Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DERECHO INFORMTICO RAMOS LOPEZ MAGALY NORMAS PARA LA SEGURIDAD INFORMTICA ISO ESTNDARES
ALUMNA: AULA:
DERECHO INFORMTICO
E I
Dedico este trabajo a mis padres quienes da a da se esfuerzan en sus centros de trabajo para brindarme un mejor nivel de vida a dems de apoyarme en mis derrotas y celebrar mis triunfos y como tal debo de retribuir sus esfuerzos y afectos esmerndome al mximo a lo largo de mi carrera.
INGENIERA DE SISTEMAS
Pgina 1
DERECHO INFORMTICO
Este presente trabajo de investigacin inicia definiendo el concepto de seguridad informtica, luego prosigue con los temas respecto a las polticas y normas de seguridad informtica para dar un mejor entendimiento al tema principal de este trabajo el cual es
estndares en seguridad de la informacin y la publicacin de la norma ISO 17799 en los diversos pases. Es as como este trabajo de investigacin te brindar la importancia de las normas en cuanto a seguridad de la informacin se refiere, ya que ayuda en el establecimiento e implantacin de los Sistemas de Gestin de la seguridad de la informacin en las organizaciones ya sean pblicas, privadas, grandes o pequeas.
INGENIERA DE SISTEMAS
seguridad informtica
IS
ormas para la
Pgina 2
DERECHO INFORMTICO
I E
INGENIERA DE SISTEMAS
Pgina 3
DERECHO INFORMTICO
ISO
SE
RIDAD INFORMTI A
La seguridad informtica consiste en asegurar que los recursos del sistema de informacin (material informtico o programas) de una organizacin sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida, as como su modificacin, slo sea posible a las personas que se encuentren acreditadas y dentro de los lmites de su autorizacin. En estos momentos la seguridad informtica es un tema de dominio obligado por cualquier usuario de Internet, para no permitir que su informacin sea comprometida.
POLTI AS DE SE
RIDAD INFORMTI A
Son una forma de comunicacin con el personal, ya que las mismas constituyen un canal formal de actuacin, en relacin con los recursos y servicios informticos de la organizacin. Estas a su vez establecen las reglas y procedimientos que regulan la forma en que una organizacin previene, protege y maneja los riesgos de diferentes daos, sin importar el origen de estos.
NORMAS DE SE
RIDAD INFORMTI A
Las normas son un conjunto de lineamientos, reglas, recomend aciones y controles con el propsito de dar respaldo a las polticas de seguridad y a los objetivos desarrollados por stas, a travs de funciones, delegacin de responsabilidades y otras tcnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red institucional.
UNIVE SI A
NA I NA
E E I
VI
EA
E E
INFORM I O
EVOLUCI N INFORMACI N
Ori i
1990,
En 1995, el est ndar BS 7799 es oficialmente presentado. En 1998 se establecen las caractersticas de un Sistema de Gesti n de la Seguridad de la
$2 "#3 $#'% # #0 #%#& 0#0 %('! # !0 $2 "# !%&%! $ !0 0! ! %! !0 3!) ( # $# #% $! ("0 $2 "( $ # !0 % $!0 #0 "! 1# ! !0#0 !"!$ # # 0#("!0# 0#0 %('! !0 !) $ $( %#%' #%#& %#!"!$ $#"!
l i i l i l i l i t l i t l l i tit i . E t l t t t l i i t t i i t i i .
NORMAS INTERNACIONALES
y y y y
I I
DE
LOS
ESTNDARES
EN
SEGURIDAD
DE
ri
l ri
ri
l i f rmaci
arrollado
los aos
ecesidades de la i dustria, el
obierno
establecer lineamientos
enerales.
INGENIERA
E SIS EMAS
RQ
Informaci n SGSI
2.
WVU TS
8A
I 8 CAE AF 8H H
6 5
P 65 4 H
LA
las
ARREA
DERE
O INFORM I O
Reci n en diciembre del 000 la organi aci n de est ndares internacionales ISO) incorpora la primera parte de la norma BS 7799, rebauti ada como ISO 17799, la cual se presenta bajo la El ISO 17799, al definirse como una gua en la implementaci n del sistema de administraci n de la seguridad de la informaci n, se orienta a preservar los siguientes principios de la seguridad informtica: C I forma de notas de orientaci n recomendaciones en el rea de Seguridadde la informaci n.
informaci n.
y
. Garanti ar ue la informaci n no ser alterada, eliminada o destruida por . Asegurar ue los usuarios autori ados tendrn acceso a la
Di
ibili
informaci n cuando la requieran. En el ao 005 hubo cambios interesantes a nivel de ISO 17799 .
compaas se alineaban a la 17799:2000, pero luego se tena que certificar la norma BS 7799:2002 dado que ISO no haba reglamentado las caractersticas de un Sistema de Gesti n de Seguridad de la Informaci n. 27001.Entonces, el marco terico era la ISO/IEC 17799:2005 Informacin SGSI). a buena noticia es que a partir de ese ao se pudo certificar con la nueva norma ISO/IEC
principales:
1. Poltica de seguridad. 2. Aspectos organi ativos para la seguridad. . l asificacin control de activos. . Seguridad ligada al personal.
5. Seguridad fsica
8. Desarrollo
P gina 6
10.
onformidad.
7.
La versin de ISO/IE
del entorno.
i li
. Asegurar
Xa
`X i
f g f
YY
e v yv y xt wv ts u
q p
o k m
DERECHO INFORMTICO
Con estos cambios la ISO 17799:2005 incluye novedades importantes: 1. Se agrega un nuevo dominio (Administracin de incidentes de la seguridad de la informacin), es decir que a ora son 11 dominios. 2. Un marco terico ms fcil de aplicar, ya que cada dominio incluye el objetivo de control especfico, el marco de implementacin y un anexo de informacin adicional. El nmero total de controles suma 133 entre todas las secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias necesidades. Esto permite establecer un tablero de control ms simple e incluso auditarlo con COBIT. 3. Se an realizado actualizaciones tecnolgicas, ya que la ltima revisin era del ao 2002, y recordemos que un ao la tecnologa cambia bastante. Por ejemplo en el dominio que ace referencia al control de acceso (Dominio 7), se incluye los controles sobre redes inalmbricas y tecnologas similares que deben estar incluidas como controles en las polticas de seguridad. 4. Se a incluido un control sobre la entrega de servicios por terceras partes (Service Delivery). Si bien algo se mencionaba en la versin anterior, se an reformulado las definiciones. 5. Se a incluido un apartado sobre el aceptable uso de los activos. Recordemos que muc a s veces por implementar escenarios muy seguros, acemos imposible el uso del recurso para el usuario que debe accederlo.
. Se agrega un apartado sobre la gestin de riesgo. No olvidemos, que si bien toda compaa
debe tener un nivel de riesgo aceptado, la idea de la NORMA ISO 27001:2005 es definir el manejo de riesgo de la compaa. La seguridad total no existe, por lo tanto debemos tener definido como actuar ante una situacin especial. 7. Incluye referencias importantes con el manejo de contrasea. 8. En COBIT figuraba el manejo de cdigo fuente dentro los controles. Esta vez ISO a incluido ese manejo dentro de los dominios. 9. Se a agregado un apartado para el manejo de vulnerabilidades.
INGENIERA DE SISTEMAS
Pgina 7
p p
p p
DERECHO INFORMTICO
de los es
ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollopor ISO e IEC que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea; Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. ISO 27000: Publicada en mayo de 2009. Contiene la descripcin general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento ms claro de la serie y la relacin entre los diferentes documentos que la conforman. ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye aquellas empresas certificadas en esta ltima. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dic o anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. ISO Desde el 1 los de Julio como de ao de 2007, de control es y el nuevo Es una nombre gua de de ISO en a la BS 7799-2, abindose establecido unas condiciones de transicin para
27002:
17799:2005, prcticas
manteniendo describe
2005
edicin.
buenas
que
objetivos
controles
recomendables
cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. ISO 27003: En fase de desarrollo; su fec a prevista de publicacin era Mayo de 2009. Consistir en una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo BSI B de la norma BS7799-2 y en la serie de documentos publicados por implantacin. a lo largo de los aos con recomendaciones y guas de
INGENIERA DE SISTEMAS
Pgina 8
rv s
ut sr
dares ISO/IEC.
ARREA
DERE
O INFORM I O
gestin
del
riesgo
en
la
seguridad
generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. El conocimiento de los conceptos, modelos, pocesos r y trminos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo
sin
ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de la seguridad de la informacin. Es una versin revisada de EA7/03 acreditacin de entidades que operan certificacin/registro aade a ISO/IEC 17021
de
de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certficacin de ISO 27001, pero no es i una norma de acreditacin por s misma. ISO 27007: En fase de desarrollo; su fecha prevista de publicacin era Mayo de 2010. Consistir en una gua de auditora de un SGSI. ISO 27011: Publicada en Diciembre del 2008. Consiste en una gua de gestin de seguridad de la informacin especfica para telecomunicaciones, Internacional de elecomunicaciones). la I U
elaborada
conjuntamente
con
Unin
de
organi aciones
Implementar
Utili ar) del ciclo PDCA. de unio de 2008. Establece las directrices para la de la informa cin. Apoya los conceptos
por
ejemplo, fines de
comerciales, tienen la
agencias de
intencin
Pgina 9
x{
zx
yy
DERECHO INFORMTICO
ISO 27031: En fase de desarrollo; su fec a prevista de publicacin era Mayo de 2010. Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO 27032: En fase de desarrollo; su fec a prevista de publicacin era Febrero de 2009. Consistir en una gua relativa a la ciberseguridad. ISO 27033: En fase de desarrollo; su fec a prevista de publicacin es entre 2010 y 2011. Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en redes. Provendr de la revisin, ampliacin y re numeracin de ISO 18028. ISO 27034: En fase de desarrollo; su fec a prevista de publicacin era Febrero de 2009. Consistir en una gua de seguridad en aplicaciones. ISO 27799: Publicada el 12 de Junio de 2008. Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretacin y aplicacin en la salud informtica de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prcticas para la gestin de la salud y la seguridad de la informacin por organizaciones sanitarias y otros custodios mantener de de la la informacin sanitaria integridad se aplica vdeos (de ) y a y en y la base a garantizar de en un mnimo nivel necesario de seguridad apropiado para la organizacin y circunstancias que van a confidencialidad, disponibilidad informacin informacin salud sea medio en cual en ya personal todos sus fuere papel que el o la salud. ISO 27799:2008 sonoras, para de
aspectos y en cualquiera de sus formas, toma la informacin (palabras y nmeros, grabaciones medio electrnicos dibujos, imgenes impresin sea cual o mdicas), de el fuere utilizado almacenar escritura
almacenamiento
INGENIERA DE SISTEMAS
utilizado
para
Pgina 10
DERECHO INFORMTICO
En C ile, se emple la ISO/IEC 17799:2005 para crear una norma que establece las caractersticas mnimas obligatorias de seguridad y confidencialidad que deben cumplir los documento electrnicos de los rganos de la Administracin del Estado de la Repblica de C ile, y cuya aplicacin se recomienda para los mismos fines, denominado Decreto Supremo No. 83, "NORMA TCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRNICO".
INGENIERA DE SISTEMAS
Pgina 11
DERECHO INFORMTICO
CONCLUSIONES
Como todo estndar, el ISO 17799 proporciona un marco ordenado de trabajo al cual deben sujetarse todos los integrantes de la organizacin, y aunque no elimina el cien por ciento de los problemas de seguridad, s establece una valoracin de los riesgos a los que se enfrenta una organizacin en materia de seguridad de la informacin. Dic a valoracin permite administrar los riesgos en funcin de los recursos tecnolgicos y umanos con los que cuenta la organizacin; adicionalmente, establece un entorno que
identifica los problemas de seguridad en tiempos razonables, situacin que no es posible, la mayora de las veces, si no se cuenta con controles de seguridad como los establecidos en el ISO 17799, es decir, la aplicacin del estndar garantiza que se podrn detectar las violaciones a la seguridad de la informacin, situacin que no necesariamente ocurre en caso de no aplicarse el estndar.
INGENIERA DE SISTEMAS
Pgina 12
DERECHO INFORMTICO
FUENTES DE INFORMACIN
WEBGRAFA:
y y y y y
INGENIERA DE SISTEMAS
ttp://www.scribd.com/doc/2023909/manual-de-politicas-y-normas-de-seguridad-
informatica
Pgina 13