Normas iso
-
Upload
rossy-salcedo -
Category
Documents
-
view
49 -
download
5
Transcript of Normas iso
Normas ISO Informática Ing. Manuel Gonzales Ibarra
UNIVERSIDAD AUTÓNOMA DEL ESTADO DE HIDALGO PLANTEL TIZAYUCA
Integrantes:Arrieta García Luis JavierLópez Méndez Ricardo SaidSalcedo Meneses María del RocíoZamora Robles Jorge Alberto
Introducción Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.
Norma BS 7799 Aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece un esquema de certificación.
ISO/IEC 27000 - ISO/IEC 27001
Publicada el 1 de Mayo de 2009.
Proporciona una visión general de las normas que componen la serie 27000.
Introducción a los Sistemas de Gestión de Seguridad de la Información.
Publicada el 15 de octubre de 2005.
Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000.
Define cómo es el SGSI, cómo se gestiona y cuáles son las responsabilidades de los participantes.
Sigue un modelo PDCA (Plan-Do-Check-Act)
Los puntos claves son: Gestión de riesgos y la Mejora continua.
ISO/IEC 27002 - ISO/IEC 27003
Desde el 1 de Julio de 2007
Es un código de buenas prácticas para la gestión de la seguridad.
Consiste en:
Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización.
Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendados a implantar, es decir, las medidas a tomar.
Publicada el 1 de Febrero de 2010
Es una guía para los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI.
Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación.
ISO/IEC 27004 - ISO/IEC 27005
Publicada el 7 de diciembre del 2009
Métricas para la gestión de seguridad de la información.
Proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información.
Publicada en junio de 2008.
Proporciona las directrices para la gestión del riesgo en la seguridad de la información.
Diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.
ISO/IEC 27006 - ISO/IEC 27007
Publicada el 1 de Marzo de 2007
Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información.
especifica requisitos para la certificación de SGSI y es usada en conjunto con la norma 17021-1.
En fase de desarrollo, consistirá en una guía de auditoria de un SGSI, como complemento a lo especificado en ISO 19011.
ISO/IEC 27008 - ISO/IEC 27010
Guía para implementar ISO/IEC 27002 en la industria de la salud.
En fase de desarrollo.
Es una norma en 2 partes, que consistirá en una guía para la gestión de la seguridad de la información en comunicaciones intersectoriales.
ISO/IEC 27011Publicada el 15 de Diciembre de 2008
Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC.
Está publicada también como norma ITU-TX.1051. ITU (Unión Internacional de Telecomunicaciones). 27002.
ISO 27000ISO/IEC 27012:
Fase de Desarrollo
Conjunto de requisitos (ISO/IEC27001) y directrices(complementarias a ISO/IEC27002) de gestión de seguridad de la información en organizaciones que proporcionen servicios de e-Administración
Requisitos para la industria automotriz
ISO/IEC 27013:
En fase de desarrollo.
Consistirá en una guía de implementación integrada de ISO/IEC 27001 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI).
Requisitos para la asociación mundial de loterías.
En fase de desarrollo.
Consistirá en una guía de gobierno corporativo de la seguridad de la información.
ISO/IEC 27015:
En fase de desarrollo.
Consistirá en una guía de continuidad de SGSI para organizaciones del sector financiero y de seguros.
ISO/IEC 27014:
ISO/IEC 27031:
En fase de desarrollo
Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
ISO/IEC 27032:
En fase de desarrollo
Consistirá en una guía relativa a la ciberseguridad.
ISO/IEC 27033:
Norma dedicada a la seguridad de redes.
27033-1, conceptos generales.
27033-2, directrices de diseño e implementación de seguridad en redes .
27033-3, escenarios de redes de referencia.
27033-4,aseguramiento de las comunicaciones entre redes mediante gateways de seguridad.
27033-5, aseguramiento de comunicaciones mediante VPNs.
27033-6, convergenciaIP.
27033-7, redes inalámbricas.
ISO/IEC 27034:
En fase de desarrollo
Consistirá en una guía de seguridad en aplicaciones informáticas.
ISO/IEC 27035:
En fase de desarrollo
Consistirá en una guía de gestión de incidentes de seguridad informática.
ISO/IEC 27036:
En fase de desarrollo
Consistirá en una guía de seguridad en outsourcing (externalización de servicios).
ISO/IEC 27037:
En fase de desarrollo
Consistirá en una guía de identificación, recopilación y preservación de las evidencias digitales.
ISO/IEC 27799:
Es un estándar de gestión de seguridad de la información en el sanitario aplicando ISO 17799 (actual ISO 27002).
Conclusiones • Las normas ISO son buenas porque en ellas se establece una forma
de dar la seguridad a la información.• Las Normas ISO 27000 son muy importantes ya que permiten la
reducción de riesgos de perdidas, robo o corrupción de la información y los clientes pueden tener acceso a la información de manera mas segura.
• Después de haber analizado las normas de la familia ISO/IEC 27000 las cuales hacen referencia a los sistemas de Gestión de Seguridad de la Información: nos damos cuenta que todas estas normas nos dan requisitos necesarios, al igual que las bases para que un SGSI funcione en las formas más optima, y como lo vemos a lo largo de los estándares, siempre salvaguardando la integridad de la información.
• Las Normas ISO 27000 son las encargadas de regular, supervisar y evitar riesgos en la transmisión de información, todo esto apegado a reglas establecidas en dichas Normas.
Bibliografía • tesis_seguridadinformaticaenmateriadeeducacion.pdf• http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/ISO27.php• www.iso27000.es/download/doc_iso27000_all.pdf• http://www.iso27000.es/download/doc_iso27000_all.pdf• www.iso27000.es