de acciones correctivas (Empresa). Evaluacin y decisin: Auditora extraordinaria, en caso de no cumplimiento de los requisitos de certificacin (Empresa). Emisin del certificado. Auditoras de seguimiento anuales. Auditora de renovacin al tercer ao.
Estructura 1. Objeto y campo de aplicacin. 2. Normas para consulta. 3. Trminos y Definiciones. 4. Marco general del SGSI.
Un SGSI debe identificar fundamentalmente los activos a proteger, el enfoque de la gestin del riesgo adoptado por la Organizacin, los objetivos, los controles y el grado de proteccin requerido. El marco general del SGSI parte de la fase de planificacin y diseo, consistente en la identificacin y documentacin del alcance y objetivos del SGSI, para lo cual se deben abordar los siguientes aspectos: � Definir la poltica de seguridad.
Versin 1.1
ITIL V3 FOUNDATION � � Definir el alcance del SGSI en funcin de las caractersticas de la Organizacin. Realizar un anlisis de riesgos adecuado a los activos de la Organizacin utilizando para ello una metodologa (la Norma recomienda MAGERIT o la incluida en la anterior Norma UNE 71501). Seleccionar de la Norma ISO 17799 los controles adecuados, as como otros especficos para cada Organizacin, necesarios los objetivos a cubrir y documentarlos.
La siguiente fase consiste en la seleccin de controles a implantar, utilizando para ello la relacin incluida en la Norma ISO 17799, excluyendo aqullos que no sean de aplicacin por las caractersticas de la organizacin. Finalmente, el SGSI se debe documentar incluyendo las acciones realizadas para la planificacin y diseo del sistema, un resumen ejecutivo conteniendo la poltica de seguridad, los objetivos a cubrir y los controles implantados, los procedimientos adoptados para implantar los controles, los procedimientos de gestin y operacin del SGSI y el documento de seleccin de controles. Toda esta documentacin debe estar convenientemente controlada mediante los procedimientos necesarios para garantizar que est disponible, sea comprensible y pueda ser revisada cuando se necesite. Asimismo, ha de ser mantenida bajo control de versiones y retirada cuando quede obsoleta. Asimismo, la Organizacin debe disponer de procedimientos para identificar, mantener, conservar y destruir los registros que evidencien el cumplimiento del SGSI implantado con la Norma UNE 71502. La responsabilidad de la Direccin resulta fundamental en el proceso y se basa en su compromiso con la implantacin del SGSI y con la poltica de seguridad de la Organizacin. La Norma UNE 71502 adopta el modelo de mejora continua Plan-DoCheck-Act (PDCA), permitiendo a cada Organizacin utilizar los instrumentos que considere oportunos. � � � � Planificar (Plan): Establecer los objetivos y procesos necesarios para conseguir resultados acordes a los requisitos del cliente y las polticas de la organizacin. Hacer (Do): Implementar los procesos. Verificar (Check): Realizar el seguimiento y la medicin de los procesos y los productos respecto a las polticas, los objetivos y los requisitos para el producto e informar de los resultados. Actuar (Act): Tomar acciones para mejorar continuamente el desempeo de los procesos.
5. Implantacin del SGSI.
La correcta implantacin del SGSI se basa en la implantacin efectiva en la organizacin de aquellos controles que resulten eficaces para la misma. Para ello, es preciso controlar la funcin que realizan, seleccionando, en la fase de diseo, indicadores de la eficacia de cada control, una vez implantado. Con ello se determinar el grado de implantacin de los controles seleccionados, valorando su eficacia frente a los riesgos detectados en la fase de anlisis.
Versin 1.1
ITIL V3 FOUNDATION
6. Explotacin del SGSI.
Para una correcta explotacin del SGSI, la Organizacin debe proporcionar los recursos necesarios, a lo largo de todo el proceso, desde su implantacin y aplicacin, hasta su mantenimiento, revisin y mejora. En concreto, los recursos humanos asignados deben asumir las responsabilidades definidas en el SGSI, para lo cual han de estar capacitados y deben recibir la adecuada formacin.
7. Revisin del SGSI.
La Direccin debe revisar de forma planificada el SGSI, para asegurarse de su conveniencia, adecuacin y eficacia. Debe asimismo identificar las oportunidades de mejora y los cambios necesarios en el SGSI, incluyendo la revisin de la poltica y los objetivos de la seguridad. Para ello, el SGSI debe contener procedimientos documentados para identificar vulnerabilidades no contempladas en el anlisis de riesgos, herramientas para mejorar la eficacia del SGSI y cambios en la Organizacin que afecten al SGSI, manteniendo registros de las revisiones efectuadas por la Direccin. Dichos procedimientos han de ser modificados para adaptarlos al SGSI cuando cambien factores internos o externos, como son los requisitos y procesos de negocio, el entorno legislativo o los niveles de riesgo aceptables. La Direccin debe asimismo asegurarse de que se realizan auditoras peridicas del SGSI para determinar si el sistema cumple la poltica y requisitos de seguridad definidos por la organizacin y las especificaciones de la presente Norma, y si se ha implantado, se ejecuta y se mantiene eficazmente.
8. Proceso de mejora.
La Direccin debe asegurar que se emprenden acciones para detectar las inconformidades y sus posibles causas, verificando y auditando dichas acciones. El proceso de mejora continua de la eficacia del SGSI debe realizarse mediante el uso de la poltica de seguridad, la revisin de los objetivos de seguridad, el uso de los indicadores de eficacia de los procesos que intervienen en el SGSI, el anlisis de los resultados de las auditoras, la aplicacin de las acciones correctivas y preventivas y la revisin continua de la Direccin. Las acciones correctivas y preventivas son fundamentales para eliminar las causas de las inconformidades en la aplicacin y explotacin del SGSI y evitar que sucedan de nuevo. Para ello, se debe establecer un procedimiento que facilite identificar las inconformidades al SGSI y determinar sus causas, evaluar la aplicacin de las acciones necesarias e implantarlas, registrar los resultados obtenidos y revisarlos, usando el proceso de mejora contnua.
Versin 1.110
ITIL V3 FOUNDATION
ISO 27000 Especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin
Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organizacin. Especifica los requisitos para la implantacin de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas. El diseo e implantacin de un SGSI se encuentra influenciado por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados, el tamao, los sistemas de soporte y la estructura de la organizacin. ISO 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. A continuacin se resumen las distintas normas que componen la serie ISO 27000 y se indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin (SGSI) basado en ISO 27001. La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad de su informacin. En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin. En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI public la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin. A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. � ISO 27000: En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin. Esta norma est previsto que sea gratuita, a diferencia de las dems de la serie, que tendrn un coste. ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 77992, habindose establecido unas condiciones de transicin para aquellas empresas certificadas en esta ltima. En su Anexo A, enumera en forma de
Versin 1.111
ITIL V3 FOUNDATION resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. En Espaa, esta norma an no est traducida; cuando lo est, se podr adquirir en AENOR. Desde 2006, s est traducida al espaol en Colombia y Venezuela. El original en ingls y la traduccin al francs pueden adquirirse en www.ISO.org. � ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En Espaa, an no est traducida. Desde 2006, s est traducida en Colombia (como ISO 17799). El original en ingls y su traduccin al francs pueden adquirirse en www.ISO.org. ISO 27003: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2009. Consistir en una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. ISO 27004: En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA. ISO 27005: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2008. Consistir en una gua de tcnicas para la gestin del riesgo de la seguridad de la informacin y servir, por tanto, de apoyo a la ISO27001 y a la implantacin de un SGSI. Recoger partes de ISO/IEC TR 13335. ISO 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma. En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en www.ISO.org. ISO 27007: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en una gua de auditora de un SGSI. ISO 27011: En fase de desarrollo; su fecha prevista de publicacin es Enero de 2008. Consistir en una gua de gestin de seguridad de la informacin
� �
Versin 1.112
ITIL V3 FOUNDATION especfica para telecomunicaciones, elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones). � ISO 27031: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO 27032: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir en una gua relativa a la ciberseguridad. ISO 27033: En fase de desarrollo; su fecha prevista de publicacin es entre 2010 y 2011. Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en redes. Provendr de la revisin, ampliacin y renumeracin de ISO 18028. ISO 27034: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir en una gua de seguridad en aplicaciones.
� �
Estructura Contenidos de ISO 27001:2005:
1. Introduccin: Generalidades e introduccin al mtodo Plan-Do-Check-Act. 2. Campo de aplicacin: Se especifica el objetivo, la aplicacin y el tratamiento de exclusiones. 3. Referencias normativas: Otras normas que sirven de referencia. 4. Trminos y definiciones: Breve descripcin de los trminos ms usados en la norma. 5. Sistema de gestin de la seguridad de la informacin: Cmo establecer, implementar, monitorizar, revisar, mantener y mejorar el SGSI; requerimientos de documentacin y su control. 6. Responsabilidades de la Direccin: En cuanto a compromiso con el SGSI, provisin de recursos y formacin y concienciacin del personal. 7. Auditoras internas del SGSI: Cmo realizar las auditoras internas de control. 8. Revisin del SGSI por la direccin: Cmo gestionar el proceso de revisin constante del SGSI. 9. Mejora de SGSI: Mejora continua, acciones correctoras y acciones preventivas. 10. Resumen de controles: Anexo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005.
Versin 1.113
ITIL V3 FOUNDATION 11. Relacin con los Principios de la OCDE: Correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE. 12. Correspondencia con otras normas: Tabla de correspondencia de puntos con ISO 9001 y 14001. 13 Bibliografa: Normas y publicaciones de referencia.
Contenidos de ISO 27002:2005 (anterior ISO 17799:2005):
1. Introduccin: Conceptos generales de seguridad de la informacin y SGSI. 2. Campo de aplicacin: Se especifica el objetivo de la norma. 3. Trminos y definiciones: Breve descripcin de los trminos ms usados en la norma. 4. Estructura del estndar: Descripcin de la estructura de la norma. 5. Evaluacin y tratamiento del riesgo: Indicaciones sobre cmo evaluar y tratar los riesgos de seguridad de la informacin. 6. Poltica de seguridad: documento de poltica de seguridad y su gestin. 7. Aspectos organizativos de la seguridad de la informacin: Organizacin interna; organizacin externa. 8. Gestin de activos: Responsabilidad sobre los activos; clasificacin de la informacin. 9. Seguridad ligada a los recursos humanos: Antes de la contratacin; durante la contratacin; cese o cambio de puesto de trabajo. 10. Seguridad fsica y ambiental: reas seguras; seguridad de los equipos. 11. Gestin de comunicaciones y operaciones: Responsabilidades y procedimientos de operacin; gestin de la provisin de servicios por terceros; planificacin y aceptacin del sistema; proteccin contra software malicioso y mvil; copias de seguridad; gestin de la seguridad de las redes; manejo de los soportes; intercambio de informacin; servicios de comercio electrnico; supervisin. 12. Control de accesos: Requisitos de negocio para el control de accesos; gestin de acceso de usuario; responsabilidades del usuario; control de acceso a la red; control de acceso al sistema operativo; control de acceso a la aplicacin y a la informacin; informtica mvil y teletrabajo. 13. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: Requisitos de seguridad de los sistemas de informacin; procesamiento correcto en las aplicaciones; controles criptogrficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestin de la vulnerabilidad tcnica. 14. Gestin de incidencias en la seguridad de la informacin: Notificacin de sucesos y puntos dbiles de la seguridad de la informacin; gestin de incidencias y de mejoras de seguridad de la informacin.
Versin 1.114
ITIL V3 FOUNDATION
15. Gestin de la continuidad del negocio: Aspectos de la seguridad de la informacin en la gestin de la continuidad del negocio. 16. Cumplimiento: De los requisitos legales; de las polticas y normas de seguridad y cumplimiento tcnico; consideraciones de las auditoras de sistemas de informacin. 17. Bibliografa: Normas y publicaciones de referencia.
Contenidos de ISO 27006:2007
1. Prembulo: Presentacin de las organizaciones ISO e IEC y sus actividades. 2. Introduccin: Antecedentes de ISO 27006 y gua de uso para la norma. 3. Campo de aplicacin: Para quin aplica este estndar. 4. Referencias normativas: Otras normas que sirven de referencia. 5. Trminos y definiciones: Breve descripcin de los trminos ms usados en la norma. 6. Principios: Principios que rigen esta norma. 7. Requisitos generales: Aspectos generales que deben cumplir las entidades de certificacin de SGSIs. 8. Requisitos estructurales: Estructura organizativa que deben tener las entidades de certificacin de SGSIs. 9. Requisitos en cuanto a recursos: Competencias requeridas para el personal de direccin, administracin y auditora de la entidad de certificacin, as como para auditores externos, expertos tcnicos externos y subcontratas. 10. Requisitos de informacin: Informacin pblica, documentos de certificacin, relacin de clientes certificados, referencias a la certificacin y marcas, confidencialidad e intercambio de informacin entre la entidad de certificacin y sus clientes. 11. Requisitos del proceso: Requisitos generales del proceso de certificacin, auditora inicial y certificacin, auditoras de seguimiento, recertificacin, auditoras especiales, suspensin, retirada o modificacin de alcance de la certificacin, apelaciones, reclamaciones y registros de solicitantes y clientes. 12. Requisitos del sistema de gestin de entidades de certificacin: Requisitos del sistema de gestin de acuerdo con ISO 9001 y requisitos del sistema de gestin general. 13. Anexo A: Anlisis de la complejidad de la organizacin de un cliente y aspectos especficos del sector: potencial de riesgo de la organizacin y categoras de riesgo de la seguridad de la informacin especficas del sector de actividad. 14. Anexo B: reas de ejemplo de competencia del auditor: consideraciones de competencia general y consideraciones de competencia especfica (conocimiento de los controles del Anexo A de ISO 27001:2005 y conocimientos sobre SGSIs).
Versin 1.115
ITIL V3 FOUNDATION
15. Anexo C: Tiempos de auditora: introduccin, procedimiento para determinar la duracin de la auditora y tabla de tiempos de auditora (incluyendo comparativa con tiempos de auditora de sistemas de calidad -ISO 9001- y medioambientales -ISO 14001-). 16. Anexo D: Gua para la revisin de controles implantados del Anexo A de ISO 27001:2005: tabla de apoyo para el auditor sobre cmo auditar los controles, sean organizativos o tcnicos.
Beneficios
� � � � � � � � � � � � � � Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001). Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organizacin. Reduccin de costes y mejora de los procesos y servicio. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.
Versin 1.116
También podría gustarte
- Examen MB-901 - Preguntas y Respuestas Reales Gratuitas, Página 18 - ExamTopicsDocumento3 páginasExamen MB-901 - Preguntas y Respuestas Reales Gratuitas, Página 18 - ExamTopicsDJ071286888Aún no hay calificaciones
- SoR PDFDocumento1 páginaSoR PDFDJ071286888Aún no hay calificaciones
- Examen MB-901 - Preguntas y Respuestas Reales Gratuitas, Página 20 - ExamTopicsDocumento2 páginasExamen MB-901 - Preguntas y Respuestas Reales Gratuitas, Página 20 - ExamTopicsDJ071286888Aún no hay calificaciones
- Examen MB-901 - Preguntas y Respuestas Reales Gratuitas, Página 8 - ExamTopicsDocumento3 páginasExamen MB-901 - Preguntas y Respuestas Reales Gratuitas, Página 8 - ExamTopicsDJ071286888Aún no hay calificaciones
- TemareDocumento2 páginasTemareDJ071286888Aún no hay calificaciones
- Tecnofor CalendarioDocumento18 páginasTecnofor CalendarioDJ071286888Aún no hay calificaciones
- 607 Puesta A TierraDocumento14 páginas607 Puesta A TierraDJ071286888Aún no hay calificaciones
- Itil en 10 PasosDocumento18 páginasItil en 10 PasosDJ071286888Aún no hay calificaciones
- Aprobación Boe Aenor Iso20000 A32326-32329Documento4 páginasAprobación Boe Aenor Iso20000 A32326-32329DJ071286888Aún no hay calificaciones
- 10 eTOM PDFDocumento38 páginas10 eTOM PDFtorifioAún no hay calificaciones
- DAFODocumento2 páginasDAFODJ071286888Aún no hay calificaciones
- MinijuegoDocumento6 páginasMinijuegoDJ071286888Aún no hay calificaciones
- Diseño de Redes FTTHDocumento114 páginasDiseño de Redes FTTHDJ071286888Aún no hay calificaciones
- Redes VsatDocumento5 páginasRedes VsatDJ071286888Aún no hay calificaciones
- Plan de Contingencia en Tecnología de La Información 4ES-GTIC-P-03 PDFDocumento24 páginasPlan de Contingencia en Tecnología de La Información 4ES-GTIC-P-03 PDFmatyAún no hay calificaciones
- CarreraTécnicoCiberseguridad CIISA-2023Documento1 páginaCarreraTécnicoCiberseguridad CIISA-2023Felipe JaraAún no hay calificaciones
- Seguridad Informática Personal y Personal y Corporativa (Primera Parte) (Primera Parte)Documento158 páginasSeguridad Informática Personal y Personal y Corporativa (Primera Parte) (Primera Parte)jorge domínguez chávezAún no hay calificaciones
- Aplicación de La Norma ISO 27001 para Implementación de Sistema de Gestión de Seguridad de La InformaciónDocumento4 páginasAplicación de La Norma ISO 27001 para Implementación de Sistema de Gestión de Seguridad de La InformaciónJuan Andres Lozano ThoméAún no hay calificaciones
- Documentos y Registros I27001A LA V012019ADocumento3 páginasDocumentos y Registros I27001A LA V012019Akiko zotro0% (1)
- Silabo Analisis Informatico ForenseDocumento4 páginasSilabo Analisis Informatico ForenseVictor Manuel Argueta BarahonaAún no hay calificaciones
- Aplicación de Normas de SeguridadDocumento3 páginasAplicación de Normas de Seguridadbenjamin ccoiccaAún no hay calificaciones
- Integradora SeguridadDocumento27 páginasIntegradora SeguridadOscar CuelloAún no hay calificaciones
- Universidad Nacional Abierta y A DistancDocumento211 páginasUniversidad Nacional Abierta y A DistancCarlos MontoyaAún no hay calificaciones
- GTAG - 1 - ES - Controles TI PDFDocumento67 páginasGTAG - 1 - ES - Controles TI PDFYasmin CastilloAún no hay calificaciones
- Sni EcuadorDocumento11 páginasSni EcuadorAndres Orozco LDUAún no hay calificaciones
- Política de Contraseñas y Seguridad de La InformaciónDocumento4 páginasPolítica de Contraseñas y Seguridad de La InformaciónHenry SanguñaAún no hay calificaciones
- Revista Sistemas Edición 123Documento114 páginasRevista Sistemas Edición 123Jm VenerosoAún no hay calificaciones
- CiberseguridadDocumento6 páginasCiberseguridadPedro Fabián González SarabiaAún no hay calificaciones
- ISO - IEC - 27036-2013 Tecnología de La Información - Técnicas de SeguridadDocumento5 páginasISO - IEC - 27036-2013 Tecnología de La Información - Técnicas de Seguridadgilberto araujoAún no hay calificaciones
- Unidad 5 1Documento6 páginasUnidad 5 1Rocio Muñoz CarrascosaAún no hay calificaciones
- Maestro:: Fecha de Entrega: 24 de Junio Del 2023Documento7 páginasMaestro:: Fecha de Entrega: 24 de Junio Del 2023Ricardo VelezAún no hay calificaciones
- Elementos Que Conformal El Portafolio Del Aprendiz PDFDocumento8 páginasElementos Que Conformal El Portafolio Del Aprendiz PDFjulio chaverraAún no hay calificaciones
- Tesis DTAIPE OKDocumento90 páginasTesis DTAIPE OKHEIDY LOURDES SINCHE ESPINOZAAún no hay calificaciones
- Gráfica de Mapa Mental Simple Azul y RosaDocumento6 páginasGráfica de Mapa Mental Simple Azul y RosaDaniela SuarezAún no hay calificaciones
- Anexo Condiciones Del ContratoDocumento11 páginasAnexo Condiciones Del ContratoasuarezsmAún no hay calificaciones
- InformeFinal LabSegDocumento60 páginasInformeFinal LabSegmardonio barzolaAún no hay calificaciones
- Remunera W1 TRANSTECNIADocumento223 páginasRemunera W1 TRANSTECNIAkeyxantAún no hay calificaciones
- Eje 4 PtogramacionDocumento22 páginasEje 4 Ptogramacionorlando zambranoAún no hay calificaciones
- Guia Nacional BIMDocumento252 páginasGuia Nacional BIMWalter Mario Andia SalinasAún no hay calificaciones
- Jockey Salud Seguridad Informatica ActualizadoDocumento119 páginasJockey Salud Seguridad Informatica ActualizadoSTEFANNY SALAS JIMENEZAún no hay calificaciones
- Tesis SGSIDocumento57 páginasTesis SGSIRonaldAún no hay calificaciones
- Objetivos, Principios y Reglas de La Auditoria InformaticaDocumento20 páginasObjetivos, Principios y Reglas de La Auditoria Informaticajpardo2020Aún no hay calificaciones
- Proyecto Final Parte 1Documento12 páginasProyecto Final Parte 1Binael M. SotoAún no hay calificaciones
- Venlly Bernal 201494 1 Paso 4Documento19 páginasVenlly Bernal 201494 1 Paso 4venlly BernalAún no hay calificaciones
