Estándares y Normas de Seguridad    ¿Por qué normas/estándares de seguridad?            Las organizaciones necesitan (en...
Familia de Normas ISO/IEC 27000    Normas ISO 27000: Familia de estándares de ISO (International    Organization for Stan...
Familia de Normas ISO/IEC 27000    ISO/IEC 27000: define el vocabulario estándar empleado en la    familia 27000 (definic...
Familia de Normas ISO/IEC 27000 ISO/IEC 27003:guía de implementación de SGSI e información  acerca del uso del modelo PDC...
Familia de Normas ISO/IEC 27000    ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las    normas 27000...
ISO/IEC 27001     “ Norma que especifica los requisitos para establecer, implantar, poner en     funcionamiento, controla...
ISO/IEC 27001Fase Planificación (Plan) [establecer el SGSI]: Establecer la  política,objetivos, procesos y procedimientos ...
ISO/IEC 27001PLAN: Establecimiento                DO: Implantación y puesta en marcha  y gestión del SGSI                 ...
ISO/IEC 27002    Conjunto de recomendaciones sobre qué medidas tomar en la    empresa para asegurar los Sistemas de Infor...
ISO/IEC 27002  Areas/secciones sobre las que actuar:   Política de seguridad                 Control de accesos   Aspe...
ISO/IEC 27002
Legislación• Leyes aplicables en relación con la Seguridad en los  Sistemas de Información• Ley Orgánica de Protección de ...
Protección de Datos• Todas las organizaciones que tengan ficheros con datos personales  han de declararlos a la Agencia Es...
Protección de Datos PersonalesLey Orgánica 15/1999, de 13 de Diciembre de Protección de Datos  de Carácter Personal - LOPD...
LSSI-CE• Ley 34/2002 de 11 de Julio, de Servicios de la Sociedad  de la Información y del Comercio Electrónico – LSSI-CE (...
LSSI-CE•   Servicios por Internet     – Mostrar en la web: Nombre, NIF, dirección, correo electrónico     – Datos de inscr...
Legislación Firma Electrónica• Ley 59/2003 de 19 de Diciembre, de firma electrónica• Equipara la firma electrónica a la fi...
Normas leyes-familia iso-27000
Upcoming SlideShare
Loading in …5
×

Normas leyes-familia iso-27000

2,186 views

Published on

Published in: Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,186
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
104
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Normas leyes-familia iso-27000

  1. 1. Estándares y Normas de Seguridad ¿Por qué normas/estándares de seguridad?  Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los recursos y datos que gestionan. − Deben demostrar que identifican y detectan los riesgos a los que está sometida y que adoptan medidas adecuadas y proporcionadas. − Necesario: conjunto estructurado, sistemático, coherente y completo de normas a seguir. Herramienta: SGSI (Sistema de Gestión de la Seguridad de la Información)  En inglés ISMS (Information Security Management System)  SGSI: proceso sistemático, documentado y conocido por toda la organización para garantizar que la seguridad de la información es gestionada correctamente
  2. 2. Familia de Normas ISO/IEC 27000 Normas ISO 27000: Familia de estándares de ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) que proporciona un marco para la gestión de la seguridad Conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamieto, controlar, revisar, mantener y mejorar un SGSI  Normas base: 20001, 20002  Normas complementarias: 20003, 20004, 20005, ... Seguridad de la información (según ISO 27001): preservación de su confidencialidad, integridad y disponibilidad, así como la de los sistemas implicados en su tratamiento  Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.  Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.  Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
  3. 3. Familia de Normas ISO/IEC 27000 ISO/IEC 27000: define el vocabulario estándar empleado en la familia 27000 (definición de términos y conceptos) ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000  Define cómo es el SGSI, cómo se gestiona y cúales son las resposabilidades de los participantes.  Sigue un modelo PDCA (Plan-Do-Check-Act)  Puntos clave: Gestión de riesgos + Mejora contínua ISO/IEC 27002: código de buenas prácticas para la gestión de la seguridad  Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización  Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendables a implantar (medidas a tomar)  Antes ISO 17799, basado en estándar BS 7799 (en España norma UNE-ISO 17799)
  4. 4. Familia de Normas ISO/IEC 27000 ISO/IEC 27003:guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicación) ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo, pendiente de publicación)  medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA. ISO/IEC 27005: gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad) ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001  Requisitos para la acreditación de las entidades de auditoria y certificación
  5. 5. Familia de Normas ISO/IEC 27000 ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000 ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en desarrollo)  elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones) ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones (en desarrollo) ISO/IEC 27032: guía relativa a la ciberseguridad (en desarrollo) ISO/IEC 27032: guía de seguridad en aplicaciones (en desarrollo) ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos
  6. 6. ISO/IEC 27001 “ Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas”  Objetivo: Mejora continua  Se adopta el modelo Plan-Do-Check- Act (PDCA ó ciclo de Deming) para todos los procesos de la organización.
  7. 7. ISO/IEC 27001Fase Planificación (Plan) [establecer el SGSI]: Establecer la política,objetivos, procesos y procedimientos relativos a la gestión del riesgo y mejorar la seguridad de la información de la organización para ofrecer resultados de acuerdo con las políticas y objetivos generales de la organización.Fase Ejecución (Do) [implementar y gestionar el SGSI]: Implementar y gestionar el SGSI de acuerdo a su política, controles, procesos y procedimientos.Fase Seguimiento (Check) [monitorizar y revisar el SGSI]: Medir y revisar las prestaciones de los procesos del SGSI.Fase Mejora (Act) [mantener y mejorar el SGSI]: Adoptar acciones correctivas y preventivas basadas en auditorías y revisiones internas ó en otra información relevante a fin de alcanzar la mejora contínua del SGSI.
  8. 8. ISO/IEC 27001PLAN: Establecimiento DO: Implantación y puesta en marcha y gestión del SGSI del SGSI definir el alcance del sistema  preparar un plan de tratamiento del riesgo de gestión  implantar los controles que se hayan seleccionado definir la política del SGSI  medir la eficacia de dichos controles definir la metodología para la valoración del riesgo  crear programas de formación y concienciación  identificar los riesgos  elaborar un análisis y CHECK + ACT: Control y evaluación evaluación de dichos riesgos del SGSI  identificar los diferentes  implantar una serie de procedimientos para el control y la revisión tratamientos del riesgo seleccionar los controles y  puesta en marcha de una serie de revisiones regulares sobre la eficacia del SGSI, a partir de los resultados de objetivos de los mismos que las auditorías de seguridad y de las mediciones posibilitarán dicho tratamiento  tomar las medidas correctivas y preventivas
  9. 9. ISO/IEC 27002 Conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información. Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las áreas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestión del riesgo analizado. Objetivo: Definir los aspectos prácticos/operativos de la implantación del SGSI
  10. 10. ISO/IEC 27002  Areas/secciones sobre las que actuar:  Política de seguridad  Control de accesos  Aspectos organizativos para la  Desarrollo y mantenimiento de seguridad sistemas  Clasificación y control de activos  Gestión de incidentes de seguridad de  Seguridad ligada al personal la información  Seguridad física y del entorno  Gestión de continuidad de negocio  Gestión de comunicaciones y  Conformidad operacionesObjetivos de control: aspectos a asegurar dentro de cada área/secciónControles: mecanismos para asegurar los distintos objetivos de control (guía de buenas prácticas) Para cada control se incluye una guía para su implantación
  11. 11. ISO/IEC 27002
  12. 12. Legislación• Leyes aplicables en relación con la Seguridad en los Sistemas de Información• Ley Orgánica de Protección de Datos (LOPD)+ normativas de protección de datos• Ley de Servicios para la Sociedad de la Información y el Comercio Electrónico (LSSI-CE)• Legislación de Firma Electrónica (LFE)• Relacionadas: – Ley de Acceso de los Ciudadanos a los Servicios Públicos – Ley de Medidas de Impulso a la Sociedad de la Información
  13. 13. Protección de Datos• Todas las organizaciones que tengan ficheros con datos personales han de declararlos a la Agencia Española de Protección de Datos (www.agpd.es)• Hay que implantar un documento de seguridad• Ficheros de datos personales clasificados en tres niveles: – Básico: Ficheros con información personal – Medio: Ficheros con datos relativos a la comisión de infracciones administrativas, Hacienda Pública, Servicios financieros, así como los ficheros para la prestación de servicios de información sobre solvencia patrimonial y de crédito – Alto: Ficheros con datos sobre ideología, religión, creencias, origen racial, salud o vida sexual, así como los datos recabados para fines policiales sin consentimiento del afectado• Hay que aplicar medidas de seguridad técnicas y organizativas en función del nivel y según establece el reglamento• Auditorías bienales para ficheros de nivel medio y alto
  14. 14. Protección de Datos PersonalesLey Orgánica 15/1999, de 13 de Diciembre de Protección de Datos de Carácter Personal - LOPDReal Decreto 994/1999 de 11 de Junio por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personalReal Decreto 1720/2007 de 19 de diciembre por el que se aprueba el Nuevo Reglamento de Medidas de Seguridad de los ficheros automatizados y físicos que contengan datos de carácter personal
  15. 15. LSSI-CE• Ley 34/2002 de 11 de Julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico – LSSI-CE ( www.lssi.es)• Establece los criterios de servicios en Internet, cuando sean parte de actividad económica.• Validez y regulación del comercio electrónico
  16. 16. LSSI-CE• Servicios por Internet – Mostrar en la web: Nombre, NIF, dirección, correo electrónico – Datos de inscripción registral incluyendo nombre del dominio – Mostrar precios de los productos y servicios, – Contratación y tramitación on-line – Autenticación mediante certificados y establecer canales seguros SSL• Sobre la publicidad por Internet – Prohibición de los spam (email no solicitado) – Posibilidad de borrarse de las listas de correo informativo• Sobre los prestadores de servicios ISP, Hosting – Colaborar con los organos públicos para resolucion de incidencias: almacenamiento de logs y eventos para rastreo – Informar a los clientes sobre medidas de seguridad a aplicar – No son responsables de contenidos ilícitos si no los elaboran, – Sí son responsables si los conocen y no los retiran o no los comunican.• Sobre titulares de páginas personales – Solo sujetas a la ley si tienen publicidad por la que perciban ingresos – Identificar claramente la publicidad y la identidad: nombre, tfno, fax, eMail, NIF
  17. 17. Legislación Firma Electrónica• Ley 59/2003 de 19 de Diciembre, de firma electrónica• Equipara la firma electrónica a la firma física, estableciendo su validez legal• Regula a los Prestadores de Servicios de Certificación (PSC – Autoridades de Certificación)• Regula los certificados reconocidos• Regula los dispositivos seguros de creación de firmas• Implementa/adapta la directiva europea 1999/93/EC (iniciativas eEurope)• Introduce el DNI electrónico (DNIe) – RD 1553/2005 de 23 Diciembre, regula la expedición

×