ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Tecnología de la información -Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información


Enviado por   •  31 de Julio de 2020  •  Documentos de Investigación  •  11.965 Palabras (48 Páginas)  •  133 Visitas

Página 1 de 48

Tecnología de la información -Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información.

  1. Alcance

Esta Norma Internacional proporciona pautas para las normas de seguridad de la información de la organización y las prácticas de gestión de la seguridad de la información, incluida la selección, implementación y gestión de controles teniendo en cuenta los entornos de riesgo de seguridad de la información de la organización.

Esta Norma Internacional está diseñada para ser utilizada por organizaciones que tienen la intención de:

  1. Seleccionar controles dentro del proceso de implementación de un Sistema de Gestión de Seguridad de la Información basado en ISO / IEC 27001;

[pic 1]

  1. Implementar controles de seguridad de la información comúnmente aceptados;

  1. Desarrollar sus propias pautas de gestión de seguridad de la información.

  1. Referencias normativas

Los siguientes documentos, en su totalidad o en parte, están referenciados normativamente en este documento y son indispensables para su aplicación. Para las referencias con fecha, sólo se aplica la edición citada. Para referencias sin fecha, se aplica la última edición del documento referenciado (incluidas las enmiendas).

ISO / IEC 27000, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Descripción general y vocabulario

  1. Términos y definiciones

Para los propósitos de este documento, se aplican los términos y definiciones dados en ISO / IEC 27000.

  1. Estructura de esta norma

Esta norma contiene 14 cláusulas de control de seguridad que en conjunto contienen un total de 35 categorías principales de seguridad y 114 controles.

4.1 Cláusulas

Cada cláusula que define los controles de seguridad contiene una o más categorías principales de seguridad. El orden de las cláusulas de esta norma no implica su importancia. Dependiendo de las circunstancias, los controles de seguridad de cualquiera o todas las cláusulas pueden ser importantes, por lo tanto, cada organización que aplique este estándar debe identificar los controles aplicables, la importancia de estos y su aplicación a los procesos comerciales individuales. Además, las listas en este estándar no están en orden de prioridad.

4.2 Categorías de control

Cada categoría principal de control de seguridad contiene:

  1. un objetivo de control que establece lo que se debe lograr.
  2. uno o más controles que pueden aplicarse para lograr el objetivo de control.

Las descripciones de control están estructuradas de la siguiente manera:

Control

Define la declaración de control específica, para satisfacer el objetivo de control. 

Guía de Implementación

Proporciona información más detallada para respaldar la implementación del control y cumplir con el objetivo de control. La guía puede no ser del todo adecuada o suficiente en todas las situaciones y puede no cumplir con los requisitos de control específicos de la organización.

Otra información

Proporciona más información que puede ser necesario considerar, por ejemplo, consideraciones legales y referencias a otras normas. Si no se proporciona otra información, esta parte no se muestra.

  1. Políticas de seguridad de la información

5.1 Dirección de gestión para la seguridad de la información

Objetivo: Proporcionar dirección de gestión y soporte para la seguridad de la información de acuerdo con los requisitos comerciales y las leyes y regulaciones relevantes.

5.1.1 Políticas para la seguridad de la información

Controlar

Un conjunto de políticas para la seguridad de la información debe definirse, aprobarse por la gerencia, publicarse y comunicarse a los empleados y partes externas relevantes.

Guía de implementación

Al más alto nivel, las organizaciones deben definir una "política de seguridad de la información" que sea aprobada por la administración y que establezca el enfoque de la organización para administrar sus objetivos de seguridad de la información.

Las políticas de seguridad de la información deben abordar los requisitos creados por:

  1. Estrategia comercial.
  2. Regulaciones, legislación y contratos.
  3. El entorno actual y proyectado de amenazas a la seguridad de la información.

La política de seguridad de la información debe contener declaraciones sobre:

  1. Definición de seguridad de la información, objetivos y principios para guiar todas las actividades relacionadas con la seguridad de la información.

  1. Asignación de responsabilidades generales y específicas para la gestión de seguridad de la información a roles definidos.

  1. Procesos para manejar desviaciones y excepciones.

En un nivel inferior, la política de seguridad de la información debe estar respaldada por políticas específicas del tema, que obligan aún más a la implementación de controles de seguridad de la información y, por lo general, están estructuradas para abordar las necesidades de ciertos grupos objetivo dentro de una organización o para cubrir ciertos temas.

Ejemplos de tales temas de políticas incluyen:

  1. Control de acceso (ver Cláusula 9).
  2. Clasificación de información (y manejo) (ver 8.2).
  3. Seguridad física y ambiental (ver Cláusula 11).
  4. Temas orientados al usuario final tales como:

  1. Uso aceptable de los activos (ver 8.1.3).
  2. Limpiar el escritorio y limpiar la pantalla (ver 11.2.9).
  3. Transferencia de información (ver 13.2.1).
  4. Dispositivos móviles y teletrabajo (ver 6.2).
  5. Restricciones en la instalación y uso del software (ver 12.6.2).

  1. Copia de seguridad (ver 12,3).
  1. transferencia de información (ver 13,2).

[pic 2][pic 3]

  1. Protección contra malware (ver 12,2).

  1. Gestión de vulnerabilidades técnicas (ver 12.6.1).

  1. Controles criptográficos (ver Cláusula 10).
  1. Seguridad de las comunicaciones (ver Cláusula 13).
  1. Privacidad y protección de la información de identificación personal (ver 18.1.4).
  1. Relaciones con proveedores (ver Cláusula 15).

Estas políticas deben comunicarse a los empleados y a las partes externas relevantes en una forma que sea relevante, accesible y comprensible para el lector previsto, por ejemplo, en el contexto de un "programa de concientización, educación y capacitación en seguridad de la información" 7.2.2)

...

Descargar como (para miembros actualizados)  txt (83.4 Kb)   pdf (372.9 Kb)   docx (952.2 Kb)  
Leer 47 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com