jueves, 29 de enero de 2009

NORMATIVIDAD--BS 7799

BS 7799








La esencia de la norma BS 7799 es que el Sistema de Administracion de Seguridad de la Informaion (ISMS, por sus siglas en ingles) deberia ser establecido entre las organizaciones.
El proposito de esta es asegurar que la informacion de una organizacion este segura y propiamente administrada.

BS 7799 es el estandar mas influyente y mas reconocido para la administracion de la seguridad.mas

BS 7799 Parte 1 se vuelve un estandar internacional (ISO/IEC 17799) en Diciembre del 2000.

Ha sido recientemente revisado en base con los procedimientos ISO y el estandar revisado BS 7799 deberia estar disponible durante el 2005.

BS 7799 parte 2, aunque es aun un estandar en el Reino Unido, fue publicado como estandar nacional en muchos paises y estuvo en una etapa avanzada del proceso hacia la internacionalizacion. Este proceso se completó para el 2005.

El estandar se dividia en dos partes:
  • Parte 1: Contenia la guia e informacion explicativa.
  • Parte 2: Proveia un modelo que puede ser usado por empresas para moldear y hacer efectiva el Sistema de Adminisatrcion de la Informacion de Seguridad (ISMS).

Las dos partes estan publicadas como:

  • ISO/IEC 17799 "Codigo de Practica para la Seguridad de la Informacion".
  • BS 7799-2:2002: "Especificacion de la Informacion en la Administarcion de la Seguridad".

BENEFICIOS DE USAR BS 7799

Usandolo bien resultaria:

  • Riesgo Operacional reducido.
  • Eficiencia del Negocio Incrementada.
  • Seguridad de que la Seguridad de la Informacion esra siendo racionalmente aplicada.

Esto se logra mediante:

  • Los Controles de Seguridad son justificados.
  • Las Politicas y Procedimientos son los apropiados.
  • Toda las actividades de procesamiento y soporte de la informacion relevante de seguridad son auditables.
  • La Auditoria interna, los mecanismos de adminsitracion/reporte de incidentes sean tratados apropiadamente.
  • La administracion este activamente enfocada en seguridad de la informacion y su efectividad.

Es como que un numero de organizaciones, incluido el Gobierno, requerira de proveedores y otros colaboradoressean certificados acorde a la norma BS 7799 antes de que puedan trabajar.
Esto podria hacer la certificacion mas necesaria que beneficiosa.

La certificacion puede tambien ser usada como una parte de iniciativa de mercadeo, proveyendo la seguridad para colegas de negocios y otros terceros.

ENTENDIENDO LA BS 7799 PARTE 1: 10 PASOS

  1. Politica de Seguridad-explica lo que una politica de seguridad de la informacion deberia cubrir y porque cada empresa deberia tener una.
  2. Seguridad Organizacional- explica como la administracion de la seguridad de la informacion esta organizada.
  3. Clasificacion y Control de Valor - considera la informacion y el equipamento del procesamiento de la misma como valores para sera administrados y representados.
  4. Seguridad del Personal- detalla cualquier tema personal tal como capacitacion, responsabilidades, procedimientos de investigacion, y como el personal respondio a los incidentes de seguridad.
  5. Seguridad Fisica y del Ambiente- aspectos fisicos de la seguridad incluyendo la proteccion de la informacion y equipos del daño fisico, ademas como controlar fisicamente el acceso a la informacion y los dispositivos.
  6. Administracion de Operaciones y Comunicaciones- examina la correcta administracion y operacion segura del procesamiento de la informacion durante las actividades del dia a dia.
  7. Control de Acceso- control del acceso a la informacion y los sistemas en base a las necesidades del negocio y la seguridad.
  8. Desarrollo y Mantenimiento del Sistema- diseño y mantenimiento de sistemas manteniendo asi la integridad de la informacion.
  9. Administracion Continua de la Empresa- concierne al mantenimiento de las actividades de negocio esenciales durante condiciones adversas, de la copia para evitar grandes desastres.
  10. Conformidad- concierne a la conformidad del negocio con leyes nacionales e internacionales relevantes, estandares profesionales y caulesquier proceso ordenado por el Sistema de Administracion de la Seguridad de la Informacion (ISMS).

CERTIFICACION

La certificacion para BS 7799 es un conicimiento formal que su Sistema de Administracion de Seguridad de la Informacion (ISMS) refleja las necesidades de seguridad de informacion de la organizacion.

COMO OBTENER LA CERTIFICACION?

Las organizaciones pueden ser formalmente certificadas para la BS 7799 por un cuerpo acreditado del Servicio de Acreditacion del Reino Unido (UKAS).

Un auditor profesional completa una revision formal independiente del Sistema de Administracion de Seguridad de la Informacion (ISMS).

Apunta a confirmar que el ISMS es tanto efectivo como apropiado.

El auditor revisara:

  1. Exhaustividad. Todas las partes del BS 7799 han sido cubiertas?.
  2. Relevancia. Es la interpretacion del BS 7799 relevante para la organizacion?
  3. Implementacion. Se le esta haciendo seguimiento al ISMS?

El auditor requerira una Declaracion de Aplicabilidad (SOA). Esto es un documento que lista todos los requerimientos en BS 7799 Parte 2, con:

  • Una explicacion de como la organizacion cumple con ellas.
  • Una explicacion y justificacion de cualquier desviacion de ellas.

CUALES SON LOS REQUERIMIENTOS DE LAS ORGANIZACIONES PARA BS 7799?

  1. Autoauditorias. cada organizacion debe tener un calendario de auditorias para el completo ISMS sobre un periodo razonable de tiempo. Esto envuelve el personal de verificacion que actualmente sigue el ISMS, y puede probarlo con registros. Las auditorias son internas, usualmente envuelven completamente una lista de chequeo estandar, y son conducidos por el propio personal de la organizacion, quienes no requieren tener una acreditacion UKAS. Donde una falla o brecha de seguridad es detectada en el seguimiento del ISMS, un reporte deberia ser dado a traves de la estructura de administracion normal. La importancia del automonitoreo es que la organizacion puede reaccionar rapidamente a los problemas con sus propios procedimientos - algunas veces los procedimientos deben ser mejorados para ajustarse mejor a la realidad.
  2. Auditorias Acreditadas. Despues de la auditoria inicial, el cuerpo de certificacion hace una revision cada seis (6) meses.
  3. Declaracion de Aplicabilidad (SOA). Esto es un documento viviente y debe ser actualizado. Deberia siempre reflejar el estado del ISMS de la Organizacion.

QUE SE CERTIFICA?

Hay muchas opciones para la certificacion. Un pequeño rango que dirige las funciones de negocio central podrian ser formalmente certificados, pero igualmente, la organizacion como un todo podria cumplir con las politicas y procedimientos.

Solamente el rango certificado formalmente del ISMS seria sujetado a revisiones cada seis (6) meses.