Publicidad
Publicidad
Publicidad
Publicidad
Próximo SlideShare
Norma iso 17799
Norma iso 17799Cargando en ... 3
norma iso 17799
15 de Dec de 2012•0 recomendaciones•21,282 vistas
3 recomendaciones
Sé el primero en que te guste
ver más
vistas
Total de vistas
0
En Slideshare
0
De embebidos
0
Número de embebidos
0
Descargar para leer sin conexión
Denunciar
Laura Miranda DominguezSeguir
Docente de Informatica en Instituto Tecnico Jose Castro LopezPublicidad
norma iso 17799
- 1 Asignatura Auditoria y seguridad de sistemas Catedrático: Ing. Edw yn sanders rivera Presentado por: Laura Edelmira Miranda Domínguez San Pedro Sula, 13 de Diciembre de 2012
- Contenido: Artículo I. Objetivos .................................................................................................................................... 3 Sección 1.01 Objetivos generales............................................................................................................ 3 Sección 1.02 Objetivos Específicos ........................................................................................................ 3 Artículo II. Introducción ............................................................................................................................... 4 Artículo III. METODOLOGIA .................................................................................................................. 5 2 Artículo IV. OBJETIVO DE LA NORMA ISO 17799.............................................................................. 6 Artículo V. AREAS DE CONTROL DE SEGURIDAD .......................................................................... 6 Artículo VI. Estructura de la norma iso 17799 (Dominios de control) ..................................................... 8 Sección 6.01 POLÍTICA DE SEGURIDAD ........................................................................................... 8 Sección 6.02 ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD ............................................ 8 Sección 6.03 CLASIFICACIÓN Y CONTROL DE ACTIVOS ............................................................. 9 Sección 6.04 SEGURIDAD LIGADA AL PERSONAL ........................................................................ 9 Sección 6.05 SEGURIDAD FÍSICA Y DEL ENTORNO ...................................................................... 9 Sección 6.06 GESTIÓN DE COMUNICACIONES Y OPERACIONES............................................... 9 Artículo VII. VENTAJAS PARA LA ADOPCION DE LA NORMA ISO 17799 .................................. 10 Artículo VIII. ORIENTACION DE LA NORMA ISO 17799 ................................................................... 10 Artículo IX. Implementar un Sistema ISO 17799 .................................................................................... 10 Artículo X. ISO 17799 y Requisitos Reglamentarios ............................................................................. 11 Artículo XI. Certificación al ISO 17799 .................................................................................................. 12 Sección 11.01 ¿Qué quiere decir estar certificado al ISO 17799? ...................................................... 12 Artículo XII. Conclusiones ........................................................................................................................ 13 Artículo XIII. RECOMENDACIONES ...................................................................................................... 14 Sección 13.01 ¿Dónde puedo saber más acerca de implementar el ISO 17799? ................................ 14 Sección 13.02 ¿Qué es lo siguiente que debo hacer? ¿Dónde puedo encontrar más información? ¿Quién me puede ayudar? ......................................................................................................................... 14 Artículo XIV. Bibliografía .......................................................................................................................... 15 Artículo XV. Apéndice .............................................................................................................................. 16 Artículo XVI. Anexo ................................................................................................................................... 17 Sección 16.01 Historia de la Norma ISO 17799 ................................................................................. 17 Sección 16.02 Una auditoría ISO 17799 proporciona información precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles. ..... 17
- Artículo I. Objetivos 3 Conocer los fundamentos de la Norma internacional ISO 17799 para gestión de la seguridad de la información. Analizar los objetivos de la Norma internacional ISO 17799. Enumerar las áreas de control de seguridad que abarca la Norma internacional ISO 17799. Identificar la estructura de la Norma internacional ISO 17799. Enumerar las ventajas que presenta la aplicación de la Norma internacional ISO 17799. Plantear el tipo de metodología utilizada para el desarrollo del tema.
- Artículo II. Introducción La Norma ISO 17799 es la norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. 4 Existen multitud de estándares aplicables a diferentes niveles pero ISO 17799 como estándar internacional, es el más extendido y aceptado. La Norma ISO 17799 es el Sistema de Gestión de Seguridad de la Información (Informational Security Management Systems, ISMS) reconocido internacionalmente. El ISO 17799 proporciona un amplio concepto de lo que un ISMS puede hacer para proteger la información de una organización. La norma define a la información como un activo que tiene valor en una organización; y como todos los activos, es imperativo mantener su valor para el éxito de una organización. El ISO 17799 es una norma del Sistema de Gestión de Seguridad de la Información, reconocida internacionalmente. Proporciona las pautas para la implementación basada en las sugerencias que deben ser consideradas por una organización para poder construir un programa comprensivo de gestión de seguridad de la información.
- Artículo III. METODOLOGIA La metodología utilizada para la elaboración del presente informe fue Tema de Investigación. La metodología aclara –en forma muy detallada– los pasos y procedimientos utilizados para llevar a cabo la investigación. 5 Esta metodología incluye la descripción de: a) El tipo y modalidad de investigación que se usará para alcanzar la meta propuesta en el objetivo general –los verbos seleccionados indican los alcances y enfoques de la investigación. • Justifique las razones por las que se ha seleccionado esa forma de acercamiento al objeto de estudio y no otra. b) Las fuentes de investigación documental que se revisaran: reportes de investigación, libros, revistas, manuales, Internet, entre otros. c) Si hay necesidad de trabajo de campo, indicar las técnicas a utilizar: cuestionarios, entrevistas, observaciones in situ, etc.
- Artículo IV. OBJETIVO DE LA NORMA ISO 17799 Proporcionar una base para desarrollar normas de seguridad dentro de las 6 Organización Establece transacciones y Método de gestión OBJETIVO relaciones de eficaz de la seguridad confianza entre empresas Aplicable a todo tipo de organizacion Artículo V. AREAS DE CONTROL DE SEGURIDAD Los fundamentos de un buen sistema de gestión de seguridad de la información; eso son las 10 áreas de control de seguridad. Estas áreas de control son las categorías amplias de controles. Cada área tiene objetivos de controles y controles existentes.
- 1. Política de Seguridad: La política documentada ayuda a proyectar las metas de seguridad de la información de una organización. Debe estar claramente redactada y comprensible para sus lectores. La política ayuda a la administración con el manejo de la seguridad de la información a través de la organización. 2. Seguridad Organizacional: Este control de seguridad delimita cómo la alta administración puede dirigir la implementación de seguridad de la información dentro de una organización. Proporciona un foro para revisar y aprobar las políticas de seguridad y asignar los roles de seguridad. 3. Clasificación y Control de Activos: Administrar los activos físicos e intelectuales que son 7 importantes para mantener las protecciones apropiadas. Determina la responsabilidad de quién es dueño de qué activo de la organización. 4. Seguridad del Personal: La evaluación y asignación de las responsabilidades de seguridad de los empleados permite una administración de recursos humanos más efectiva. Las responsabilidades de la seguridad deben ser determinadas durante el reclutamiento de todo el personal y durante toda la propiedad del empleado en la compañía. 5. Seguridad Física y Ambiental: Asegurar las áreas físicas y los ambientes de trabajo dentro de la organización contribuye significativamente a la administración de la seguridad de la información. Cualquier persona que se relaciona con su establecimiento físico, así sean los empleados, proveedores o clientes, tienen un papel enorme en determinar la protección de seguridad organizacional. 6. Administración de Comunicaciones y Operaciones: Transmitir claramente las instrucciones de seguridad a los empleados ayuda a administrar las operaciones diarias de los recursos de procesamiento de información. 7. Control de Acceso: Administrar los niveles de acceso de todos los empleados ayuda a controlar la seguridad de la información en una organización. Controlar niveles de acceso a la red puede llegar a ser un factor crítico de éxito cuando se protegen los sistemas de documentación o información en la red. 8. Desarrollo y Mantenimiento de Sistemas: La administración de la seguridad es imperativa en el desarrollo, mantenimiento y operación exitosa de un sistema de información. 9. Administración de la Continuidad de Negocios: Al utilizar los controles de seguridad contra desastres naturales, interrupciones operacionales y fallas potenciales de seguridad ayuda a fomentar la continuidad de funciones del negocio. 10. Observancia.- El uso de asesores legales se está volviendo más importante para asegurar la observancia de una organización con las obligaciones contractuales, la ley y requisitos de seguridad.
- Artículo VI. Estructura de la norma ISO 17799 (Dominios de control) 8 Dirigir y dar soporte a la gestión de la seguridad de la información. • La alta dirección debe definir una política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la información. • La política se constituye en la base de todo el sistema de seguridad de la información. • La alta dirección debe apoyar visiblemente la seguridad de la información en la compañía. Gestionar la seguridad de la información dentro de la organización. Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros. Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización. • Debe diseñarse una estructura organizativa dentro de la compañía que defina las responsabilidades que en materia de seguridad tiene cada usuario o área de trabajo relacionada con los sistemas de información de cualquier forma. • Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente técnicos.
- Mantener una protección adecuada sobre los activos de la organización. Asegurar un nivel de protección adecuado a los activos de información. • Debe definirse una clasificación de los activos relacionados con los sistemas de información, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de protección adecuado a su criticidad en la organización. 9 Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo. Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos. Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización. Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización. Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información. Asegurar la operación correcta y segura de los recursos de tratamiento de información. Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la información. Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación. Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo. Evitar daños a los activos e interrupciones de actividades de la organización. Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.
- Artículo VII. VENTAJAS PARA LA ADOPCION DE LA NORMA ISO 17799 Aumento de la seguridad efectiva de los sistemas de información. Correcta planificación y gestión de la seguridad. Garantías de continuidad del negocio Mejora continua a través del proceso de auditoría interna. Incremento de los niveles de confianza de los clientes y socios de negocios. 10 Artículo VIII. ORIENTACION DE LA NORMA ISO 17799 La norma ISO 17799 no es una norma tecnológica. La seguridad de la información es un asunto que compete a la alta gerencia no al área tecnológica, por lo cual es un asunto empresarial. La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios. Artículo IX. Implementar un Sistema ISO 17799 Una compañía debe empezar definiendo una aproximación a la evaluación de riesgo. Durante este acercamiento, se debe llevar a cabo una revisión de todas las violaciones potenciales de seguridad. Esto no debe relacionarse solamente a los sistemas de TI, sino que debe abarcar toda la información delicada dentro de su organización. Las técnicas que se utilizan en una evaluación de riesgo son las siguientes: 1. Identificar los riesgos de los activos físicos e informativos de su compañía.
- 2. Evaluar los riesgos identificados en todas las áreas de control de seguridad. 3. Identificar y evaluar opciones para el tratamiento de riesgos y tomar acción para administrar y manejar los riesgos apropiadamente. 4. Seleccionar un sistema de controles con eficiencia de costos y con objetivos que son apropiados para administrar y tratar los riesgos. 5. Preparar una Declaración de Aplicación. Este documento presenta objetivos de control, controles seleccionados y liga los resultados de evaluación de riesgos y procesos de 11 tratamiento de riesgos. Una vez que la aproximación de la evaluación de riesgo ha sido establecida, el próximo paso que se debe tomar para implementar el ISO 17799 es llevar a cabo una auditoria interna. La aproximación a la evaluación de riesgo debe ser parte de un programa de auditoría interna. El programa utiliza los controles de seguridad que fueron seleccionados para determinar qué aspectos de su organización deben ser medidos, analizados y mejorados antes de implementar un Sistema de Gestión de Seguridad de la Información como ISO 17799. Implementar un ISMS como el ISO 17799 puede traer múltiples beneficios a una organización. Artículo X. ISO 17799 y Requisitos Reglamentarios Un Sistema de Gestión de Seguridad de la Información (ISMS) integrado, basado en el ISO 17799, cubre la necesidad de un acercamiento estructurado para iniciar, implementar, mantener y administrar la seguridad de la información dentro de cualquier organización. Al utilizar el ISO 17799 como base para su ISMS, su sistema de gestión puede ser evaluado por terceros, como BSI Management Systems y ser compatible con requisitos reglamentarios, tales como HIPAA y partes de Sarbanes-Oxley. El proceso agrega un valor significativo a la eficacia continua de la seguridad de la información de su sistema. El diseño, operación, uso y administración de los sistemas de información pueden ser sujetos a requisitos estatutarios o seguridad contractual. El ISMS recomienda el consejo de asesores legales para cumplir los requisitos. Por ejemplo, Sarbanes-Oxley delinea objetivos de control del sistema de información para mantener la calidad e integridad de la información del reporte financiero, que puede ser controlado con personal y herramientas de seguridad de acceso.
- Artículo XI. Certificación al ISO 17799 Quiere decir que una tercera parte, tal como BSI, visita y evalúa la manera que funciona el 12 Sistema de Gestión de Seguridad de la Información y sus procesos dentro de la compañía. Si todo se está ejecutando de acuerdo con los requisitos de la norma, esta tercera parte que está calificada como casa certificadora emite un certificado registrando su compañía al ISO 17799. Esto da una verificación independiente a los clientes y otros asociados que una compañía utiliza prácticas reconocidas internacionalmente para la gestión de seguridad de la información.
- Artículo XII. Conclusiones ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la 13 gestión de la seguridad de la información La norma se estructura en diez dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información. Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización. Además considero que la a educación es un proceso interminable, puesto que cada día se aprende cosas nuevas o se actualizan las ya conocidas o aprendidas, es decir, que la educación es un proceso permanente, por eso debemos estar in con las tecnologías del momento y preparado para recibir las nuevas. La adopción de ISO 17799 presenta diferentes ventajas para la organización, entre ellas el primer paso para la certificación según UNE 71502.
- Artículo XIII. RECOMENDACIONES 14 Existen sesiones de capacitación ofrecidas por compañías como BSI que están familiarizadas con la certificación al ISO 17799 y los procesos de implementación. Las sesiones de capacitación se llevan a cabo en lugares públicos o pueden ser llevadas a cabo en su propia empresa. Para más información, contacte a BSI Management Systems: informacion@bsiamericas.com o visite: www.bsiamericas.com/seguridaddelainformacion.
- Artículo XIV. Bibliografía BSI Managemen System. (2001).¿Qué es la norma ISO 17799? y razones para que usted la quiera. Villalon Huerta, A.(2004). El Sistema de Gestión de Seguridad de la Información. Recuperado el 10 de Diciembre de 2012 de http://www.shutdown.es/ISO17799.pdf 15
- Artículo XV. Apéndice Norma ISO 17799: La Norma ISO 17799 es la norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, 16 implantar o mantener la seguridad de una organización. ISO: La Organización Internacional de Normalización o ISO (del griego, ἴσος (isos), 'igual'), nacida tras la Segunda Guerra Mundial(23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación (tanto de productos como de servicios), comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones (públicas o privadas) a nivel internacional. Sistema de Gestión de la seguridad de la Información: Un Sistema de Gestión de la seguridad de la Información (SGSI) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001. El término se denomina en Inglés "Information Security Management System" (ISMS). seguridad de la información: Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
- Artículo XVI. Anexo 17
Publicidad