CURSO: PROFESORA: TEMA:

DERECHO INFORMTICO RAMOS LOPEZ MAGALY NORMAS PARA LA SEGURIDAD INFORMTICA ISO ESTNDARES

ALUMNA: AULA:

GRANADOS QUISPE LIZBETH B5-3

LIMA PER 2010

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL

DERECHO INFORMTICO

E I

Dedico este trabajo a mis padres quienes da a da se esfuerzan en sus centros de trabajo para brindarme un mejor nivel de vida a dems de apoyarme en mis derrotas y celebrar mis triunfos y como tal debo de retribuir sus esfuerzos y afectos esmerndome al mximo a lo largo de mi carrera.

INGENIERA DE SISTEMAS

Pgina 1

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL

DERECHO INFORMTICO

Este presente trabajo de investigacin inicia definiendo el concepto de seguridad informtica, luego prosigue con los temas respecto a las polticas y normas de seguridad informtica para dar un mejor entendimiento al tema principal de este trabajo el cual es

estndares en seguridad de la informacin y la publicacin de la norma ISO 17799 en los diversos pases. Es as como este trabajo de investigacin te brindar la importancia de las normas en cuanto a seguridad de la informacin se refiere, ya que ayuda en el establecimiento e implantacin de los Sistemas de Gestin de la seguridad de la informacin en las organizaciones ya sean pblicas, privadas, grandes o pequeas.

INGENIERA DE SISTEMAS

seguridad informtica

IS

estndares, finalmente se menciona la evolucin de los

ormas para la

Pgina 2

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL

DERECHO INFORMTICO

I E

NORMAS PARA LA SEGURIDAD INFORMTICA ISO ESTNDARES ................................ . 4

SEGURIDAD INFORMTICA ................................ ................................ ............................... 4

POLTICAS DE SEGURIDAD INFORMTICA ................................ ................................ ..... 4

NORMAS DE SEGURIDAD INFORMTICA ................................ ................................ ......... 4

IMPORTANCIA DE LOS MANUALES DE NORMAS Y POLTICAS ................................ ...... 4

NORMAS INTERNACIONALES ................................ ................................ ........................... 5

EVOLUCIN DE LOS ESTNDARES EN SEGURIDAD DE LA INFORMACIN .................. 5

PUBLICACIN DE LA NORMA ISO 17799 EN DIVERSOS PASES ................................ .. 11

CONCLUSIONES................................ ................................ ................................ ................... 12

FUENTES DE INFORMACIN ................................ ................................ ............................... 13

INGENIERA DE SISTEMAS

Pgina 3

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL

DERECHO INFORMTICO

NORMAS PARA A SE RI AD INFORMTI A ESTNDARES

ISO

SE

RIDAD INFORMTI A

La seguridad informtica consiste en asegurar que los recursos del sistema de informacin (material informtico o programas) de una organizacin sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida, as como su modificacin, slo sea posible a las personas que se encuentren acreditadas y dentro de los lmites de su autorizacin. En estos momentos la seguridad informtica es un tema de dominio obligado por cualquier usuario de Internet, para no permitir que su informacin sea comprometida.

POLTI AS DE SE

RIDAD INFORMTI A

Son una forma de comunicacin con el personal, ya que las mismas constituyen un canal formal de actuacin, en relacin con los recursos y servicios informticos de la organizacin. Estas a su vez establecen las reglas y procedimientos que regulan la forma en que una organizacin previene, protege y maneja los riesgos de diferentes daos, sin importar el origen de estos.

NORMAS DE SE

RIDAD INFORMTI A

Las normas son un conjunto de lineamientos, reglas, recomend aciones y controles con el propsito de dar respaldo a las polticas de seguridad y a los objetivos desarrollados por stas, a travs de funciones, delegacin de responsabilidades y otras tcnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red institucional.

IMPORTANCIA DE LOS MANUALES DE NORMAS Y POLTICAS

Como parte integral de un Sistema de Gestin de Seguridad de la Informacin (SGSI), un manual de normas y polticas de seguridad, trata de definir; Qu?, Por qu?, De qu? y Cmo? se debe proteger la informacin. Estos engloban una serie de objetivos, estableciendo
INGENIERA DE SISTEMAS Pgina 4

UNIVE SI A

NA I NA

E E I

VI

EA

E E

INFORM I O

EVOLUCI N INFORMACI N

Ori i

1990,

empresas para fomentar un entendimiento comn sobre el tema

En 1995, el est ndar BS 7799 es oficialmente presentado. En 1998 se establecen las caractersticas de un Sistema de Gesti n de la Seguridad de la

$2 "#3 $#'% # #0 #%#& 0#0 %('! # !0 $2 "# !%&%! $ !0  0! ! %! !0 3!) ( # $# #%  $! ("0   $2 "( $ # !0 % $!0 #0 "! 1# ! !0#0 !"!$ # # 0#("!0# 0#0 %('! !0 !) $ $( %#%' #%#&  %#!"!$   $#"! 
l i i l i l i l i t l i t l l i tit i . E t l t t t l i i t t i i t i i .

NORMAS INTERNACIONALES
y y y y

ISO17799 BS7799 OBI AUDI GUIDE INES

I I

DE

LOS

ESTNDARES

EN

SEGURIDAD

DE

ri

l ri

ri

l i f rmaci

arrollado

los aos

lat rra, como respuesta a las

ecesidades de la i dustria, el

obierno

establecer lineamientos

enerales.

INGENIERA

E SIS EMAS

   

RQ

Informaci n SGSI

ue permita un proceso de certificaci n, conocida comoBS 7799


2.

WVU TS

8A

I 8 CAE AF 8H H

8 A 78 8A G 8 9 AE E9E F7A C 8A 9E8 CA A@ B A A 8A@9 98 7 D

6 5 

 P 65 4 H

LA

las

UNIVERSIDAD NA IONA FEDERI O VI

ARREA

DERE

O INFORM I O

Reci n en diciembre del 000 la organi aci n de est ndares internacionales ISO) incorpora la primera parte de la norma BS 7799, rebauti ada como ISO 17799, la cual se presenta bajo la El ISO 17799, al definirse como una gua en la implementaci n del sistema de administraci n de la seguridad de la informaci n, se orienta a preservar los siguientes principios de la seguridad informtica: C I forma de notas de orientaci n recomendaciones en el rea de Seguridadde la informaci n.

informaci n.
y

. Garanti ar ue la informaci n no ser alterada, eliminada o destruida por . Asegurar ue los usuarios autori ados tendrn acceso a la

entidades no autori adas.

y

Di

ibili

informaci n cuando la requieran. En el ao 005 hubo cambios interesantes a nivel de ISO 17799 .

compaas se alineaban a la 17799:2000, pero luego se tena que certificar la norma BS 7799:2002 dado que ISO no haba reglamentado las caractersticas de un Sistema de Gesti n de Seguridad de la Informaci n. 27001.Entonces, el marco terico era la ISO/IEC 17799:2005 Informacin SGSI). a buena noticia es que a partir de ese ao se pudo certificar con la nueva norma ISO/IEC

el marco prctico paso a ser la

ISO/IEC 27001:2005. Esta ltima define el Sistema de Gestin de la Seguridad de la

principales:

1. Poltica de seguridad. 2. Aspectos organi ativos para la seguridad. . l asificacin control de activos. . Seguridad ligada al personal.

5. Seguridad fsica

6. Gestin de comunicaciones operaciones.

8. Desarrollo

9. Gestin de continuidad de negocio. 11. Gestin de incidentes de seguridad de la informacin.

INGENIERA DE SIS EMAS

P gina 6

10.

onformidad.

7.

ontrol de accesos. mantenimiento de sistemas.

La versin de ISO/IE

17799:2005 del estndar incluye las siguientes once secciones

del entorno.

i li

. Asegurar

ue nicamente personal autori ado tenga acceso a la

asta ahora muchas

Xa

`X i

f g f

YY

e v yv y xt wv ts u

q p

o k m

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL

DERECHO INFORMTICO

Con estos cambios la ISO 17799:2005 incluye novedades importantes: 1. Se agrega un nuevo dominio (Administracin de incidentes de la seguridad de la informacin), es decir que a ora son 11 dominios. 2. Un marco terico ms fcil de aplicar, ya que cada dominio incluye el objetivo de control especfico, el marco de implementacin y un anexo de informacin adicional. El nmero total de controles suma 133 entre todas las secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias necesidades. Esto permite establecer un tablero de control ms simple e incluso auditarlo con COBIT. 3. Se an realizado actualizaciones tecnolgicas, ya que la ltima revisin era del ao 2002, y recordemos que un ao la tecnologa cambia bastante. Por ejemplo en el dominio que ace referencia al control de acceso (Dominio 7), se incluye los controles sobre redes inalmbricas y tecnologas similares que deben estar incluidas como controles en las polticas de seguridad. 4. Se a incluido un control sobre la entrega de servicios por terceras partes (Service Delivery). Si bien algo se mencionaba en la versin anterior, se an reformulado las definiciones. 5. Se a incluido un apartado sobre el aceptable uso de los activos. Recordemos que muc a s veces por implementar escenarios muy seguros, acemos imposible el uso del recurso para el usuario que debe accederlo.

. Se agrega un apartado sobre la gestin de riesgo. No olvidemos, que si bien toda compaa

debe tener un nivel de riesgo aceptado, la idea de la NORMA ISO 27001:2005 es definir el manejo de riesgo de la compaa. La seguridad total no existe, por lo tanto debemos tener definido como actuar ante una situacin especial. 7. Incluye referencias importantes con el manejo de contrasea. 8. En COBIT figuraba el manejo de cdigo fuente dentro los controles. Esta vez ISO a incluido ese manejo dentro de los dominios. 9. Se a agregado un apartado para el manejo de vulnerabilidades.

INGENIERA DE SISTEMAS

Pgina 7

p p

p p

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL

DERECHO INFORMTICO

Continua la serie 27000 de

de los es

ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollopor ISO e IEC que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea; Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. ISO 27000: Publicada en mayo de 2009. Contiene la descripcin general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento ms claro de la serie y la relacin entre los diferentes documentos que la conforman. ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye aquellas empresas certificadas en esta ltima. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dic o anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. ISO Desde el 1 los de Julio como de ao de 2007, de control es y el nuevo Es una nombre gua de de ISO en a la BS 7799-2, abindose establecido unas condiciones de transicin para

27002:

17799:2005, prcticas

manteniendo describe

2005

edicin.

buenas

que

objetivos

controles

recomendables

cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. ISO 27003: En fase de desarrollo; su fec a prevista de publicacin era Mayo de 2009. Consistir en una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo BSI B de la norma BS7799-2 y en la serie de documentos publicados por implantacin. a lo largo de los aos con recomendaciones y guas de

INGENIERA DE SISTEMAS

Pgina 8

rv s

ut sr

dares ISO/IEC.

UNIVERSIDAD NA IONA FEDERI O VI

ARREA

DERE

O INFORM I O

mtricas se usan fundamentalmente para la medicin de los componentes de la fase Do

gestin

del

riesgo

en

la

seguridad

generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. El conocimiento de los conceptos, modelos, pocesos r y trminos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo

gubernamentales, organi aciones la informacin.

sin

gestionar los riesgos que puedan comprometer la organi acin de la seguridad de

ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de la seguridad de la informacin. Es una versin revisada de EA7/03 acreditacin de entidades que operan certificacin/registro aade a ISO/IEC 17021

de

Requisitos para las entidades de auditora y certificacin

de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certficacin de ISO 27001, pero no es i una norma de acreditacin por s misma. ISO 27007: En fase de desarrollo; su fecha prevista de publicacin era Mayo de 2010. Consistir en una gua de auditora de un SGSI. ISO 27011: Publicada en Diciembre del 2008. Consiste en una gua de gestin de seguridad de la informacin especfica para telecomunicaciones, Internacional de elecomunicaciones). la I U

INGENIERA DE SIS EMAS

elaborada

conjuntamente

con

Unin

de

organi aciones

ISO 27005: Publicada el

Implementar

Utili ar) del ciclo PDCA. de unio de 2008. Establece las directrices para la de la informa cin. Apoya los conceptos

por

ejemplo, fines de

empresas lucro) que

comerciales, tienen la

agencias de

intencin

Requisitos para SGSIs) que

Pgina 9

aplicables para determinar la eficacia de un SGSI

de los controles relacionados. Estas

ISO 27004: Publicada en diciembre de 2009 Especifica las mtricas .

las tcnicas de medida

x{

zx

yy

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL

DERECHO INFORMTICO

ISO 27031: En fase de desarrollo; su fec a prevista de publicacin era Mayo de 2010. Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO 27032: En fase de desarrollo; su fec a prevista de publicacin era Febrero de 2009. Consistir en una gua relativa a la ciberseguridad. ISO 27033: En fase de desarrollo; su fec a prevista de publicacin es entre 2010 y 2011. Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en redes. Provendr de la revisin, ampliacin y re numeracin de ISO 18028. ISO 27034: En fase de desarrollo; su fec a prevista de publicacin era Febrero de 2009. Consistir en una gua de seguridad en aplicaciones. ISO 27799: Publicada el 12 de Junio de 2008. Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretacin y aplicacin en la salud informtica de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prcticas para la gestin de la salud y la seguridad de la informacin por organizaciones sanitarias y otros custodios mantener de de la la informacin sanitaria integridad se aplica vdeos (de ) y a y en y la base a garantizar de en un mnimo nivel necesario de seguridad apropiado para la organizacin y circunstancias que van a confidencialidad, disponibilidad informacin informacin salud sea medio en cual en ya personal todos sus fuere papel que el o la salud. ISO 27799:2008 sonoras, para de

aspectos y en cualquiera de sus formas, toma la informacin (palabras y nmeros, grabaciones medio electrnicos dibujos, imgenes impresin sea cual o mdicas), de el fuere utilizado almacenar escritura

almacenamiento

transmitirlo (a mano, por fax, por

redes informticas o por correo),

informacin siempre debe estar adecuadamente protegida.

INGENIERA DE SISTEMAS

utilizado

para

Pgina 10

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL

DERECHO INFORMTICO

PUBLICACIN DE LA NORMA ISO 17799 EN DIVERSOS PASES

En Per, la ISO/IEC 27002:2005 recordemos, la gua de buenas prcticas y no el estndar certificable-es de uso obligatorio en todas las instituciones pblicas desde agosto de 2004, estandarizando de esta forma los diversos proyectos y metodologas en este campo, respondiendo a la necesidad de seguridad por e uso intensivo de internet y redes de datos l institucionales. La supervisin de su cumplimiento est a cargo de la Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI. En Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores. Es el caso de los operadores de informacin, que de conformidad con el Decreto 1931 de 200 de aqul pas, se allan sujetos al cumplimiento del estndar.

En C ile, se emple la ISO/IEC 17799:2005 para crear una norma que establece las caractersticas mnimas obligatorias de seguridad y confidencialidad que deben cumplir los documento electrnicos de los rganos de la Administracin del Estado de la Repblica de C ile, y cuya aplicacin se recomienda para los mismos fines, denominado Decreto Supremo No. 83, "NORMA TCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRNICO".

INGENIERA DE SISTEMAS

Pgina 11

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL

DERECHO INFORMTICO

CONCLUSIONES

Como todo estndar, el ISO 17799 proporciona un marco ordenado de trabajo al cual deben sujetarse todos los integrantes de la organizacin, y aunque no elimina el cien por ciento de los problemas de seguridad, s establece una valoracin de los riesgos a los que se enfrenta una organizacin en materia de seguridad de la informacin. Dic a valoracin permite administrar los riesgos en funcin de los recursos tecnolgicos y umanos con los que cuenta la organizacin; adicionalmente, establece un entorno que

identifica los problemas de seguridad en tiempos razonables, situacin que no es posible, la mayora de las veces, si no se cuenta con controles de seguridad como los establecidos en el ISO 17799, es decir, la aplicacin del estndar garantiza que se podrn detectar las violaciones a la seguridad de la informacin, situacin que no necesariamente ocurre en caso de no aplicarse el estndar.

INGENIERA DE SISTEMAS

Pgina 12

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL

DERECHO INFORMTICO

FUENTES DE INFORMACIN

WEBGRAFA:

y y y y y

ttp://seguridadit.blogspot.com/200 /02/mas-sobre-iso-1779927001. tml ttp://es.wikipedia.org/wiki/ISO/IEC_27001 ttp://www.enterate.unam.mx/Articulos/2005/febrero/seguridad. tm ttp://www.scribd.com/doc/114 7531/Norma-ISO-27000 ttp://es.wikipedia.org/wiki/ISO/IEC_17799

INGENIERA DE SISTEMAS

ttp://www.scribd.com/doc/2023909/manual-de-politicas-y-normas-de-seguridad-

informatica

Pgina 13