viernes, 5 de junio de 2015

ISO 27002 HISTORIA




HISTORIA


ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por la International Organization for Standardization y la Comisión Electrotécnica Internacional. La versión más reciente es la ISO/IEC 27002:2013.

Resultado de imagen para la norma iso 27002

Precedentes y evolución histórica

El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. En el año 2000 la International Organization for Standardization y la Comisión Electrotécnica Internacional publicaron el estándar ISO/IEC 17799:2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento modificado ISO/IEC 17799:2005.

Con la aprobación de la norma ISO/IEZAC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la Seguridad de la Información, el estándar IGFSO/DIEC 17799:2005 pasó a ser renombrado como ISO/IEC 27002 en el año 2007.

Resultado de imagen para la norma iso 27002

Publicación de la norma en diversos países

En España existe la publicación nacional UNE-ISO/IEC 17799, que fue elaborada por el comité técnico AEN/CTN 71 y titulada Código de buenas prácticas para la Gestión de la Seguridad de la Información, que es una copia idéntica y traducida del inglés de la Norma Internacional ISO/IEC 17799:2000. La edición en español equivalente a la revisión ISO/IEC 17799:2005 se estima que esté disponible en la segunda mitad del año 2006.
Resultado de imagen para la norma iso 27002
En Perú la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde agosto del 2004, estandarizando de esta forma los diversos proyectos y metodologías en este campo, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales, la supervisión de su cumplimiento esta a cargo de la Oficina Nacional de Gobierno Electrónico e Informática - ONGEI (www.ongei.gob.pe).

En Chile, se empleó la ISO/IEC 17799:2005 para diseñar la norma que establece las características mínimas obligatorias de seguridad y confidencialidad que deben cumplir los documento electrónicos de los órganos de la Administración del Estado de la República de Chile, y cuya aplicación se recomienda para los mismos fines, denominado Decreto Supremo No. 83, "NORMA TÉCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRÓNICO".

En Bolivia, se aprobó la primera traducción bajo la sigla NB ISO/IEC 17799:2003 por el Instituto de Normalización y calidad IBNORCA el 14 de noviembre del año 2003. Durante el año 2007 se aprobó una actualización a la norma bajo la sigla NB ISO/IEC 17799:2005. Actualmente el IBNORCA ha emitido la norma NB ISO/IEC 27001 y NB ISO/IEC 27002.

El estándar ISO/IEC 17799 tiene equivalentes directos en muchos otros países. La traducción y publicación local suele demorar varios meses hasta que el principal estándar ISO/IEC es revisado y liberado, pero el estándar nacional logra así asegurar que el contenido haya sido precisamente traducido y refleje completa y fehacientemente el estándar ISO/IEC 17799. A continuación se muestra una tabla con los estándares equivalentes de diversos países:
PaísesEstándar equivalente
Bandera de Australia
Bandera de Nueva Zelanda
AS/NZS ISO/IEC 27002:2006
Bandera de BrasilISO/IEC NBR 17799/2007 - 27002
Bandera de la República ChecaČSN ISO/IEC 27002:2006
Bandera de DinamarcaDS484:2005
Bandera de EstoniaEVS-ISO/IEC 17799:2003, 2005 versión en traducción
Bandera de JapónJIS Q 27002
Bandera de LituaniaLST ISO/IEC 17799:2005
Bandera de los Países BajosNEN-ISO/IEC 17799:2002 nl, 2005 versión en traducción
Bandera de PoloniaPN-ISO/IEC 17799:2007, basada en ISO/IEC 17799:2005
Bandera del PerúNTP-ISO/IEC 17799:2007
Bandera de BoliviaNB-ISO/IEC 17799:2005
Bandera de SudáfricaSANS 17799:2005
Bandera de EspañaUNE 71501
Bandera de SueciaSS 627799
Bandera de TurquíaTS ISO/IEC 27002
Bandera del Reino UnidoBS ISO/IEC 27002:2005
Bandera de UruguayUNIT/ISO 17799:2005
Bandera de ChileBS ISO/IEC 27002:2005
Bandera de RusiaГОСТ/Р ИСО МЭК 17799-2005
Bandera de la República Popular ChinaGB/T 22081-2008
Resultado de imagen para la norma iso 27002
Publicadas por a la/s No hay comentarios.:

SEGURIDAD DE LA INFORMACION.



LA SEGURIDAD DE LA INFORMACIÓN.

disponibilidad de la información

que la información es fiable y exacta) y disponibilidad (asegurando que los usuarios autorizados tienen el acceso debido a la información). La información, como uno de los principales activos de las organizaciones, debe protegerse a través de la implantación, mantenimiento y mejora de las medidas de seguridad para que cualquier empresa logre sus objetivos de negocio, garantice el cumplimiento legal, de prestigio y de imagen de la compañía. ISO 27001. Sistema de Gestión de la Seguridad de la Información La norma/estándar UNE ISO/IEC 27001: 2007 del “Sistema de Gestión de la Seguridad de la Información” es la solución de mejora continua más adecuada para evaluar los riesgos físicos (incendios, inundaciones, sabotajes, vandalismos, accesos indebidos e indeseados) y lógicos (virus informáticos, ataques de intrusión o denegación de servicios) y establecer las estrategias y controles 


Resultado de imagen para controles de la norma iso 27002
adecuados que aseguren una permanente protección y salvaguarda de la información. El Sistema de Gestión de la Seguridad de la Información (SGSI) se fundamenta en la norma UNE-ISO/IEC 27001:2007, que sigue un enfoque basado en procesos que utilizan el ciclo de mejora continua o de Deming, que consiste en Panificar-Hacer-Verificar-Actuar,más conocido con el acrónimo en inglés PDCA (PlanDO-Check-Act) (similar a la más extendida y reconocida norma ISO 9001). Asimismo, tiene también su fundamento en la norma UNE–ISO/IEC 27002:2009, que recoge una lista de objetivos de control y controles necesarios para lograr los objetivos de seguridad de la información.
Resultado de imagen para controles de la norma iso 27002
Publicadas por a la/s No hay comentarios.:

LOS CONTROLES DE LA NORMA ISO 27002



Controles de seguridad

La seguridad computacional a menudo se divide en tres categorías maestras distintas, comúnmente llamadas controles:

Físico

Técnico

Administrativo


Estas tres amplias categorías definen los objetivos principales de una implementación de seguridad apropiada. Dentro de estos controles hay sub-categorías que detallan aún más los controles y como estos se implementan.
Resultado de imagen para controles de la norma iso 27002
 Controles físicos

El control físico es la implementación de medidas de seguridad en una estructura definida usada para prevenir o detener el acceso no autorizado a material confidencial. Ejemplos de los controles físicos son:


Cámaras de circuito cerrado


Sistemas de alarmas térmicos o de movimiento


Guardias de seguridad


Identificación con fotos


Puertas de acero con seguros especiales


Biométrica (incluye huellas digitales, voz, rostro, iris, escritura a mano y otros métodos automatizados utilizados para reconocer individuos)

Resultado de imagen para controles de la norma iso 27002
Controles técnicos

Los controles técnicos utilizan la tecnología como una base para controlar el acceso y uso de datos confidenciales a través de una estructura física y sobre la red. Los controles técnicos son mucho más extensos en su ámbito e incluyen tecnologías tales como:


Encriptación


Tarjetas inteligentes


Autenticación a nivel de la red


Listas de control de acceso (ACLs)


Software de auditoría de integridad de archivos

Resultado de imagen para controles de la norma iso 27002
 Controles administrativos

Los controles administrativos definen los factores humanos de la seguridad. Incluye todos los niveles del personal dentro de la organización y determina cuáles usuarios tienen acceso a qué recursos e información usando medios tales como:


Entrenamiento y conocimiento


Planes de recuperación y preparación para desastres


Estrategias de selección de personal y separación


Registro y contabilidad de personal

Resultado de imagen para controles de la norma iso 27002
Publicadas por a la/s No hay comentarios.:

COMO SE EVALÚAN LOS RIESGOS





EVALUACION DE RIESGOS.


los requisitos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. Los gastos en los controles se deben equilibrar frente a la probabilidad de daño para el negocio que resulta de la falta de seguridad.


La evaluación de riesgos se debería repetir periódicamente para tratar cualquier cambio que pueda influir en los resultados de la evaluación de riesgos.

Resultado de imagen para iso 27002

gestión de archivos



Un sistema de gestión de archivos es el software que proporciona a los usuarios y aplicaciones servicios para el uso, acceso y control de accesos, tanto de archivos como a directorios.

Los objetivos que se buscan con la gestión de archivos son los siguientes:

Garantizar que la información del archivo sea válida.

Optimizar el acceso a los archivos.

Proveer soporte E/S a gran variedad de dispositivos de almacenamiento.

Entregar los datos que el usuario pide.

Minimizar o eliminar una potencial pérdida de datos.

Proveer un conjunto estándar de rutinas E/S.

Proveer soporte de E/S a múltiples usuarios.

Resultado de imagen para iso 27002
Publicadas por a la/s No hay comentarios.:
Suscribirse a: Comentarios (Atom)