Scribd Logo
Upload

Welcome to Scribd!

  • Normas Leyes

    Uploaded by

    Eivar Ramirez
    51 views18 pages

    Original Title

    normas-leyes

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    51 views18 pages

    Normas Leyes

    Uploaded by

    Eivar Ramirez

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 18

    Estndares y Normas de Seguridad

    Por qu normas/estndares de seguridad?

    Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestin competente y efectiva de la seguridad de los recursos y datos que gestionan.

    Deben demostrar que identifican y detectan los riesgos a los que est sometida y que adoptan medidas adecuadas y proporcionadas. Necesario: conjunto estructurado, sistemtico, coherente y completo de normas a seguir.

    Herramienta: SGSI (Sistema de Gestin de la Seguridad de la Informacin)

    En ingls ISMS (Information Security Management System) SGSI: proceso sistemtico, documentado y conocido por toda la organizacin para garantizar que la seguridad de la informacin es gestionada correctamente

    Familia de Normas ISO/IEC 27000

    Normas ISO 27000: Familia de estndares de ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) que proporciona un marco para la gestin de la seguridad Conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamieto, controlar, revisar, mantener y mejorar un SGSI

    Normas base: 20001, 20002 Normas complementarias: 20003, 20004, 20005, ...

    Seguridad de la informacin (segn ISO 27001): preservacin de su confidencialidad, integridad y disponibilidad, as como la de los sistemas implicados en su tratamiento

    Confidencialidad: la informacin no se pone a disposicin ni se revela a individuos, entidades o procesos no autorizados. Integridad: mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Disponibilidad: acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

    Familia de Normas ISO/IEC 27000

    ISO/IEC 27000: define el vocabulario estndar empleado en la familia 27000 (definicin de trminos y conceptos) ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000

    Define cmo es el SGSI, cmo se gestiona y cales son las resposabilidades de los participantes. Sigue un modelo PDCA (Plan-Do-Check-Act) Puntos clave: Gestin de riesgos + Mejora contnua

    ISO/IEC 27002: cdigo de buenas prcticas para la gestin de la seguridad

    Recomendaciones sobre qu medidas tomar para asegurar los sistemas de informacin de una organizacin Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la informacin) y especifica los controles recomendables a implantar (medidas a tomar) Antes ISO 17799, basado en estndar BS 7799 (en Espaa norma UNE-ISO 17799)

    Familia de Normas ISO/IEC 27000


    ISO/IEC 27003:gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicacin) ISO/IEC 27004: especifica las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo, pendiente de publicacin)
    medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA.

    ISO/IEC 27005: gestin de riesgos de seguridad de la informacin (recomendaciones, mtodos y tcnicas para evaluacin de riesgos de seguridad) ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001
    Requisitos para la acreditacin de las entidades de auditoria y certificacin

    Familia de Normas ISO/IEC 27000

    ISO/IEC 27007: gua de actuacin para auditar los SGSI conforme a las normas 27000 ISO/IEC 27011: gua de gestin de seguridad de la informacin especfica para telecomunicaciones (en desarrollo)

    elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones)

    ISO/IEC 27031: gua de continuidad de negocio en lo relativo a tecnologas de la informacin y comunicaciones (en desarrollo) ISO/IEC 27032: gua relativa a la ciberseguridad (en desarrollo) ISO/IEC 27032: gua de seguridad en aplicaciones (en desarrollo) ISO/IEC 27799: gua para implantar ISO/IEC 27002 especfica para entornos mdicos

    ISO/IEC 27001

    Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organizacin. Especifica los requisitos para la implantacin de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas

    Objetivo: Mejora continua Se adopta el modelo Plan-Do-CheckAct (PDCA ciclo de Deming) para todos los procesos de la organizacin.

    ISO/IEC 27001
    Fase Planificacin (Plan) [establecer el SGSI]: Establecer la poltica,objetivos, procesos y procedimientos relativos a la gestin del riesgo y mejorar la seguridad de la informacin de la organizacin para ofrecer resultados de acuerdo con las polticas y objetivos generales de la organizacin. Fase Ejecucin (Do) [implementar y gestionar el SGSI]: Implementar y gestionar el SGSI de acuerdo a su poltica, controles, procesos y procedimientos. Fase Seguimiento (Check) [monitorizar y revisar el SGSI]: Medir y revisar las prestaciones de los procesos del SGSI. Fase Mejora (Act) [mantener y mejorar el SGSI]: Adoptar acciones correctivas y preventivas basadas en auditoras y revisiones internas en otra informacin relevante a fin de alcanzar la mejora contnua del SGSI.

    ISO/IEC 27001
    PLAN: Establecimiento y gestin del SGSI
    definir el alcance del sistema de gestin definir la poltica del SGSI definir la metodologa para la valoracin del riesgo identificar los riesgos elaborar un anlisis y evaluacin de dichos riesgos identificar los diferentes tratamientos del riesgo seleccionar los controles y objetivos de los mismos que posibilitarn dicho tratamiento

    DO: Implantacin y puesta en marcha del SGSI

    preparar un plan de tratamiento del riesgo implantar los controles que se hayan seleccionado medir la eficacia de dichos controles crear programas de formacin y concienciacin

    CHECK + ACT: Control y evaluacin del SGSI

    implantar una serie de procedimientos para el control y la revisin puesta en marcha de una serie de revisiones regulares sobre la eficacia del SGSI, a partir de los resultados de las auditoras de seguridad y de las mediciones tomar las medidas correctivas y preventivas

    ISO/IEC 27002

    Conjunto de recomendaciones sobre qu medidas tomar en la empresa para asegurar los Sistemas de Informacin. Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las reas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestin del riesgo analizado. Objetivo: Definir los aspectos prcticos/operativos de la implantacin del SGSI

    ISO/IEC 27002
    Areas/secciones sobre las que actuar:
    Poltica de seguridad Aspectos organizativos para la seguridad Clasificacin y control de activos Seguridad ligada al personal Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Gestin de incidentes de seguridad de la informacin Gestin de continuidad de negocio Conformidad

    Objetivos de control: aspectos a asegurar dentro de cada rea/seccin Controles: mecanismos para asegurar los distintos objetivos de control (gua de buenas prcticas) Para cada control se incluye una gua para su implantacin

    ISO/IEC 27002

    Legislacin
    Leyes aplicables en relacin con la Seguridad en los Sistemas de Informacin Ley Orgnica de Proteccin de Datos (LOPD)

    + normativas de proteccin de datos


    Ley de Servicios para la Sociedad de la Informacin y el Comercio Electrnico (LSSI-CE) Legislacin de Firma Electrnica (LFE) Relacionadas:
    Ley de Acceso de los Ciudadanos a los Servicios Pblicos Ley de Medidas de Impulso a la Sociedad de la Informacin

    Proteccin de Datos
    Todas las organizaciones que tengan ficheros con datos personales han de declararlos a la Agencia Espaola de Proteccin de Datos (www.agpd.es) Hay que implantar un documento de seguridad Ficheros de datos personales clasificados en tres niveles:
    Bsico: Ficheros con informacin personal Medio: Ficheros con datos relativos a la comisin de infracciones administrativas, Hacienda Pblica, Servicios financieros, as como los ficheros para la prestacin de servicios de informacin sobre solvencia patrimonial y de crdito Alto: Ficheros con datos sobre ideologa, religin, creencias, origen racial, salud o vida sexual, as como los datos recabados para fines policiales sin consentimiento del afectado

    Hay que aplicar medidas de seguridad tcnicas y organizativas en funcin del nivel y segn establece el reglamento Auditoras bienales para ficheros de nivel medio y alto

    Proteccin de Datos Personales


    Ley Orgnica 15/1999, de 13 de Diciembre de Proteccin de Datos de Carcter Personal - LOPD Real Decreto 994/1999 de 11 de Junio por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carcter personal Real Decreto 1720/2007 de 19 de diciembre por el que se aprueba el Nuevo Reglamento de Medidas de Seguridad de los ficheros automatizados y fsicos que contengan datos de carcter personal

    LSSI-CE
    Ley 34/2002 de 11 de Julio, de Servicios de la Sociedad de la Informacin y del Comercio Electrnico LSSI-CE ( www.lssi.es) Establece los criterios de servicios en Internet, cuando sean parte de actividad econmica. Validez y regulacin del comercio electrnico

    Servicios por Internet

    LSSI-CE

    Mostrar en la web: Nombre, NIF, direccin, correo electrnico Datos de inscripcin registral incluyendo nombre del dominio Mostrar precios de los productos y servicios, Contratacin y tramitacin on-line Autenticacin mediante certificados y establecer canales seguros SSL

    Sobre la publicidad por Internet


    Prohibicin de los spam (email no solicitado) Posibilidad de borrarse de las listas de correo informativo

    Sobre los prestadores de servicios ISP, Hosting


    Colaborar con los organos pblicos para resolucion de incidencias: almacenamiento de logs y eventos para rastreo Informar a los clientes sobre medidas de seguridad a aplicar No son responsables de contenidos ilcitos si no los elaboran, S son responsables si los conocen y no los retiran o no los comunican.

    Sobre titulares de pginas personales


    Solo sujetas a la ley si tienen publicidad por la que perciban ingresos Identificar claramente la publicidad y la identidad: nombre, tfno, fax, eMail, NIF

    Legislacin Firma Electrnica


    Ley 59/2003 de 19 de Diciembre, de firma electrnica Equipara la firma electrnica a la firma fsica, estableciendo su validez legal Regula a los Prestadores de Servicios de Certificacin (PSC Autoridades de Certificacin) Regula los certificados reconocidos Regula los dispositivos seguros de creacin de firmas Implementa/adapta la directiva europea 1999/93/EC (iniciativas eEurope) Introduce el DNI electrnico (DNIe)
    RD 1553/2005 de 23 Diciembre, regula la expedicin

    You might also like