Escolar Documentos
Profissional Documentos
Cultura Documentos
de la informacin.
Estructura de contenidos
Mapa Conceptual
Introduccin
1. Marco Terico
1.1 Historia
1.2 Lnea de tiempo
2. Dominios de control de las Normas
2.1 Polticas de seguridad
2.2 Estructura organizativa para la seguridad
2.3 Clasificacin y control de activos
2.4 Seguridad en el personal
2.5 Seguridad fsica y del entorno
2.6 Gestin de comunicaciones y operaciones
2.7 Control de accesos
2.8 Desarrollo y mantenimiento de sistemas
2.9 Gestin de continuidad del negocios
2.10 Cumplimiento o conformidad de la legislacin
3. Normas ISO 27000
3.1 ISO/IEC 27000
3.2 ISO/IEC 27001
3.3 ISO/IEC 27002
3.4 ISO/IEC 27003
3.5 ISO/IEC 27004
3.6 ISO/IEC 27005
4. Seguridad
4.1 Requerimientos de seguridad
4.2 Principios de seguridad
5. Norma ISO/IEC17799
5.1 Organizacin
Glosario
Bibliografa
Control de Documento
2
3
3
4
4
6
6
7
7
7
8
8
8
9
9
9
10
10
10
10
11
11
11
11
11
12
12
13
14
17
18
1
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
MAPA CONCEPTUAL
Estndares para la seguridad de la informacin.
2
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
Introduccin
La informacin y los procesos que la utilizan hacen parte de los activos ms
importantes de una organizacin. Definir, lograr, mantener y mejorar la
seguridad de la informacin es esencial para mantener una ventaja
competitiva que permita alcanzar el xito y lograr continuidad en un mercado
globalizado.
Para una organizacin competitiva es necesario implantar un sistema para la
gestin de la seguridad de la informacin, que permita tener unos objetivos
claros de seguridad y una evaluacin de los riesgos posibles a los que est
expuesta su informacin, asegurando as la continuidad del negocio,
minimizando el riesgo comercial y maximizando el retorno de las inversiones
y las oportunidades comerciales.
La International Organization for Standardization e International
Electrotechnical Commission ISO/IEC son los encargados de los estndares
que proporcionan un marco de la gestin de la seguridad de la informacin
utilizable para cualquier tipo de organizacin, privada o pblica, pequea o
grande.
1. Marco Terico
La norma ISO 17799 es un cdigo de buenas prcticas para la Gestin de
la Seguridad de la Informacin, esta norma surge como evolucin
histrica de la norma britnica BS 7799 y actualmente existen varias
adaptaciones de la misma que convergern en un futuro prximo a las
normas de la serie ISO 27000.
La ISO 17799 introduce un cambio importante en los sistemas de gestin
de la seguridad de la informacin ya que los aborda desde un punto de
vista de continuidad de negocio y de mejora continua. Esta norma hereda
muchos conceptos de la serie de normas ISO 9000 y subraya la seguridad
entendida como proceso.
ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de
desarrollo- por ISO e IEC que proporcionan un marco de gestin de la
seguridad de la informacin utilizable por cualquier tipo de organizacin,
pblica o privada, grande o pequea; Los rangos de numeracin
reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
3
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
1.1 Historia
La primera entidad normalizadora a nivel mundial BSI (British Standards
Institution) apareci por primera vez en 1995, proporcionando la gestin
de la seguridad de la informacin en las empresas Britnicas con la norma
BS 7799. Esta norma se conform por 2 partes, la BS 7799-1 fue la gua
de buenas prcticas (no certificable) y la BS 7799-2, publicada en 1998,
que estableci el SGSI (Sistema de Gestin de Seguridad de la
Informacin) como una entidad independiente para ser certificable.
Las normas mencionadas fueron revisadas en el ao 1999, al ao 2000 la
norma BS-1799-1, sin cambios sustanciales, fue adoptada como la norma
ISO 17799.
Al ao 2005 la norma BS 7799-2 se publicara como ISO 27001 con
algunos cambios, en ese entonces, ms de 1700 empresas estaban
certificadas con la norma BS 7799-2. Para la misma fecha fue revisada y
actualizada la norma ISO 17799, posteriormente el 1 de julio del 2007,
esta norma fue renombrada como ISO 27002:2005. En marzo de 2006,
BSI public la BS 7799-3:2006 centrada en la gestin del riesgo de los
sistemas de informacin.
Actualmente, ISO ha continuado el desarrollo de las normas de la serie
27000 apoyando a las organizaciones en la interpretacin de la ISO/IEC
27001, que es la nica norma certificable de la serie.
1.2 Lnea de tiempo
4
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
1995
1998
BS 7799 Parte1
Cdigo de buenas
Prcticas
...............................
BS 7799 Parte 2
Especificacin del
SGSI
...............................
1999
Revisin de las
partes 1 y 2 de
BS 7799
...............................
2000
ISO/IEC 17799:2000
Parte 1 se adopta
como ISO
...............................
2002
BS 7779-2:2002
Revisin de la
Parte 2
...............................
JUN
2005
ISO/IEC 17799:2005
Revisin de
ISO 17799
...............................
OCT
2005
ISO/IEC 27001
Parte 2 se adopta
como ISO
5
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
1. POLTICA DE SEGURIDAD
2. ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD
Seguridad
Organizativa
5. SEGURIDAD
FSICA Y DEL
ENTORNO
6. GESTIN DE
COMUNICACIONES
Y OPERACIONES
8. DESARROLLO Y
MANTENIMIENTO
DE SISTEMAS
Seguridad
Lgica
Seguridad
Fsica
7. CONTROL DE ACCESOS
9. GESTIN DE CONTINUIDAD DEL NEGOCIO
10. CONFORMIDAD
Seguridad
Legal
6
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
8
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
9
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
10
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
4. Seguridad
Una organizacin debe identificar sus requerimientos de seguridad, existen
tres fuentes generales para fomentar la seguridad de la informacin.
4.1 Requerimientos de seguridad
.................................................................................................
Evaluar los
riesgos
Requerimientos
legales
Principios
comerciales
.................................................................................................
.................................................................................................
.................................................................................................
11
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
.................................................................................................
Confidencialidad
.................................................................................................
Garantizar que la informacin no ser alterada,
eliminada o destruida por entidades no autorizadas.
Integridad
.................................................................................................
Disponibilidad
.................................................................................................
5. Norma ISO/IEC17799
Esta norma establece un conjunto de recomendaciones para las prcticas
exitosas de seguridad, aplicables a cualquier tipo de organizacin. A travs
de la definicin de metodologas o polticas, establece los criterios tcnicos a
implementar o controlar para el manejo de la seguridad de la informacin.
La norma busca promover la competitividad en las empresas a partir de la
implantacin de una cultura de gestin, seguridad y calidad para afrontar las
demandas de su sector, mejorando sus procesos con la garanta del aumento
de la seguridad de sus sistemas de informacin y de las comunicaciones.
Algunos de los aspectos que busca mejorar en cuanto a garantas de
seguridad y proteccin estn relacionados con:
12
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
5.1 Organizacin
La norma est organizada en reas o dominios de control, objetivos para
cada una de ellas y controles aplicables a ella.
10 REAS
36 OBJETIVOS
127 CONTROLES
Las reas o dominios de control cubren las actividades requeridas para
garantizar la gestin de la seguridad de la informacin y son:
Lgica
Legal
Fsica
Poltica de seguridad
Estructura Organizativa
para la seguridad
Estra
tgi
co
Organizativa
Tct
ico
Tipo de seguridad:
Clasificacin y
Control de Activos
Control de accesos
Oper
a
tivo
Conformidad
Seguridad
en el personal
Desarrollo y
mantenimiento
de sistemas
Seguridad
fsica y del entorno
Gestin de
comunicaciones
y operaciones
Gestin de
continuidad
del negocio
13
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
GLOSARIO
Estndares para la seguridad de la informacin.
El ciclo PDCA: tambin conocido como "Crculo de Deming o circulo de
Gabo" (de Edwards Deming), es una estrategia de mejora continua de la
calidad en cuatro pasos, basada en un concepto ideado por Walter A.
Shewhart. Tambin se denomina espiral de mejora continua. Es muy
utilizado por los Sistemas de Gestin de Calidad (SGC). Las siglas PDCA son
el acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).
La British Standards Institution: cuyas siglas corresponden a BSI, es
una multinacional cuyo fin se basa en la creacin de normas para la
estandarizacin de procesos. BSI es un organismo colaborador de ISO y
proveedor de estas normas, son destacables la ISO 9001, ISO 14001 e ISO
27001. Entre sus actividades principales se incluyen la certificacin,
auditora y formacin en las normas.
La Organizacin Internacional de Normalizacin o ISO: (del griego,
(isos), 'igual'), nacida tras la Segunda Guerra Mundial (23 de febrero
de 1947), es el organismo encargado de promover el desarrollo de normas
internacionales de fabricacin, comercio y comunicacin para todas las
ramas industriales a excepcin de la elctrica y la electrnica. Su funcin
principal es la de buscar la estandarizacin de normas de productos y
seguridad para las empresas u organizaciones a nivel internacional.
La Comisin Electrotcnica Internacional (CEI o IEC por sus siglas
en ingls, International Electrotechnical Commission): es una
organizacin de normalizacin en los campos elctrico, electrnico y
tecnologas relacionadas. Numerosas normas se desarrollan conjuntamente
con la ISO (normas ISO/IEC).
Activo: Cualquier cosa que tenga valor para la organizacin.
Control: Medios para manejar el riesgo; incluyendo polticas,
procedimientos, lineamientos, prcticas o estructuras organizacionales, las
cuales pueden ser administrativas, tcnicas, de gestin o de naturaleza
legal.
Lineamiento: Una descripcin que aclara qu se debiera hacer y cmo,
para lograr los objetivos.
14
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
15
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
16
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
RECURSOS BIBLIOGRFICOS
Estndares para la seguridad de la informacin.
17
FAVA - Formacin en Ambientes Virtuales de Aprendizaje
Control de documento
Construccin Objeto de Aprendizaje
Asesor pedaggico
Produccin Multimedia
Programador
18
FAVA - Formacin en Ambientes Virtuales de Aprendizaje