El documento describe las normas ISO y los estándares relacionados con la calidad y seguridad de la información. Explica que ISO es una organización internacional que establece normas para facilitar el comercio y la tecnología. Luego resume varios estándares clave como ISO 9000 para sistemas de gestión de calidad, ISO 9126 para atributos de calidad de software, ISO 17799 para seguridad de la información, e ISO 27000 para sistemas de gestión de seguridad de la información.
1. INTITUTO TECNOLOGICO SUPERIOR PARTICULAR
“SAN GABRIEL”
NOMBRE: XAVIER CHAMBA
FECHA: 29/04/2017
CURSO: 6° SISTEMAS
TEMA: NORMAS ISO
1.-QUE SON LAS NORMAS ISO
ISO (Organización Internacional de Normalización)
Es una organización no gubernamental establecida en 1947 integrada por
cuerpos de estandarización nacionales de 153 países que produce normas
internacionales, industriales y comerciales con el propósito de facilitar el
comercio, el intercambio de información y contribuir con unos estándares para
el desarrollo y transferencia de tecnologías.
2.- ¿DE DONDE PROVIENE EL NOMBRE ISO?
“ISO” es una palabra, que deriva del griego “isos”, que significa “igual”, el cual es la
raíz del prefijo “iso” el cual aparece en infinidad de términos.
Desde “igual” a “estándar” es fácil seguir por esta línea de pensamiento que fue lo
que condujo a elegir “ISO” como nombre de la Organización.
3.- LOS ESTANDARES DE CALIDAD ISO
ESTANDAR ISO 9000- software
Este se ha convertido en el medio principal con el que los clientes pueden juzgar la
competencia de un desarrollador de software.
ISO 9001
Este es un estándar que describe el sistema de calidad utilizado para mantener el
desarrollo de un producto que implique diseño.
ISO 9000-3
Este es un documento específico que interpreta el ISO 9001 para el desarrollador
de software.
ISO 9004-2
Este documento proporciona las directrices para el servicio de facilidades del
software como soporte de usuarios.
2. 4.- ESTANDAR ISO 9126
El estándar ISO 9126 ha sido desarrollado en un intento de identificar los atributos
clave de calidad para el software.
El estándar identifica 6 atributos clave de calidad:
• Funcionalidad: el grado en que el software satisface las necesidades indicadas
por los siguientes subatributos: idoneidad, corrección, interoperatividad,
conformidad y seguridad.
• Confiabilidad: cantidad de tiempo que el software está disponible para su uso.
Está referido por los siguientes subatributos: madurez, tolerancia a fallos y facilidad
de recuperación.
• Usabilidad: grado en que el software es fácil de usar. Viene reflejado por los
siguientes subatributos: facilidad de comprensión, facilidad de aprendizaje y
operatividad.
• Eficiencia: grado en que el software hace óptimo el uso de los recursos del
sistema. Está indicado por los siguientes subatributos: tiempo de uso y recursos
utilizados.
• Facilidad de mantenimiento: la facilidad con que una modificación puede ser
realizada. Está indicada por los siguientes subatributos: facilidad de análisis,
facilidad de cambio, estabilidad y facilidad de prueba.
• Portabilidad: la facilidad con que el software puede ser llevado de un entorno a
otro. Está referido por los siguientes subatributos: facilidad de instalación, facilidad
de ajuste, facilidad de adaptación al cambio.
5.- ESTANDAR 17799-Redes
Es una norma internacional que ofrece recomendación para la gestión de la
seguridad de la información enfocada en el inicio, implantación o mantenimiento de
la seguridad en una organización.
El objetivo de la norma es proporcionar una base para desarrollar normas de
seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la
seguridad.
1995- BS 7799-1
Código de buenas prácticas para la gestión de la seguridad de la información.
1998- BS 7799-2
Especificaciones para la gestión de la seguridad de la información.
3. Tras una revisión de ambas partes de BS 7799 (1999) la primera es adoptada como
norma ISO en el 2000 y denominada ISO/IEC 17799.
6.- REQUISITOS ESTANDAR 17799
1. Política de seguridad: dirige y da soporte a la gestión de la seguridad de la
información
2. Aspectos organizativos para la seguridad: gestiona la seguridad de la
información dentro de la organización; mantiene la seguridad de los recursos de
tratamiento de la información y de los activos de información de la organización que
son accedidos por terceros y mantiene la seguridad de la información cuando la
responsabilidad de su tratamiento se ha externalizado a otra organización.
3. Clasificación y control de activos: mantiene una protección adecuada sobre
los activos de la organización y el nivel de protección adecuado.
4. Seguridad ligada al personal: reduce el riesgo de lo errores humanos, robos,
fraudes o mal uso de la instalación y los servicios; asegura que los usuarios son
conscientes de las amenazas y riesgo en el ámbito de la seguridad de la
información, y que están preparados para sostener las políticas de seguridad de la
organización.
5. Seguridad física y del entorno: evita el acceso no autorizado, daños e
interferencias contra los locales y la información de la organización.
6. Gestión de comunicación y operaciones: asegura la operación correcta y
segura de los recursos de tratamiento de la información; minimiza el riesgo de fallos
en el sistema; protege la integridad del software y de la información; mantiene la
integridad y la disponibilidad de los servicios de tratamiento de información y de
comunicación
7. Control de acceso: controla los accesos a la información; protege los servicios
en red; evita el acceso no autorizado a la información contenida en el sistema;
detecta actividades no autorizadas y garantiza la seguridad de la información
cuando se usan dispositivos de información móvil o teletrabajo.
8. Desarrollo y mantenimiento de sistema: asegura que la seguridad esta incluida
dentro de los sistemas de información; evita perdidas, modificaciones o mal uso de
los datos de usuario en las aplicaciones; protege la confidencialidad, integridad y
autenticidad de la información.
9. Gestión de continuidad del negocio: reacciona a la interrupción de actividades
del negocio y protege sus procesos críticos frente a grandes fallos o desastres.
10. Conformidad con la legislación: evita el incumplimiento de cualquier ley,
estatuto, regulación u obligación contractual y de cualquier requerimiento de
seguridad; garantiza la alineación de los sistemas con la política de seguridad de la
4. organización y con la normativa derivada de la misma y maximiza la efectividad y
minimiza la interferencia de o desde el proceso de auditoria del sistema.
7.- ESTANDAR ISO 27000-REDES
Es un conjunto de estándares desarrollados en fase de desarrollo por ISO e IEC
que proporciona un marco de gestión de la seguridad de la información utilizable
por cualquier tipo de organización, publica o privada, grande o pequeña.
8.- ISO 27001
Es la norma principal de la serie y contiene los requisitos del sistema de gestión de
seguridad de la información.
Este estándar internacional ha sido preparado para proporcionar un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestión de Seguridad de la Información (SGSI).
9.- TÉRMINOS Y DEFINICIONES:
• Seguridad de información: preservación de la confidencialidad, integridad,
disponibilidad de la información; además, también pueden estar
involucradas otras propiedades como la autenticidad, responsabilidad, no-
repudio, y confiabilidad.
• Sistema de gestión de la seguridad de la información: esa parte del
sistema gerencial general, basada en un enfoque de riesgo comercial; para
establecer, implementar, monitorear, revisar, mantener y mejorar la
seguridad de la información
ISO 27002
• Es una guía de buenas prácticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la información. Contiene
39 objetivos de control y 133 controles, agrupados en 11 dominios.
ISO 27003
• Es una guía de implementación de SGSI e información acerca del uso del
modelo PDCA y de los requerimientos de sus diferentes fases.
ISO 27004
• Especifica las métricas y las técnicas de medida aplicables para determinar
la eficacia de un SGSI y de los controles relacionados.
ISO 27005
• Establece las directrices para la gestión del riesgo en la seguridad de la
información.
5. Está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la
información basada en un enfoque de gestión de riesgos, es aplicable a todo
tipo de organizaciones que tienen la intención de gestionar los riesgos que
puedan comprometer la organización de la seguridad de la información.
ISO 27011
• Es una guía de gestión de seguridad de la información específica para
telecomunicaciones, elaborada conjuntamente con la ITU (Unión
Internacional de Telecomunicaciones).
Esta norma está orientada a los organismos que proporcionan procesos de
apoyo e información en las telecomunicaciones, instalaciones de
telecomunicaciones, redes y líneas y para los que éstos suponen importantes
activos empresariales.
ISO 27799
• Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad
de la información en el sector sanitario aplicando ISO 17799 (actual ISO
27002).