Iso 17799
September 11, 2022 | Author: Anonymous | Category: N/A
Short Description
Download Iso 17799...
Description
[TYPE THE COMPANY NAME]
[Type the document title] [Type the document subtitle]
ISO 17799 - 27002
Contenido Glosario ......................................................................................................................................................... 3 Seguridad ...................................................................................................................................................... 4 Seguridad Informatica ............................................................................................................................... 4 ¿Qué es la Seguridad de la Información? ................................................................................................. 5 Definición ISO 17799 ..................................................................................................................................... 5 Normas ISO 17799 ........................................................................................................................................ 6 Resumen de los Controles ISO 17799 ....................................................................................................... 7 ISO 17799 – Normativa - Estándar |SEGURIDAD DE LA INFORMACIÓN ....................... ................................. ................... ................. ........ 7 Recomendaciones. ................................................................................................................................ 8 Secciones: .............................................................................................................................................. 8 ¿Qué es la ISO17799? ................................................................................................................................. 10 Bajo la norma ISO .................................................................................................................................... 10 Las mejores prácticas se mencionan: ..................................................................................................... 10 Proceso de Implementación. ...................................................................................................................... 11 Implementación bajo la norma ISO. ....................................................................................................... 11 Ventajas - Desventajas ............................................................................................................................ 12 Antecedentes sobre el Proyecto ISO 17799 ........................................................................................... 12 ¿Cómo se las organizaciones se benefician? .......................................................................................... 13 ¿Cómo se las organizaciones se benefician? .......................................................................................... 13 Cambios De La Norma ................................................................................................................................. 13 ISO/IEC 27002 ............................................................................................................................................. 13 Empresas Certificados BS 7799-2 / ISO/IEC 27001 ......................... ................................... ................... .................. .................. .................. .................. .............. ..... 14 Certificación ISO/IEC 27001. ....................................................................................................................... 14 Certificaciones Actuales Que Poseen Las Empresas De Software Dominicanas ......... .................. .................. ................... ............. ... 15 Certificaciones que desean obtener las empresas de software dominicanas.................. ........................... .................. ................. ........ 15 Referencias .................................................................................................................................................. 17
2
ISO 17799 - 27002
Glosario Política. Reglas generales que todos deben seguir, debe ser corto, claro. Estándar. Estándar. Colección de sistema de los requisitos específicos que deben cumplirse. Directrices. Directrices. Colección de sugerencias específicas del sistema de las mejores prácticas. No son necesarios, pero se recomienda encarecidamente Procedimientos. Procedimientos. Una serie de pasos para realizar una tarea
3
ISO 17799 - 27002
Seguridad Disponibilidad: se refiere a la seguridad que la información pueda ser recuperada en el momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por ataque doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor Integridad: Garantía de la exactitud de la información frente a la alteración, pérdida o destrucción, ya sea de forma accidental o fraudulenta. Confidencialidad: Característica o atributo de la información por el que la misma sólo puede ser revelada a los usuarios autorizados en tiempo y forma determinados. determinados.
Seguridad Informatica “La seguridad informática, consiste en asegurar (mediante controles de protección, etc.) que los recursos los sistemas de información métodos, (Equipos técnicas, tecnológicos, software, datos, de procesos) de una organización sean utilizados de la manera que se decidió, a fin de prevenir amenazas accidentales y deliberadas que pudieran resultar en una pérdida de confidencialidad, integridad y disponibilidad.
4
ISO 17799 - 27002
¿Qué es la Seguridad de la Información? activo –– Valor. La información es un activo Protección de la Información - Asegurar la continuidad de negocio, minimizar los daños, los requisitos legales Información - Papel Electrónico, que hablo, y etc. Formularios de Información de la información Confidencialidad - La información no es revelada a los sujetos no Preservación autorizados Integridad - La precisión y la exhaustividad de la información y sólo se modifica por los sujetos autorizados Disponibilidad - personas autorizadas se conceden evaluar a la información. (SLA) Controles de Seguridad de la Información - Las políticas, procedimientos, prácticas, estructura organizacional, y HW / SW.
Definición ISO 17799 Es un estándar internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización.
Define la información como un activo que posee valor para la organización y requiere una protección adecuada.
5
ISO 17799 - 27002
Normas ISO 17799
6
ISO 17799 - 27002
Resumen de los Controles ISO 17799 ISO17799 Área Política de seguridad. Seguridad de la organización. Activo de control y de clasificación.
Personal de seguridad. Seguridad física y ambiental.
Gestión de comunicaciones y operaciones. Control de Acceso Desarrollo de Sistemas y Mantenimiento Gestión de la Continuidad. Conformidad.
Propósito Para establecer una visión para la seguridad y dirigir los recursos corporativos. Para desarrollar y crear las estructuras y procesos para la gestión de la seguridad. Para identificar y clasificar los activos de priorizar adecuadamente la importancia y garantizar la protección. Para reducir el error humano el mal uso y abuso por parte de personal. Para asegurar la defensa del perímetro y físicamente garantizar la protección de los activos.
Para garantizar la exactitud de las operaciones y seguridad de redes / comunicacion comunicaciones. es. Para poner en práctica los principios de control de acceso. Para garantizar que la seguridad se considera en conjunto con el desarrollo de sistemas. Para garantizar la continuidad de las empresas en caso de fallas mayores o desastres. Para garantizar el cumplimiento normativo.
ISO 17799 – Normativa - Estándar |SEGURIDAD DE LA INFORMACIÓN 1. 1. Política de Seguridad 2. 2. Organización de Seguridad 3. 3. Clasificación y Control de Activos 4. 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. 6. Gestión de Comunicaciones y Operaciones 7. 7. Sistema de Control de Accesos 8. 8. Desarrollo y Mantenimiento de Sistemas 9. 9. Plan de Continuidad del Negocio 1. 1. 10.Cumplimiento
7
ISO 17799 - 27002
Recomendaciones.
Para realizar la Gestión de Seguridad de la Información. Permite la implantación y evaluación de las medidas de seguridad en TI. Es un “paso” para establecer un SGSI (Sistema de Gestión de Seguridad de Información). Son 11 dominios para derivar los: o Objetivos de Control: Resultados a alcanzar. o Controles: procedimientos, métodos, herramientas.
Secciones: 1. 1. Políticas de seguridad. Proporciona las directivas y el soporte de la dirección general de la empresa para la seguridad de la información. 2. 2. Organización de la Seguridad de la Información Información Gestionar (administrar y mantener) la seguridad de la información: Recursos, activos, tercerización, etc. Mantener la seguridad de la información de los servicios de procesamiento de información de la organización a los cuales tiene acceso externos o que son procesados o usados por éstas. 3. 3. Clasificación y control de activos. Deberá mantenerse la protección adecuada de los activos corporativos y garantizar que los activos informáticos reciban un nivel adecuado de protección 4. 4. Seguridad del personal. Reducir el riesgo de error humano, robo, fraude, abuso de la información, sistemas y equipos. Asegurarse que el personal esté consciente de las amenazas a la información y sus implicaciones. 4. 4. Seguridad física y ambiental. Previene el acceso no autorizado a las instalaciones para evitar pérdida, robo, daño de los bienes o interrupción de las actividades productivas Normas ISO 17799
6. 6. Gestión de Comunicaciones y Operaciones. Operaciones. Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los 8
ISO 17799 - 27002 equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso. Respaldo de información, gestión de la seguridad de las redes, intercambio de información y monitoreo Evita al máximo el riesgo de fallas en el sistema, incluido el hardware y software 7. 7. Sistemas de control de acceso. acceso. Control del acceso a la información; previene los accesos no autorizados a sistemas de información (Sistemas operativos, aplicaciones de negocios, etc) Garantiza la protección de servicios de red; impide los accesos no autorizados a las computadoras; detecta actividades no autorizadas; salvaguarda la información cuando se utiliza cómputo móvil o remoto. remoto. 8. 8. Adquisición, Desarrollo y Mantenimiento de sistemas. Garantiza que la seguridad del sistema esté construida dentro de la aplicación para prevenir pérdidas, abusos y modificaciones de los datos, si es necesario usando controles criptográficos. Seguridad en los procesos de desarrollo y mantenimiento 9. 9. Gestión de incidentes de la seguridad de información información Reporte de los eventos y debilidades de la seguridad de la información, gestionando los incidentes y mejoras en la seguridad de la información información 10. Plan de continuidad del negocio. 10. negocio. El objetivo es estar preparado para evitar las interrupciones de las actividades críticas del negocio, en el caso se presenten fallas importantes o desastres en los sistemas de información, asegurando la recuperación oportuna. oportuna. 11. Cumplimiento Legal. 11. Legal. Cumplimiento de los requisitos legales, de las políticas y las normas de seguridad y cumplimiento técnico, así como las consideraciones de la auditoría de sistemas de información.
9
ISO 17799 - 27002
¿Qué es la ISO17799? Es un conjunto completo de controles que incluye las mejores prácticas en: En La Seguridad De La Información Los Controles Basados En Políticas Medibles Certificables Gestión De Riesgos Basado En Reconocidos Internacionalmente
Bajo la norma ISO Las mediciones basadas en los requisitos legales son: Protección y confidencialidad de los datos personales Protección de la información interna
Protección de los derechos de propiedad intelectual
Las mejores prácticas se mencionan: Información de la política de seguridad La asignación de la responsabilidad de seguridad de la información Problema escalada Negocios de gestión de continuidad
10
ISO 17799 - 27002
Proceso de Implementación.
Implementación bajo la norma ISO. Cuando se implementa un sistema de gestión de seguridad de la información de varios factores críticos de éxito se deben considerar:
La política de seguridad, sus objetivos y actividades reflejan los objetivos de negocio. La implementación considera los aspectos culturales de la l a organización. Abierto de apoyo y el compromiso de la alta dirección son obligatorios. Conocimiento exhaustivo de los requisitos de seguridad, evaluación y gestión del riesgo es necesario.
eficaz de los objetivos de seguridad a todo el personal, incluidos los Comercialización miembros de la administración. La política de seguridad y medidas de seguridad se comunican a terceros contratados. Los usuarios son capacitados en forma adecuada. Un sistema completo y equilibrado para la medición del desempeño está disponible, que apoya el mejoramiento continuo de dar retroalimentación.
11
ISO 17799 - 27002
Ventajas - Desventajas
Adquirir un canal de comunicación y publicidad de alcance masivo. Conseguir una forma de acceso a los evitando a sus intermediarios actuales. Establecer empresas virtuales o virtualizar las existentes. Vender y prestar servicios, como asesoramiento, relaciones postventas, etc. Sustituir las actuales mercancías por su equivalente digital.
Una mayor tecnificación de la empresa. Nuevas y más estrechas relaciones entre cliente y proveedor. Además de otro sin número de efectos colaterales. dee tipo gubernamental. (Reconocimien (Reconocimiento to Procedimientos en lnea con disposiciones d Internacional) Mejor protección a la confidencialidad, integridad y disponibilidad de la información. diferentes ataques Rápida y eficiente forma de recuperarse ante Mitigar riesgo a diferentes posibles amenazas. Cumplimiento con disposiciones legales.
Antecedentes sobre el Proyecto ISO 17799 Gestión de aplicaciones web en la producción Tradicionales de las organizaciones de TI no están familiarizados con la aplicación web de gestión de seguridad Cuentas, director de TI (EDP) Aplicaciones de Internet 20 años de edad política de los l os procedimientos / no se aplican Las ventajas de aplicar la norma ISO 17799 Mayor seguridad Mayor tiempo de actividad ROI - La lucha contra los incendios Mantenga su trabajo.
12
ISO 17799 - 27002
¿Cómo se las organizaciones se benefician?
Normalización - eficiencia y automatización ventaja competitiva Gestión de riesgos - no de seguridad para el bien de la seguridad Costo-efectividad Pasar de reactiva a proactiva Marco de referencia aceptado para la política
¿Cómo se las organizaciones se benefician? 1) 1) 2) 2) 3) 3) 4) 4) 5) 5)
Driver para la mejora de procesos Cumplir con los requisitos de socio de negocios mantener el cumplimiento regulatorio Medir la efectividad de los esfuerzos de seguridad de la información (ROI!)
Cambios De La Norma Varias organizaciones británicas también participó BS 7799:1995, seguridad de la información de gestión, el código de prácticas para la seguridad de la información sistemas de gestión BS 7799-2:1998, de gestión de seguridad, las especificaciones para los sistemas de gestión de seguridad Revisión, BS 7799-1:1999, BS 7799-2:1999 Muchos países adoptaron BS 7799
En diciembre de 2000, ISO / IEC 17799:2000, Código de buenas prácticas para la gestión de seguridad de la información
ISO/IEC 27002 ISO / IEC 27002 es un estándar de seguridad de la información publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), titulada Tecnología de la información - Técnicas de seguridad - Código de buenas prácticas para la gestión de seguridad de la información. BRA ISO / IEC 27002:2005 se ha desarrollado a partir de BS7799, publicado a mediados de la década de 1990. La norma británica fue adoptada por la norma ISO / IEC como ISO / IEC 17799:2000, 13
ISO 17799 - 27002 revisada en 2005, y pasa a ser (pero por lo demás sin cambios) en 2007 para alinearse con la otra la norma ISO / IEC 27000 de la serie de normas. ISO / IEC 27002 proporciona recomendaciones de mejores prácticas en la gestión de seguridad de la información para su utilización por los responsables de iniciar, implementar o mantener la seguridad de la información Sistemas de Gestión de la Información (ISMS). Seguridad de la información se define en el estándar en el contexto de la tríada de la CIA: La preservación de la confidencialidad (asegurando que la información es accesible sólo para aquellos autorizados a tener acceso), integridad (protección de la exactitud e integridad de la información y los métodos de procesamiento) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y los activos asociados cuando sea necesario).
Empresas Certificados BS 7799-2 / ISO/IEC 27001 2800 Empresas Certificadas a nivel mundial. 1800 en Japón.
415 Reino 11en Brasil.Unido 3 en Argentina.
Certificación ISO/IEC 27001. Implica la misma certificación, por parte de organismos locales a nivel mundial. Es razonable considerar un crecimiento equiparable al de normas ISO ya existentes.
14
ISO 17799 - 27002
Certificaciones Actuales Que Poseen Las Empresas De Software Dominicanas 0.80
70%
0.70 0.60 0.50 0.40 0.30 0.20
10%
10%
10%
0.10 0.00 Norma ISO 9001:2000 Norma ISO/IEC 27001
CMMI
Ninguna
Un 70% de las empresas no se ha certificado ni evaluado en alguna norma o modelo, mientras que el 30% por ciento restante se divide equitativamente entre la norma ISO 9001:2000, ISO / IEC 27001 y CMMI.
Certificaciones que desean obtener las empresas de software Certificaciones dominicanas
0.70 60% 0.60 0.50
50% 40%
0.40 0.30 0.20 0.10 0% 0.00 Norma ISO 9001: 2008
Norma ISO/IEC 27001
CMMI
Ninguna
Todas las empresas aspiran a obtener alguna certificación o evaluación.
15
ISO 17799 - 27002
16
ISO 17799 - 27002
Referencias ISO/IEC 17799:2000(E) CISSP:Certified Information Systems Security Professional Study Guide, Ed Tittel OWASP ISO 17799 Project
tManageme http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManageme http://www.isaca.org/Template.cfm?Section=Home&Template=/Conten
nt/ContentDisplay.cfm&ContentID=26409 nt/ContentDisplay.cfm&ContentID=26409 http://rickyboeykens.spaces.live.com/blog/cns!7EE40084F422EFB2!142.entry http://rickyboeykens.spaces.live.com/blog/cns!7EE40084F422EFB2!142.entry
http://17799-news.the-hamster.com/issue10-news11.htm http://17799-news.the-hamster.com/issue10-news11.htm
http://www.17799.com/papers/iso17799scope.pdf
http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/AligningCOB IT,ITIL.pdf
17
View more...
Comments
