La Norma de Buenas Prcticas para la Seguridad de la Informacin (el estndar) es la
primera autoridad en seguridad de la informacin. Se ocupa de la seguridad de informacin desde una perspectiva de negocio, proporcionando una base prctica para la evaluacin de las medidas de seguridad de informacin de una organizacin.
El estndar contiene una amplia gama de caractersticas, que cubre todo el espectro de arreglos que deben hacerse para mantener los riesgos de negocio asociados a los sistemas de informacin dentro de lmites aceptables.
Como resultado de ello, es una herramienta importante para mejorar la calidad y eficiencia de seguridad de la informacin controles aplicados por la organizacin. El estndar incluye parte de la suite de gestin de informacin de riesgos de la ISF de los productos y se basa en una gran cantidad de material, la investigacin en profundidad, y los amplios conocimientos y experiencia prctica de los Miembros de la FIA en todo el mundo.
Se actualiza al menos cada dos aos a fin de: responder a las necesidades de las principales organizaciones internacionales perfeccionar las reas de mejores prcticas para la seguridad de la informacin reflejar el pensamiento ms actualizada en seguridad de la informacin permanecer alineado con otros estndares de informacin relacionados con la seguridad, tales como la norma ISO 27002 (17799) y COBIT v4.1
El estndar de buenas prcticas abarca seis aspectos distintos de la seguridad de la informacin, cada una de las cuales se refiere a un particular, el tipo de medio ambiente. Tambin incluye material adicional (por ejemplo, los temas de la matriz y el ndice) para ayudar a los Miembros localizar informacin de forma rpida y sencilla.
En consecuencia, esta parte de la norma proporciona una: Explicacin y resumen de la tabla de los seis aspectos de la seguridad de la informacin esquema de la estructura y el diseo de los aspectos visin general de los principios y objetivos, matriz de temas e ndice.
Los seis aspectos de la seguridad de la informacin El estndar se centra en la forma en seguridad de la informacin apoya los procesos clave del negocio de una organizacin.
Estos procesos dependen cada vez ms de las aplicaciones de negocio basadas en TI, muchos de los cuales son crticos para su xito. as el aspecto de la seguridad de que se trate con aplicaciones crticas de negocio es fundamental para el diseo de la Norma.
Instalaciones y Redes de Computadores proporcionan la infraestructura subyacente en la que el Business Critical. Las aplicaciones se ejecutan. El entorno de usuario final cubre todos los acuerdos relacionados con la proteccin corporativa y las aplicaciones de escritorio, que son utilizados por las personas para procesar la informacin y procesos de negocio de apoyo.
Aspecto de la seguridad Enfoque Destinatarios
Gestin de la seguridad en nivel de la empresa. El pblico objetivo del aspecto SM tpicamente incluir: Los cabezales de las funciones de seguridad de la informacin Los gerentes de seguridad de la informacin (o equivalente) los auditores de TI.
Una aplicacin empresarial que es crtico para el xito de la empresa. El pblico objetivo del aspecto CB tpicamente incluir: Los propietarios de las aplicaciones de negocio Las personas encargadas de los procesos de negocio que son depende de las aplicaciones integradores de sistemas El personal tcnico, como miembros de un soporte de aplicaciones equipo.
Una instalacin de equipo que soporta una o ms aplicaciones empresariales.
El pblico objetivo del aspecto CI tpicamente incluir: Los propietarios de instalaciones informticas Las personas encargadas de dirigir los centros de datos Los administradores de TI terceros que operan instalaciones informticas para el organizacin los auditores de TI.
Una red que soporta uno o ms negocios aplicaciones. El pblico objetivo del aspecto NW tpicamente incluir: Los cabezales de las funciones de red de especialistas los administradores de red terceros que proporcionan servicios de red (por ejemplo, Internet Proveedores de Servicios) los auditores de TI.
Una unidad de desarrollo de sistemas / Departamento o un particular, desarrollo de sistemas proyecto.
El pblico objetivo del aspecto SD tpicamente incluir: Las funciones de desarrollo de los jefes de los sistemas desarrolladores de sistemas los auditores de TI. Un entorno (por ejemplo, una unidad de negocio o departamento) en la que individuos utilizan corporativa aplicaciones de negocios y / o de escritorio crtico aplicaciones para apoyar los procesos de negocio. El pblico objetivo de la UE de aspecto tpicamente incluir: gerentes de negocios las personas en el entorno del usuario final Seguridad de la informacin local coordinadores Gerentes de seguridad de la informacin (o equivalente).
Beneficios de usar este estndar:
Debido a la versatilidad y el carcter integral de la norma, las organizaciones pueden utilizar de muchas maneras diferentes, independientemente de la forma en que establecen sus propias polticas de informacin sobre seguridad, normas y procedimientos.
Tanto si se utiliza de forma independiente o en conjuncin con herramientas de ISF y otra informacin importante relacionada con la seguridad normas, el estndar de buenas prcticas representa una fuente inigualable de referencia para la informacin seguridad.
El enfoque adoptado en desarrollo de la norma de buenas prcticas asegura el contenido es amplio en su la cobertura de temas de seguridad de la informacin, es inequvoca y medible.
Como resultado, las organizaciones pueden utilizar el standard para:
seguridad de la informacin en toda la organizacin
de seguridad de informacin
COMMON CRITERIA ISO/IEC 15408
Common Criteria, un conjunto de estndares de seguridad internacionalmente aceptado, proporciona una evaluacin inequvoca y fiable de las funciones de seguridad de los productos de las tecnologas de informacin. Al proporcionar una valoracin independiente sobre la capacidad de un producto para cumplir los estndares de seguridad, Common Criteria aporta a los clientes ms confianza en la seguridad de los productos de tecnologa de la informacin y les lleva a tomar decisiones mejor fundamentadas.
Los clientes preocupados por la seguridad, como el gobierno estadounidense, tienen en cuenta la certificacin Common Criteria como un factor determinante para realizar una compra. Dado que los requisitos para la certificacin estn claramente establecidos, los proveedores pueden satisfacer necesidades de seguridad muy especficas al tiempo que proporcionan una amplia oferta de productos.
El alcance internacional de Common Criteria, que actualmente han adoptado catorce pases, permite a los usuarios de otras nacionalidades comprar productos de tecnologa de la informacin con el mismo nivel de confianza, ya que esta certificacin est reconocida en todos los pases en los que es aplicable.
Para evaluar la seguridad de un producto es necesario identificar las necesidades de seguridad del cliente y valorar las capacidades del producto. Common Criteria ayuda al cliente en ambos procesos mediante dos elementos clave: los perfiles de proteccin y los niveles de garanta de la evaluacin.