NORMAS ISO PARA REDES INFORMATICAS

NORMAS ISO PARA REDES INFORMATICAS

Su sigla traduce Organización Internacional para la Estandarización, es una organización no gubernamental que produce normas internacionales, industriales y comerciales con el propósito de facilitar el comercio, el intercambio de información y contribuir con unos estándares para el desarrollo y transferencia de tecnologías.

NORMA ISO 17799:

Es una norma internacional que ofrece recomendación para la gestión de la seguridad de la información enfocada en el inicio, implantación o mantenimiento de la seguridad en una organización. La seguridad de la información se define con la preservación de:

•Confidencialidad: aseguración de la privacidad de la información de la organización.

•Integridad: garantía del estado original de los datos.

•Disponibilidad: Acceso cuando sea requerido por los usuarios.

•No repudio: Estadísticas de la acciones realizadas por el personal autorizado

el objetivo de la norma ISO 17799 es proporcionar una base para desarrollar normas de seguridad dentro de las organizaciones y ser una practica eficaz de la gestión de la seguridad. La adaptación española denominada UNE-ISO/IEC 17799 esta norma no es CERTIFICADA.

1995- BS 7799-1: código de buenas prácticas para la gestión de la seguridad de la información.

1998- BS 7799-2: especificaciones para la gestión de la seguridad de la información.

Tras una revisión de ambas partes de BS 7799 (1999) la primera es adoptada como norma ISO en el 200 y denominada ISO/IEC 17799.

En el 202 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS 7799-2.

Esta norma establece 10 dominios de control que cubre por completo la gestión de seguridad de la información:

1. Política de seguridad: dirige y da soporte a la gestión de la seguridad de la información

2. Aspectos organizativos para la seguridad: gestiona la seguridad de la información dentro de la organización; mantiene la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros y mantiene la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización.

3. Clasificacion y control de activos: mantiene una protección adecuada sobre los activos de la organización y asegura un nivel de protección adecuado a los activos de la información.

4. Seguridad ligada al personal: reduce el riesgo de lo errores humanos, robos, fraudes o mal uso de la instalación y los servicios; asegura que los usuarios son conscientes de las amenazas y riesgo en el ámbito de la seguridad de la información, y que están preparados para sostener las políticas de seguridad de la organización y minimiza los daños provocados por incidencias de seguridad y por el mal funcionamiento controlándolo y aprendiendo de ellos.

5. Seguridad física y del entorno: evita el acceso no autorizado, daños e interferencias contra los locales y la información de la organización; evita perdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización y previene las exposiciones a riesgos y a robos de la información y de recursos de tratamiento de información.

6.Gestion de comunicación y operaciones: asegura la operación correcta y segura de los recursos de tratamiento de la información; minimiza el riesgo de fallos en el sistema; protege la integridad del software y de la información; mantiene la integridad y la disponibilidad de los servicios de tratamiento de información y de comunicación; asegura la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo; evita daño a los activo e interrupciones de actividades de la organización y previene la perdida, modificación o mal uso de la información intercambiada entre organizaciones.

7. Control de acceso: controla los accesos a la información; evita acceso no autorizado a los sistemas de información; protege los servicios en red; evita acceso no autorizado a ordenadores; evita el acceso no autorizado a la información contenida en el sistema; detecta actividades no autorizadas y garantiza la seguridad de la información cuando se usan dispositivos de información móvil o teletrabajo.

8. Desarrollo y mantenimiento de sistema: asegura que la seguridad esta incluida dentro de los sistemas de información; evita perdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones; protege la confidencialidad, integridad y autenticidad de la información; asegura que los proyectos de Tecnologías de la Información y las actividades complementarias son llevadas a cabo de una forma segura y mantiene la seguridad del software y la información de la aplicación del sistema.

9. Gestion de continuidad del negocio: reacciona a la interrupción de actividades del negocio y protege sus procesos críticos frente a grandes fallos o desastres.

10. Conformidad con la legislación: evita el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad; garantiza la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma y maximiza la efectividad y minimiza la interferencia de o desde el proceso de auditoria del sistema.

ISO 17799 no es una norma tecnológica:

•ha sido redactada de forma flexible e independiente de cualquier solución de seguridad especifica

•proporciona buenas practicas neutrales con respecto a la tecnología y a las soluciones disponibles en el mercado.

ISO 27001: Esta norma muestra como aplicar los controles propuestos en la ISO 17799, estableciendo los requisitos para construir un SGSI, "auditable" y "certificable".

COMPARACION 17799 Y 27001:

•ISO 17799 es un conjunto de buenas practicas en seguridad de la información contiene 133 controles aplicables.

•La ISO 17799 no es certificable, ni fue diseñada para esto.

•La norma que si es certificable es ISO 27001 como también lo fue su antecesora BS 7799-2.

•ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799 para su posible aplicación en el SGSI que implanta cada organización

•ISO 17799 es para ISO 27001, por tanto, una relación de controles necesarios para garantizar la seguridad de la información.

•ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informática explícitamente. ISO 27001 permite auditar un sistema a bajo lineamiento ISO 17799 para certificar ISMS (information security management system)

LA NORMA ISO 14764 (PARA SOFTWARE)

Éste estándar internacional aclara los requerimientos para el Proceso de Mantenimiento del Software. El Mantenimiento del Software es un proceso primario en El ciclo de vida de un producto software tal como se describe en ISO/IEC 12207, “Tecnología de la información - Software, Parte 1: Los procesos del ciclo de vida del Software".

Éste estándar internacional es parte de la familia de documentos ISO/IEC 12207

y da una pequeña guía. La única cláusula obligatoria en éste estándar internacional proviene de

ISO/IEC 12207. Ésta cláusula contiene cosas que se deben hacer y cada una de ellas está marcada dentro de una caja en éste documento. El número de cláusula ISO/IEC 12207 se muestra después de la caja. Ante todo siempre se pretende conseguir es conocer y ante todo cuales son los principales conceptos relacionados con la gestión de proyectos y realizar

Éste estándar internacional no especifica como implementar o realizar las actividades y tareas en el Proceso de Mantenimiento de Software ya que esto es dependiente del contrato y de la organización. Los requerimientos del Mantenimiento de

Software no cambian aunque se cambien las herramientas usadas.

Los puntos que vamos a tocar en este estándar son: La proporción del alcance, la información para el acuerdo, las referencias a las normativas, términos y definiciones, la aplicación de este estándar internacional,

1. Alcance

¿Para que nos sirve éste estándar, cuales son sus importantes usos, que Establecimiento nos proporciona, que establecimientos nos da, a donde nos guía y que efectos proporciona sobre el mantenimiento del software?.

1.1. Propósito

Éste estándar internacional proporciona una guía sobre la gestión de (o como llevar a cabo el proceso de mantenimiento). Eso da lugar a que dicho estándar proporciona una gran ayuda y facilidad de seguimiento para tener claras

...