sábado, 31 de enero de 2009

NORMATIVIDAD-ISO-27000

¿Qué es ISO 27000 ?

•Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI).
  • Requisitos para la especificación de sistemas de gestión de la seguridad de la información
  • Proceso del análisis y gestión del riesgo
  • Métricas y medidas de protección
  • Guías de implantación
  • Vocabulario claramente definido para evitar distintas interpretaciones de conceptos técnicos y de gestión y mejora continua.


IMPLANTAR EL SASI





  • Definir el alcance y las fronteras del SASI en términos de las características del negocio.
  • Definir la aproximación a la evaluación del riesgo de la organización.
  • Identificar los riesgos.
  • Analizar y evaluar los riesgos.
  • Identificar y evaluar opciones para el tratamiento de riesgos.Seleccionar objetivos de control y controles para el tratamiento de riesgos.
  • Obtener aprobación de la gerencia de los riesgos remanentes propuestos.
  • Preparar una declaración de aplicabilidad.
  • Monitorear y revisar el SASI.
  • Mantener y mejorar el SASI.

PROCESO ISMS





¿Qué debe incluir el SASI?
  • Enunciados documentados de la política del SASI y los objetivos;
  • El alcance del SASI;
  • Procedimientos y controles que soportan el SASI;
  • Una descripción de la metodología de evaluación de riesgos;
  • El reporte de evaluación de riesgos;
  • El plan de tratamiento del riesgo;
  • Procedimientos documentados necesarios para que la organización asegure una planeación, operación y control efectivo de sus procesos de seguridad de la información y describir como medir la efectividad de los controles;
  • Registros requeridos por este Estándar Internacional;
  • La declaración de aplicabilidad.
Áreas que se deben cubrir
  • Marco de las normas de gestión de la seguridad de la información.
  • Sistema de gestión de la seguridad de la información.
  • Análisis y gestión de riesgos.
  • Controles y salvaguardas.
  • Métricas.
  • Auditoria.
  • Directrices de implantación de los sistemas de gestión de la seguridad de la información.
  • Difusión y concienciación.
  • Así también, cabe considerar aspectos tales como los siguientes:
    –Productos y servicios.
    –Política y procedimientos.
    –Personal
    –Seguridad Física
    –Esquemas de Reporte.
Medidas del ISMS

Objetivos
Evaluar la efectividad de las medidas de seguridad del SMSI con respecto a las métricas preestablecidas.
  • Evaluar el ISMS y su permanente actualización.
  • Proveer una guía estándar para evaluar las revisiones, facilitar las mejoras y para proveer trazar para posibles auditorias
  • Comunicar, dentro de la organización, la importancia de la seguridad.
  • Ser una herramienta para el análisis y tratamiento del riesgo.
  • Activos, implementos para la seguridad, vulnerabilidades e impacto






    ISO 27001

    • Esta norma muestra como aplicar los controles propuestos en la ISO 17799, estableciendo los requisitos para construir un SGSI, “auditable” y “certificable”.

    ISO 27002

    • Está en fase de desarrollo, es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información, esta norma no es certificable.

    ISO 27003

    • Se estima que se publique en Octubre de 2008. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act: Tomado del ciclo de calidad de Edwards Deming) y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2.

    ISO 27004

    • Publicada probablemente en Noviembre de 2006. Especificará las métricas y técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

    ISO 27005

    • Consiste en una guía para la gestión del riesgo de la seguridad de la información y servirá de apoyo a la ISO 27001 y a la implantación de un SGSI. Se basará en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.

    ISO 27006

    • Especificará el proceso de acreditación de entidades de certificación y el registro de SGSIs.

    0 comentarios: