Embed Size (px)
Citation preview
LAS NORMAS EN LA SEGURIDAD DE LOS SISTEMAS DE LA INFORMACIÓN
Papel de las normas en la seguridad de los sistemas de tecnologías de la información
Para las organizaciones son muy importante la garantías de seguridad como la confidencialidad, la integridad, la disponibilidad y la autenticidad. Todo esto en la información para la toma de daciones.
Esto demanda la existencia de un conjunto de Normas, esto para satisfacer las construcción, mantenimiento y la mejora de seguridad de la información y de los sistemas que la soportan, q a su vez aportan competitividad y calidad.
Conceptos Básicos de Normalización
Las normas son especificaciones técnicas, de carácter voluntario, consensuadas, elaboradas con las participaciones de las partes interesadas y aprobadas por un organismo reconocido.
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) tiene por objeto favorecer el desarrollo de la normalización en el mundo.
Órganos De Trabajo Técnicos ISO
Comités Técnicos
(CT)
Subcomités (SC)
Grupos de Trabajo
(GT)
Documentos Elaborados Por ISO/IEC
Norma Internacional (ISO/IEC): es elaborada por los miembros participantes en un comité técnico, subcomité o grupo de trabajo y aprobada por votación entre los participantes.
Informe técnico (TR): elaborado para informar sobre los procesos técnicos de un tema determinado.
Actuación del subcomité ISO/IEC JTC 1/SC 27 técnica de seguridad- tecnológica de la información
Tiene como alcance y área de trabajo la normalización de métodos genéricos y técnicas para la seguridad de tecnologías de la información.
Estructura de SC27
GT1: Requerimientos, servicios de seguridad y guías.
GT2: Mecanismos y técnicas de seguridad
GT3: Criterios de evaluación de la seguridad.
GT4: Servicios y controles de seguridad
GT5: Gestión de identidad y privacidad.
Sistema de gestión de seguridad de la
información
•Serie 27000•Otras normas seleccionadas
Evaluación de la seguridad de las TI
•Evaluación de la seguridad •Metodología de la evaluación •Otras normas relacionadas
Técnicas y mecanismos
Normas sobre técnicas y mecanismos criptográficos y no criptográficos
Gestión de identidad y privacidad
Servicios y controles de seguridad
Pan
orá
mic
a g
en
era
l d
e
ám
bit
os d
e n
orm
alizació
n
ISO
/IEC
sc27
Gestión de la seguridad de la información
En este campo se persigue superar una situación precedente que se detecto como insatisfactoria, fundamentalmente por razones que tienen que ver con la carencia de normas en ámbitos significativos de la seguridad de las tecnologías de la información.
Principios futuros en las normas de seguridad de la información
La gestión de la seguridad de la información debe ser coherente con los principios generales de gobiernos de las tecnologías de la información en las organizaciones
La gestión de la seguridad de la información debe ser coherente con los principios de seguridad de la OCDE
La gestión de la seguridad de la información debe ser coherente con otros sistemas de gestión, tales como los contemplados en ISO 9001 e ISO 14001
La gestión de la seguridad de la información debe ser coherentes con los previsto en las Guías ISO 72 e ISO 73
Técnicas y mecanismos
Destacan en este ámbito las técnicas y mecanismos que tiene un protagonismo singular y creciente en la garantía de dimensiones de seguridad tales como la confidencialidad, la integridad y la autentificación: forman parte de estructuras mas complejas como servicios, aplicaciones e infraestructuras, que se han convertido en componentes claves sobre los que se sustenta piezas esenciales para los servicios administrativos o comercio electrónico.
Confianza en los productos y sistemas de tecnologías de la información
Los usuarios de productos y sistemas de tecnologías de la información necesitan confianza en que las soluciones que puedan desplegar satisfacen los objetivos de seguridad declarados por las mismas, en el sentido de que son capaces de hacer frente a las amenazas identificadas, de satisfacer las políticas de seguridad definidas en el marco de unos determinados supuestos o hipótesis de seguridad, así como de incorporar unos requisitos funcionales y de aseguramiento que contribuyen a la satisfacción de los citados objetivos
Amenazas Identificadas
Supuestos de Seguridad
Requisitos de Aseguramiento
Requisitos Funcionales
Políticas de Seguridad
OBJETIVOS DE SEGURIDAD
Relación de los objetivos de seguridad con amenazas, políticas supuestos y requisitos funcionales y de aseguramiento
Perspectivas De Evolución Las norma se encuentran en constante
desarrollo y revisión para recoger el estado del arte de la tecnología en permanente cambio y evolución, para actualizarse, para abarcar nuevas aéreas de normalización, para depurar duplicidades, solapamientos o incluso requisitos contradictorios.
La normalización es, en definitiva, un proceso continuo, sin fin, en el que no cabe estancamiento.
