420 likes | 1.1k Views
González Díaz Karen Isbeth Aguirre López Mayra Lizbeth grupo: 3202__informatica seguridad informática. Serie Iso 27000 Iso 27001 Iso 27002. ISO e IEC.
E N D
González Díaz Karen Isbeth Aguirre López Mayra Lizbethgrupo: 3202__informaticaseguridad informática Serie Iso 27000 Iso 27001 Iso 27002
ISO e IEC • ISO es la Organización Internacional de Normalización . La empresa fue creada en 1947 y se encuentra en Ginebra, Suiza. Su propósito es desarrollarestándares que deberían apoyar y facilitar el comercio internacional. • IEC es la Comisión Electrotécnica Internacional . La empresa fue creada en 1906 y también se encuentra en Ginebra, Suiza . Su propósito es desarrollar estándares para todo tipo de electro tecnologías. • Tanto la ISO y la IEC son apoyados por los organismos nacionales miembros. Estos organismos miembros participar en el proceso de elaboración de normas a través de los comités técnicos.
ISO 27000 • Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. • Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman.
ISO 27001.= Fue aprobado y publicado como estándar internacional el 15 de Octubre de 2005 por International Organizationfor Standardization y por la comisión InternationalElectrotechnicalCommission. La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido.
ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.
ISO 27001 evaluando los riesgos y los impactos que generan dichos riesgos para el caso concreto de la entidad estudiada, de manera que siempre se puedan garantizar los 3 principios clave: • Disponibilidad: la información debe estar disponible en forma oportuna cuando es requerida. • Integridad: debe asegurarse la exactitud y completitud de la información y los métodos de procesamiento. • Confidencialidad: solo los usuarios autorizados pueden tener acceso a la información relevante.
Que es el ISO 27002 • ISO 27002 es un estándar para la seguridad de la información
Para que sirve el ISO 27002 • Para que la información este protegida, la infraestructura que soporta, la información también debe ser protegida. Esta infraestructura incluye todas las redes , sistemas y funciones que permiten a las organizaciones a gestionar y controlar sus datos activos .
De donde proviene • ISO/IEC 17799 (denominada también como ISO 27002) publicado por primera vez como ISO/IEC 17799:2000 por la International OrganizationforStandardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Informationtechnology - Security techniques - Code of practiceforinformationsecuritymanagement. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.
surge • Para proteger la información ya que modernas organizaciones se enfrentan a una amplia gama de amenazas de seguridad. Estas amenazas incluyen todo, desde humana error y fallas en los equipos de robo, fraude, vandalismo,sabotaje, incendios, inundaciones , e incluso el terrorismo.
ISO 27002 • Con origen en la norma británica BS7799-1, constituye un código de buenas prácticas para la Gestión de la Seguridad de la Información. • Establece la base común para desarrollar normas de seguridad dentro de las organizaciones. • Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información.
Dominios ISO 27002 • Política de Seguridad • Organización de Seguridad • Clasificación y Control de Activos • Aspectos humanos de la seguridad • Seguridad Física y Ambiental • Gestión de Comunicaciones y Operaciones • Sistema de Control de Accesos • Desarrollo y Mantenimiento de Sistemas • Plan de Continuidad del Negocio • Cumplimiento Legal
La norma ISO 27002 estándar tiene que ver con la información . Dado que la información puede existir en muchas formas, la norma ISO 27002 tiene un muy amplio enfoque. En el contexto de esta norma, el término informaciónincluye al menos la siguiente: • Los archivos electrónicos • Archivos de software • Archivos de datos • Los documentos en papel • Los materiales impresos • Notas escritas a mano • Fotografías • Grabaciones • Las grabaciones de vídeo • Grabaciones de audio • Comunicaciones • Conversaciones • Las conversaciones telefónicas • Conversaciones de teléfonos celulares • Cara a cara conversaciones • Mensajes • Mensajes de correo electrónico • Los mensajes de fax • Mensajes de vídeo • Mensajes instantáneos • Mensajes físicos
De acuerdo con la norma ISO 27002 , la información se puede proteger con una amplia variedad de controles . Además de las funciones de hardware y software, controles incluyen cosas como las políticas, procedimientos, procesos y estructuras organizativas. Con el fin de proteger su información, las organizaciones deben desarrollar, implementar, monitorear, evaluar y mejorar este tipo de controles de seguridad.
ESTRUCTURA DE LA NORMA ISO IEC 27002 • Cada sección de la ISO IEC 27002 2005 estándar se ha estructurado en la misma forma básica. Cada sección se utilizan las mismas cuatro categorías : objetivos , control , orientación Implementación y Otra información . Cada sección comienza con uno o más objetivos . Esto es seguido por una discusión de los controles que deben ser utilizados para conseguir estos objetivos. Este debate orientado al control es seguida inmediatamente por una guía de implementación detallada que explica cómo los controles pueden ser implementados . En la mayoría de los casos, cada sección termina también con otra información que explica, además, que la sección se trata.