ASI25

AUDITORA Y SEGURIDAD INFORMACIN
NDICE SEGURIDAD
INTRODUCCIN
ANLISIS Y GESTIN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIN SEGURIDAD DE TI EN LA TECNOLOGA
MARCO NORMATIVO
MARCO LEGISLATIVO
MARCO NORMATIVO
PANORMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TI
(Amutio, 2007)
Necesidad/obligacin de demostrar que se realiza una gestin competente, efectiva y continua de la seguridad en el marco de los riesgos detectados y de que se han adoptado aquellas medidas adecuadas y proporcionadas a los riesgos a los que est expuesta la organizacin
Conjunto articulado, sistemtico, estructurado, coherente y lo ms completo posible de normas
MARCO NORMATIVO
ORGANISMOS DE NORNALIZACIN Internacionales: ISO/IEC/UIT-T
Europeos: CEN/CENELEC/ETSI
Americano: COPANT
Espaol: AENOR
MARCO NORMATIVO
Amutio (2007) ISO/IEC JTC1/SC27

La identificacin de requisitos genricos, incluyendo requisitos metodolgicos de los servicios de seguridad para los sistemas de TSI. El desarrollo de tcnicas y mecanismos de seguridad, incluyendo los procedimientos de registro y las relaciones de los componentes de seguridad. El desarrollo de guas de seguridad y documentos interpretativos. El desarrollo del soporte a la gestin, documentacin y normas, incluyendo por ejemplo, terminologa y criterios de evaluacin.
La normalizacin de algoritmos criptogrficos para los servicios de integridad, autenticacin y no repudio; as como la normalizacin de algoritmos criptogrficos de los servicios de confidencialidad para ser utilizados conforme a las polticas internacionalmente aceptadas.
MARCO NORMATIVO
Amutio (2007)
ISO/IEC JTC1/SC27
GT1: requisitos, servicios de seguridad y guas. Identificacin de los requisitos de los componentes de aplicaciones y sistemas; de desarrollar normas para los servicios de seguridad; de desarrollar soporte interpretativo y, en general, de los aspectos relacionados con los sistemas de gestin de seguridad de la informacin. GT2: mecanismos y tcnicas de seguridad. Mecanismos relacionados con la autenticacin, el control de acceso, la confidencialidad, el no repudio, la gestin de claves y la integridad de los datos; as como de tcnicas criptogrficas o no criptogrficas. GT3: criterios de evaluacin de la seguridad. Evaluacin de la seguridad de los productos y sistemas de tecnologas de la informacin. Se distinguen fundamentalmente los criterios de evaluacin de la seguridad y la metodologa para la aplicacin de los citados criterios.
MARCO NORMATIVO
Amutio (2007) ISO/IEC JTC1/SC27

GT4: Servicios y controles de seguridad. Normas y recomendaciones para servicios y aplicaciones sobre los que se implantan controles y se logran los objetivos definidos por las especificaciones del sistema de gestin de seguridad de la informacin; tambin se ocupa de la identificacin de requisitos para la elaboracin de normas sobre continuidad de negocio, cyber-seguridad y subcontratacin. GT5: Gestin de identidad y privacidad. Gestin de la identidad de las personas, proteccin de datos personales y tcnicas biomtricas aplicadas a este mbito. Adems, se ocupa de identificar requisitos para el desarrollo de normas en materia de control de acceso.
MARCO NORMATIVO
Amutio (2007)
MARCO NORMATIVO
ORGANISMOS DE NORNALIZACIN Internacionales: ISO/IEC/UIT-T
Europeos: CEN/CENELEC/ETSI
Americano: COPANT
Espaol: AENOR
MARCO NORMATIVO
NORMAS MS RELEVANTES UNE 71501 (IS 13335), guas para la gestin de la seguridad de las TI IS 15408, criterios comunes para la evaluacin de la seguridad de las TI
Serie 27000
ISO/IEC 21827: 2002 Systems Security Engineering Capability Maturity Model (SSE-CMM)
MARCO NORMATIVO
UNE 71501, guas para la gestin de la seguridad de las TI

UNE 71501 -1 (TR 13335-1): Visin bsica de conceptos y modelos usados para describir la gestin de la seguridad de TI dirigida a los responsables de seg. UNE 71501 -2 (TR 13335-2): Planificacin y gestin de la seguridad de TI para directivos responsables de desarrollo y uso de SI UNE 71501 -3 (TR 13335-3): Tcnicas de seguridad para implicados en actividades de gestin durante CV UNE 71501 -4 (TR 13335-4): Seleccin de salvaguardas tcnicas y organizativas en entorno no abierto UNE 71501 -5 (TR 13335-5): Seleccin de salvaguardas en entorno abierto a redes externas
MARCO NORMATIVO
IS 15408: criterios comunes para la evaluacin de la seguridad de las TI
Baon (2003) Regula la evaluacin objetiva, repetible y comparable de las propiedades de seguridad de productos y sistemas de informacin. Supone:
Un acuerdo internacional sobre los requisitos exigibles al
mtodo de desarrollo y sobre siete niveles discretos de esfuerzo en el desarrollo, que incluye la especificacin del trabajo de los evaluadores en cada nivel Un catlogo coherente y relacionado de funciones de seguridad que permiten establecer un lenguaje comn para la expresin de la seguridad de los productos
MARCO NORMATIVO
IS 15408
15408 -1: Define conceptos, procesos y paradigmas utilizados

15408-2: Define el catlogo funcional con notas aclaratorias a su aplicacin 15408-3: Define el modelo de desarrollo seguro, los siete niveles de esfuerzo y las acciones de evaluacin correspondientes
MARCO NORMATIVO
Criterios comunes y su certificacin Jimnez (2003)
- Son de aplicacin a las medidas de seguridad de TI implementadas en Hw, Fw o Sw.

- Son ajenos a su finalidad: - Medidas de seguridad de tipo administrativo - Control de radiaciones electromagnticas - La metodologa de evaluacin y el marco administrativo y legal bajo el cual se pueden aplicar - Los procedimientos para el uso de los resultados de la evaluacin en la acreditacin - Criterios para la valoracin de las cualidades inherentes de los algoritmos criptogrficos
MARCO NORMATIVO
Numeracin 27000 27001 27002
Estado de situacin En proyecto: Information security management fundamentals and vocabulary. ISO/IEC IS 27001:2005 Information technology Security techniques - Information security management systems. Norma disponible desde el 14 de octubre de 2005. ISO/IEC IS 17799:2005 Information technology Security techniques Code of practice for information security management. Norma disponible desde el 10 de junio de 2005. La numeracin '27002' entra en vigor en abril de 2007. En proyecto: Information security management system implementation guidance. En proyecto: Information technology Security techniques - Information security management measurements. En proyecto: Information Security Risk Management. En proyecto: Requirements for the accreditation of bodies providing certification of information security management systems. En reserva. En reserva. En reserva.
27003 27004 27005 27006 27007 27008 27009
MARCO NORMATIVO
reas Riesgos Poltica Organizacin de la seguridad de la informacin Gestin de activos Recursos humanos Entorno fsico Communicaciones y gestin de explotacin Control de acceso Adquisicin y mantenimiento Gestin de incidents Gestin de la continuidad Conformidad
Proyectos, normas e informes tcnicos 27005 27000, 27001, 17799 27001, 17799 27005, 15816 18028-1, 18028-2, 18028-3, 18028-4, 18028-5 14516, 15816, 15945 15945 15947, 18043, 18044 24762 13335-2
MARCO NORMATIVO
ISO 27001
(Garca, 2007)
Sistemas de Gestin de la Seguridad de la Informacin

Ante el mercado: Favorece su desarrollo Afianza la posicin de la organizacin Potencia la imagen de marca Constituye un factor competitivo respecto a la competencia Permite superar barreras tcnicas
MARCO NORMATIVO
ISO 27001
(Garca, 2007)
Ante los clientes: Fidelizacin y captacin de nuevos clientes gracias a la garanta que se ofrece en la prestacin de servicios Se mejora la comunicacin con el cliente Mayor confianza al cliente (empresas, particulares, etc) Aumento de la satisfaccin del cliente (empresas, particulares, etc)
Ante la gestin de la organizacin: Conocimiento y depuracin de los procesos internos Mejora de los procesos y de los servicios prestados Ahorro de tiempo y de recursos necesarios Mejor gestin de los recursos Estmulo para entrar en un proceso de mejora continua
MARCO NORMATIVO
Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organizacin. Especifica los requisitos para la implantacin de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas
MARCO NORMATIVO
MARCO NORMATIVO
Establecimiento y gestin del SGSI

- definir el alcance del sistema de gestin, - definir la poltica del SGSI - definir la metodologa para la valoracin del riesgo - identificar los riesgos - elaborar un anlisis y evaluacin de dichos riesgos
- identificar los diferentes tratamientos del riesgo - seleccionar los controles y objetivos de los mismos que posibilitarn dicho tratamiento.
MARCO NORMATIVO
Implantacin y puesta en marcha del SGSI

- preparar un plan de tratamiento del riesgo
- implantar los controles que se hayan seleccionado

- medir la eficacia de dichos controles - crear programas de formacin y concienciacin
MARCO NORMATIVO
Control y evaluacin del SGSI

- implantar una serie de procedimientos para el control y la revisin - puesta en marcha de una serie de revisiones regulares sobre la eficacia del SGSI, a partir de los resultados de las auditoras de seguridad y de las mediciones - tomar las medidas correctivas y preventivas
MARCO NORMATIVO
ISO 27004
(Llaneza, 2007) El Proyecto de Norma 27004 contiene tcnicas para medir el comportamiento de los controles implantados en atencin a un anlisis de riesgos previo Objetivos del proceso de medida:
Evaluar la eficacia de la implantacin de los controles de seguridad. Evaluar la eficacia del sistema de gestin de seguridad de la informacin incluyendo la mejora continua. Proporcionar un estado de seguridad para dirigir la revisin de la gestin, facilitar las mejoras de la seguridad y contribuir a auditoras de seguridad. Comunicar el valor de la seguridad a la organizacin. Servir como aportacin al plan de tratamiento de riesgos y de evaluacin de riesgos.
MARCO NORMATIVO
SGSI
Objetivo de Control Efectividad
Resultado
Criterio de Deci sin
Control
Indicador Modelo Analtico
Implementacin
Medida Derivada
Funcin de Medicin Entidad atributo atributo atributo Mtodo de Medida Medida Base
MARCO NORMATIVO
Prepararse para las medidas Requisitos de negocio Poltica de Seguridad Gestin de Riesgo Seleccin de Control
Mejoras - Identificar mejoras - Redefinir controles - Actualizar medidas
Plan
Establecer SGSI
Partes Interesadas Do
Implementar y Manejar el SGSI Mantener y Mejorar el SGSI
Partes Interesadas Act
Monitorizar y Revisar el SGSI
Check
Informacin de Requisitos de Seguridad y Expectativas Definir Medidas - Identificar los requisitos de negocio para medir e informar - Determinar las medidas de efectividad requeridas para los controles elegidos
Recoger y analizar datos - Medidas de control - Conciencia Evaluar e informar de los resultados - Supervisar - Auditar - Medir
Informacin de Seguridad Gestionada
MARCO NORMATIVO
Desarrollo de una medida

Identificar los controles y objetivos de control que fueron seleccionados como resultado del anlisis de riesgos, como se describe en la ISO/IEC 27001. Establecer prioridades entre controles y objetivos de control seleccionados con base en los siguientes criterios:

Los requisitos de los stakeholders. La poltica de seguridad de la informacin de la organizacin. La informacin necesaria para satisfacer los requisitos legales, regulatorios y contractuales. La relacin coste-beneficio del rendimiento de cada control individual u objetivo de control.
Seleccionar los controles y objetivos de control especficos a incluir en el programa de medicin segn las prioridades identificadas.
MARCO NORMATIVO
Mtodos de medicin
Auditoras internas o externas. Evaluacin de riesgos y anlisis de riesgos. Cuestionarios y preguntas. Utilizacin del registro de acontecimientos. Produccin de registros, informes y pistas de auditora. Informes de incidentes Muestras estadsticas. Pruebas.
MARCO NORMATIVO
Participantes o stakeholders involucrados en cada medida, El propietario de la informacin y medida El cliente El recolector El comunicador El revisor
MARCO NORMATIVO
Criterios para medidas vlidas

- Estratgica - Cuantitativa - Razonable - Interpretativa - Verificable
- Evolutiva - til - Indivisible y bien definida - Repetible
MARCO NORMATIVO
ISO 17799/27002
(Prats, 2007) La norma ISO 17799 es un conjunto de recomendaciones sobre qu medidas tomar en la empresa para asegurar los Sistemas de Informacin. Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las reas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestin del riesgo analizado.
MARCO NORMATIVO
MARCO NORMATIVO
ANLISIS Y GESTIN DE RIESGOS

Realizar un Anlisis de Riesgos formal en la organizacin. Realizar el Anlisis de Riesgos en base a una metodologa documentada y aprobada formalmente. El Anlisis de Riesgos debe contemplar los activos, vulnerabilidades, las amenazas, los impactos y la evaluacin del riesgo. Incluir en el anlisis de riesgos todos los activos incluidos en el alcance del SGSI y considerar las relaciones externas. Aprobar por la direccin los riesgos residuales.
Establecer criterios formales para clasificar el riesgo. Establecer una clasificacin de riesgos y aprobar por la direccin las decisiones sobre cada uno de ellos (asumir, reducir, eliminar o transferir). Los riesgos deben quedar a un nivel aceptado por la direccin. Tener en cuenta principios de proporcionalidad en la seleccin de controles considerando todos los costes asociados. Cada control debe tener asociada una forma objetiva de verificar su eficacia.
MARCO NORMATIVO
POLTICA DE SEGURIDAD
Documento
de Poltica de Seguridad de la Informacin. Revisin de la Poltica de Seguridad de la Informacin.
MARCO NORMATIVO
ORGANIZACIN DE LA SEGURIDAD
Organizacin interna
Comisin de gestin para la Seguridad de la Informacin. Coordinacin de la Seguridad de la Informacin. Asignacin de responsabilidades sobre Seguridad de la Informacin. Proceso de autorizacin de recursos para el tratamiento de la informacin. Acuerdos de confidencialidad. Contactos con autoridades. Contactos con grupos de inters. Revisin Independiente de la Seguridad de la Informacin.
MARCO NORMATIVO
ORGANIZACIN DE LA SEGURIDAD
Partes externas Identificacin de riesgos relacionados con terceros. Seguridad en las relaciones con clientes.
Seguridad en contratos con terceras partes.
MARCO NORMATIVO
GESTIN DE ACTIVOS
Responsabilidad de los activos Inventario de activos. Propiedad de los activos. Uso aceptable de activos de informacin
MARCO NORMATIVO
GESTIN DE ACTIVOS
Clasificacin de la informacin
Guas de clasificacin.
Marcado y tratamiento de la informacin.
MARCO NORMATIVO
RECURSOS HUMANOS
Antes de la contratacin
Perfiles y responsabilidad Revisin y verificacin Trminos y condiciones de la relacin laboral
Durante la contratacin
Gestin de responsabilidades Educacin y capacitacin en seguridad de la informacin Procesos disciplinarios
A la finalizacin del contrato

Responsabilidades en la finalizacin Devolucin de activos Retirada de los derechos de acceso
MARCO NORMATIVO
SEGURIDAD FSICA
reas seguras
Permetro de seguridad fsica

Controles fsicos de accesos Seguridad de oficinas, despachos y recursos Proteccin ante amenazas externas y de entorno
El trabajo en las reas de seguridad

Acceso y salida pblica y Zonas de carga y
MARCO NORMATIVO
SEGURIDAD FSICA
Seguridad de los equipos
Localizacin y proteccin del Equipamiento

Suministros Seguridad del cableado
Mantenimiento de equipos
Seguridad de equipos fuera de los locales de la Organizacin
Seguridad en la reutilizacin o eliminacin de equipos

Salida de propiedades
MARCO NORMATIVO
GESTIN DE COMUNICACIONES Y OPERACIONES

Procedimientos y responsabilidades
Documentacin de procedimientos operativos

Gestin de cambios
Segregacin de tareas
Separacin de entornos de desarrollo, pruebas y operacin
MARCO NORMATIVO

Gestin de la externalizacin
Prestacin de servicios
Monitorizacin y revisin de servicios de terceras partes Gestin de cambios
MARCO NORMATIVO

Planificacin y aceptacin
Planificacin de capacidades Aceptacin de Sistemas
Control contra cdigo malicioso y cdigo mvil

Control contra cdigo malicioso Control contra cdigo mvil
Copias de seguridad
Copia de la informacin
MARCO NORMATIVO

Gestin de la seguridad de red
Controles de redes Seguridad en servicios de red
Gestin de soportes
Gestin de soportes removibles Eliminacin de soportes Procedimientos de utilizacin de la informacin Seguridad de la documentacin de sistemas
MARCO NORMATIVO

Intercambio de informacin
Polticas y procedimientos para intercambio de informacin Acuerdos para intercambio Seguridad de soportes en trnsito Seguridad de la mensajera electrnica Sistemas de informacin de negocio
Servicios de comercio electrnico

Comercio electrnico Transacciones online
MARCO NORMATIVO

Monitorizacin
Registros de auditora
Revisin de uso de sistemas Proteccin de logs Logs de administradores y operadores Logs de fallo del sistema Sincronizacin de relojes
MARCO NORMATIVO
CONTROL DE ACCESO
Requerimientos del negocio para el control de accesos Poltica de control de accesos
Gestin de accesos de usuario
Registro de usuarios Gestin de privilegios Gestin de contraseas de usuario Revisin de los derechos de acceso de los usuarios
MARCO NORMATIVO
CONTROL DE ACCESO
Responsabilidades de los usuarios
Uso de contraseas Equipamiento informtico de usuario desatendido Poltica de pantallas y mesas limpias
Control de accesos en red

Poltica de uso de los servicios de red Autenticacin para conexiones externas Identificacin de equipos en la red Proteccin a puertos de diagnstico remoto y configuracin Segregacin en las redes Control de conexin a las redes Control de enrutamiento en red
MARCO NORMATIVO
CONTROL DE ACCESO
Control de accesos al sistema operativo
Procedimientos de log-on seguro Identificacin y autenticacin de los usuarios Sistema de gestin de contraseas Utilizacin de utilidades del sistema Timeout de sesiones
Limitacin del tiempo de conexin
Control de acceso a la informacin y aplicaciones

Restriccin de acceso a la informacin Aislamiento de sistemas sensibles
MARCO NORMATIVO
CONTROL DE ACCESO
Porttiles y teletrabajo
Informtica mvil y comunicaciones

Teletrabajo
MARCO NORMATIVO
COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Requerimientos de seguridad de los sistemas Anlisis y especificacin de los requerimientos de seguridad
Procesamiento correcto de aplicaciones Validacin de los datos de entrada Control de proceso interno Integridad de mensajes Validacin de los datos de salida
MARCO NORMATIVO

Controles criptogrficos Poltica de uso de los controles criptogrficos Gestin de claves
Seguridad de los ficheros del sistema Control del software en explotacin Proteccin de los datos de prueba del sistema Control de acceso al cdigo fuente
MARCO NORMATIVO

Seguridad en los procesos de desarrollo y soporte Procedimientos de cambios operacionales Revisin tcnica de aplicaciones tras cambios del sistema operativo Restriccin de cambios a paquetes de software Fugas de informacin Desarrollo externalizado Gestin de vulnerabilidades Control de vulnerabilidades tcnicas
MARCO NORMATIVO
GESTIN DE INCIDENTES DE SEGURIDAD

Comunicacin de eventos y debilidades de seguridad
Notificacin de eventos de seguridad Notificacin de debilidades

Gestin de incidentes y mejora de seguridad Responsabilidad y procedimientos Aprendiendo de los incidentes Recoleccin de evidencias
MARCO NORMATIVO
GESTIN DE LA CONTINUIDAD DE NEGOCIO

Aspectos de la seguridad de la informacin en la gestin de la continuidad del negocio Aspectos de la gestin de la continuidad de negocio Inclusin de seguridad en el proceso de gestin de continuidad de negocio Continuidad del negocio y anlisis de riesgos Redaccin e implantacin de planes de continuidad incluida la seguridad de la informacin Marco de planificacin de la continuidad del negocio Prueba, mantenimiento y reevaluacin de los planes de continuidad
MARCO NORMATIVO
CONFORMIDAD LEGAL
Cumplimiento de los requerimientos de seguridad
Identificacin de la legislacin aplicable Derechos de propiedad intelectual Salvaguarda de los registros de la organizacin Proteccin de datos de carcter personal y de la intimidad de las personas Evitar el mal uso de los recursos de tratamiento de informacin Reglamentacin de los controles de cifrado
MARCO NORMATIVO
CONFORMIDAD LEGAL
Conformidad con polticas, estndares y cumplimiento tcnico Controles de auditora de sistemas de informacin Proteccin de las herramientas de auditora de sistemas de informacin
MARCO NORMATIVO
ISO/IEC 21827: 2002 Systems Security Engineering Capability Maturity Model (SSE-CMM)
MARCO NORMATIVO
SCOPE
The SSE-CMM addresses security engineering activities that span

the entire trusted product or secure system life cycle, including concept definition, requirements analysis, design, development, integration, installation, operations, maintenance, and decommissioning. The SSE-CMM applies to secure product developers, secure system developers and integrators, and organizations that provide security services and security engineering. The SSE-CMM applies to all types and sizes of security engineering organizations, such as commercial, government, and academic.
MARCO NORMATIVO
SYSTEMS SECURITY ENGINEERING PROCESS AREAS PA01 Administer Security Controls PA02 Assess Impact PA03 Assess Security Risk PA04 Assess Threat PA05 Assess Vulnerability PA06 Build Assurance Argument PA07 Coordinate Security PA08 Monitor Security Posture PA09 Provide Security Input PA10 Specify Security Needs PA11 Verify and Validate Security
MARCO NORMATIVO
PROCESS AREAS RELATED TO PROJECT AND ORGANIZATIONAL PRACTICES PA12 Ensure Quality PA13 Manage Configuration PA14 Manage Project Risk PA15 Monitor and Control Technical Effort PA16 Plan Technical Effort PA17 Define Organizations Systems Engineering Process PA18 Improve Organizations Systems Engineering Process PA19 Manage Product Line Evolution PA20 Manage Systems Engineering Support Environment PA21 Provide Ongoing Skills and Knowledge PA22 Coordinate with Suppliers
MARCO NORMATIVO
Level 1
1.1 Base Practices are Performed
Level 2
2.1 Planning Performance 2.2 Disciplined Performance 2.3 Verifying Performance 2.4 Tracking Performance
Level 3
3.1 Defining a Standard Process 3.2 Perform the Defined Process 3.3 Coordinate the Process
Level 4
4.1 Establishing Measurable Quality Goals 4.2 Objectively Managing Performance
Level 5
5.1 Improving Organizational Capability 5.2 Improving Process Effectiveness

ASI25

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ASI25

Cargado por

Copyright:

Formatos disponibles

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN

PANORMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TI

Conjunto articulado, sistemtico, estructurado, coherente y lo ms completo posible de normas

AUDITORA Y SEGURIDAD INFORMACIN

ORGANISMOS DE NORNALIZACIN Internacionales: ISO/IEC/UIT-T

AUDITORA Y SEGURIDAD INFORMACIN

Amutio (2007) ISO/IEC JTC1/SC27

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN

Amutio (2007) ISO/IEC JTC1/SC27

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN

ORGANISMOS DE NORNALIZACIN Internacionales: ISO/IEC/UIT-T

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN

UNE 71501, guas para la gestin de la seguridad de las TI

AUDITORA Y SEGURIDAD INFORMACIN

IS 15408: criterios comunes para la evaluacin de la seguridad de las TI

AUDITORA Y SEGURIDAD INFORMACIN

15408 -1: Define conceptos, procesos y paradigmas utilizados

AUDITORA Y SEGURIDAD INFORMACIN

Criterios comunes y su certificacin Jimnez (2003)

- Son de aplicacin a las medidas de seguridad de TI implementadas en Hw, Fw o Sw.

AUDITORA Y SEGURIDAD INFORMACIN

Numeracin 27000 27001 27002

27003 27004 27005 27006 27007 27008 27009

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN

Sistemas de Gestin de la Seguridad de la Informacin

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN

Establecimiento y gestin del SGSI

AUDITORA Y SEGURIDAD INFORMACIN

Implantacin y puesta en marcha del SGSI

- implantar los controles que se hayan seleccionado

AUDITORA Y SEGURIDAD INFORMACIN

Control y evaluacin del SGSI

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN

Criterio de Deci sin

Indicador Modelo Analtico

AUDITORA Y SEGURIDAD INFORMACIN

Mejoras - Identificar mejoras - Redefinir controles - Actualizar medidas

Partes Interesadas Act

Monitorizar y Revisar el SGSI

Informacin de Seguridad Gestionada

AUDITORA Y SEGURIDAD INFORMACIN

Desarrollo de una medida

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN

Criterios para medidas vlidas

- Evolutiva - til - Indivisible y bien definida - Repetible

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN

ANLISIS Y GESTIN DE RIESGOS

AUDITORA Y SEGURIDAD INFORMACIN

de Poltica de Seguridad de la Informacin. Revisin de la Poltica de Seguridad de la Informacin.

AUDITORA Y SEGURIDAD INFORMACIN

AUDITORA Y SEGURIDAD INFORMACIN