Normas Mexicanas

Las Las Las Las Normas Normas Normas Normas Oficiales Oficiales Oficiales Oficiales Mexicanas Mexicanas Mexicanas Mexicanas (NOM), conforme la Ley Federal sobre Metrologa y Normalizacin,
son regulaciones tcnicas que establecen especificaciones y procedimientos para garantizar que los
servicios cumplan, en el contexto de los propsitos y funciones para los que fueron diseados, con
caractersticas de seguridad, intercambiabilidad, confiabilidad y calidad, entre otros aspectos.
Las dependencias del Gobierno Federal son quienes se encargan de expedir dichas regulaciones
llamadas Normas Oficiales Mexicanas (NOMs). Para su elaboracin, se han constituido diversos
Comits Consultivos Nacionales de Normalizacin, los cuales se integran por el Gobierno Federal,
Sector Privado, Sector Acadmico y Sector Social.
Las NOMS que estn relacionadas con el Software de Seguridad de la Informacin son:
NMX-I-059/01-NYCE-2005
Tecnologa de la informacin Tecnologa de la informacin Tecnologa de la informacin Tecnologa de la informacin Software Software Software Software - -- -
Modelos de procesos y evaluacin para desarrollo y mantenimiento de software
Parte 01: Definicin de conceptos y productos.
Esta Norma Mexicana tiene por objeto definir los conceptos y describir los productos para las dems
partes de la NMX-I-059-NYCE. Es conveniente que los usuarios de esta norma se familiaricen con la
terminologa y estructura de la serie de normas que constituyen las NMX-I-059/02-NYCE, NMX-I-
059/03- NYCE y la NMX-I-059/04-NYCE.

MX-I-059/02-NYCE-2005
Tecnologa de la informacin Tecnologa de la informacin Tecnologa de la informacin Tecnologa de la informacin Software Software Software Software -
Modelos de procesos y evaluacin para desarrollo y mantenimiento de software
Parte 02: Requisitos de procesos (MoProSoft).
Esta Norma Mexicana tiene por objeto definir el modelo de procesos para la industria de software.
MoProSoft est dirigido a las organizaciones dedicadas al desarrollo y mantenimiento de software.
Es aplicable tanto para las organizaciones que tiene procesos establecidos, as como para las que no
cuenten con ellos.

NMX-I-059/03-NYCE-2005
Tecnologa de la informacin Tecnologa de la informacin Tecnologa de la informacin Tecnologa de la informacin Software Software Software Software - -- -
Modelos de procesos y evaluacin para desarrollo y mantenimiento de software
Parte 03: Gua de implantacin de procesos.
Esta Norma Mexicana tiene por objeto proporcionar a las organizaciones de desarrollo y
mantenimiento de software un ejemplo de la implantacin del modelo de procesos MoProSoft
basado en las mejores prcticas de ingeniera de software. Este ejemplo puede servir de apoyo para
la definicin de procesos en las organizaciones sin procesos establecidos o para la actualizacin de
procesos en las que cuenten con ellos.

NMX-I-059/04-NYCE-2005
Tecnologa de la informacin Tecnologa de la informacin Tecnologa de la informacin Tecnologa de la informacin Software Software Software Software - -- -
Modelos de procesos y evaluacin para desarrollo y mantenimiento de software
Parte 04: Directrices para la evaluacin de procesos (EvalProSoft).
Esta Norma Mexicana tiene por objeto definir las directrices para la evaluacin de procesos para la
industria de software. Esta Norma Mexicana es aplicable a los organismos de certificacin y a las
organizaciones dedicadas al desarrollo y mantenimiento de software, que han utilizado la NMX-I-
059/02-NYCE para la implantacin de sus procesos.
Normas Internacionales

ISO/IEC 17799:2007 ISO/IEC 17799:2007 ISO/IEC 17799:2007 ISO/IEC 17799:2007 conocido como ISO 27002 conocido como ISO 27002 conocido como ISO 27002 conocido como ISO 27002
ISO/IEC 27000 que contiene las mejores prcticas recomendadas en materia de Seguridad de la
informacin para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestin Sistemas de Gestin Sistemas de Gestin Sistemas de Gestin
de la Seguridad de la Informacin de la Seguridad de la Informacin de la Seguridad de la Informacin de la Seguridad de la Informacin (SGSI).
La mejor definicin de SGSI est descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los
estndares publicados por (ISO)
y la (IEC).
ISO/IEC 27001 Es la certificacin que deben obtener las organizaciones. Norma que especifica los
requisitos para la implantacin
del SGSI.
ISO/IEC 27002 Informacin tecnologa- Tcnicas de Seguridad- Cdigos de prcticas para la
Seguridad de la Informacin
IEC IEC IEC IEC (International (International (International (International Electrotechnical Electrotechnical Electrotechnical Electrotechnical Commission) Commission) Commission) Commission) e ee e ISO ISO ISO ISO (International (International (International (International Organization Organization Organization Organization for for for for
Standardization) Standardization) Standardization) Standardization) han establecido un comit tcnico conjunto especfico para las Tecnologas de la
Informacin denominado JTC1 (Joint Technical Committee).
Dentro de dicho comit, el subcomit SC27 es el encargado del desarrollo de proyectos en tcnicas
de seguridad, labor que realiza a travs de cinco grupos de trabajo (WG1, WG2, WG3, WG4 y WG5).
Cada pas miembro establece subcomits espejo que coordinan los trabajos a nivel nacional. En
Espaa, es AENOR AENOR AENOR AENOR quien tiene dicha responsabilidad. Lo hace a travs del subcomit AEN/CTN
71/SC "Tcnicas de Seguridad - Tecnologa de la Informacin" y de sus correspondientes grupos de
trabajo GT1, GT2, GT3, GT4 y GT5.
ISO JTC1 / SC27 / WG1 ISO JTC1 / SC27 / WG1 ISO JTC1 / SC27 / WG1 ISO JTC1 / SC27 / WG1: Sistemas de gestin de seguridad de la informacin : Sistemas de gestin de seguridad de la informacin : Sistemas de gestin de seguridad de la informacin : Sistemas de gestin de seguridad de la informacin - -- - SGSI. SGSI. SGSI. SGSI.
Las actividades de este grupo de trabajo incluyen:
Desarrollo y mantenimiento de la familia de normas ISO/IEC 27000.
Identificacin de requisitos para futuros estndares y directrices relativas a los SGSI.
Colaboracin con otros grupos de trabajo del SC27, en particular con el WG4 en cuanto a
estndares relativos a la
implementacin de objetivos de control y controles definidos en ISO/IEC 27001.
Contacto y colaboracin con otros comits y organizaciones relacionadas con los SGSI, tales como
ITU-T
(telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE,
OCDE, etc.

ISO JTC1 / SC27 / WG2 ISO JTC1 / SC27 / WG2 ISO JTC1 / SC27 / WG2 ISO JTC1 / SC27 / WG2: Mecanismos de seguridad y criptografa. : Mecanismos de seguridad y criptografa. : Mecanismos de seguridad y criptografa. : Mecanismos de seguridad y criptografa.
Las actividades de este grupo de trabajo incluyen:
Identificacin de las necesidades y los requisitos de tcnicas y mecanismos de seguridad en
sistemas y aplicaciones de TI.
Desarrollo de terminologa, modelos generales y estndares de dichas tcnicas y mecanismos para
su uso en servicios
de seguridad.
Tratamiento de todas las tcnicas y mecanismos, sean criptogrficos o no, que cubran aspectos
como confidencialidad,
autenticacin, no repudio, gestin de claves, integridad, etc.
Pgina 2 de 2
ISO JTC1 ISO JTC1 ISO JTC1 ISO JTC1 / SC27 / WG3 / SC27 / WG3 / SC27 / WG3 / SC27 / WG3: Criterios de evaluacin de la seguridad. : Criterios de evaluacin de la seguridad. : Criterios de evaluacin de la seguridad. : Criterios de evaluacin de la seguridad.
Las actividades de este grupo de trabajo incluyen:
Desarrollo de estndares de evaluacin y certificacin de la seguridad de sistemas, componentes y
productos de tecnologas
de la informacin.
Tratamiento de los tres aspectos a considerar en este mbito: criterios de evaluacin, metodologa
de aplicacin de dichos criterios y procedimientos administrativos para la evaluacin, la certificacin
y los esquemas de acreditacin.
Coordinacin con los comits ISO responsables de estndares de comprobacin y gestin de
calidad para no
duplicar esfuerzos.

ISO JTC1 / SC27 / WG4 ISO JTC1 / SC27 / WG4 ISO JTC1 / SC27 / WG4 ISO JTC1 / SC27 / WG4: servicios y controles de seguridad. : servicios y controles de seguridad. : servicios y controles de seguridad. : servicios y controles de seguridad.
Las actividades de este grupo de trabajo incluyen:
El desarrollo y mantenimiento de estndares y directrices relativas a servicios y aplicaciones que
apoyen la implantacin de
objetivos de control y controles definidos en ISO/IEC 27001.
Identificacin de requisitos y desarrollo de futuros estndares en reas como continuidad de
negocio, ciberseguridad,
externalizacin (outsourcing), etc.
Colaboracin con otros grupos de trabajo del SC27, en particular con el WG1.
Contacto y colaboracin con otros comits y organizaciones relacionadas con los SGSI, tales como
ITU-T
(telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE,
OCDE, etc.

ISO JTC1 / SC27 / WG5 ISO JTC1 / SC27 / WG5 ISO JTC1 / SC27 / WG5 ISO JTC1 / SC27 / WG5: tecnologas de gestin de identidad y privacidad. : tecnologas de gestin de identidad y privacidad. : tecnologas de gestin de identidad y privacidad. : tecnologas de gestin de identidad y privacidad.
Las actividades de este grupo de trabajo incluyen:
Desarrollo y mantenimiento de estndares y directrices relativos a los aspectos de seguridad de la
gestin de identidad,
biometra y proteccin de datos personales.
Identificacin de requisitos y desarrollo de futuros estndares en reas como control de acceso
basado en roles,
identificadores, single sign-on, anonimato y credenciales, infraestructuras de privacidad,
tecnologas para la mejora de la
privacidad (PETs), tcnicas de autenticacin biomtrica, proteccin de datos biomtricos, etc.
Colaboracin con otros grupos de trabajo del SC27: WG1 en aspectos de gestin, WG2 en tcnicas
de seguridad y WG3
en evaluacin.
Contacto y colaboracin con otros comits y organizaciones tales como ISO/IEC SC37 (biometra),
ECRYPT, FIDIS, etc.