6. Componente REG-1
Componente REG-1:
• El prestador institucional utiliza un sistema formal de registros.
Características:
• REG 1.1 El prestador institucional cuenta con un sistema
estandarizado de informe de resultados.
• REG 1.2 Se aplican procedimientos establecidos para evitar
pérdidas, mantener la integridad de los registros y su
confidencialidad, por el tiempo establecido en la regulación vigente.
37. Las 10 Secciones de ISO 17799
Control de accesos
Clasificación y
control de los activos
Política de
seguridad Organización de
la Seguridad
Seguridad
del personal
Seguridad física
y medioambiental
Gestión de
comunicaciones
y operaciones
Desarrollo y
mantenimiento
Administración de
la continuidad
Cumplimiento
Información
Confidencialidad
disponibilidad
integridad
38. 1. Politique de
sécurité
2. Sécurité de
l’organisation
3. Classification et
contrôle des actifs
7. Contrôle des
accès
4. Sécurité du personnel 5. Sécurité physique et
environnementale
8. Développement et
maintenance
6. Gestion des communications et
opérations
9. Gestion de la
continuité
10. Conformité
Las 10 Secciones de ISO 17799 (continuación)
1. Política de
seguridad
2. Seguridad de la
organización
3. Clasificación y
control de los
activos
7. Control de accesos
4. Seguridad del personal
5. Seguridad física y
medioambiental
8. Desarrollo y
mantenimiento de los
sistemas
6. Gestión de las
telecomunicaciones y
operaciones
9. Gestión de la
continuidad de las
operaciones de la
empresa
10. Conformidad
Organizacional
Operacional
Seguridad Organizativa.
Seguridad física
Seguridad Lógica
Seguridad Legal
40. Requisitos ISO/IEC 17799:2005
Especificación técnica
Planificación en Continuidad de la
Empresa
Recuperación de Desastres Contrarrestar interrupciones a
las actividades de la empresa y sus procesos de los
efectos creados por un desastre o falla de sistemas de
comunicación / informática.
Desarrollo y
Mantenimiento de Sistema
(1) La seguridad sea parte
integral del sistema de las
gestiones en la organización, (2)
Durante uso/acceso a información
prevenir perdida, modificación o
mal uso de la misma y datos, (3)
Proteger la confidencia,
autenticidad e integridad de la
información, (4) Asegurar
proyectos de informática y
actividades de soporte se realicen
de manera segura, (5) Mantener
la seguridad de las aplicaciones y
plataforma operativa en el uso de
datos, información y "software".
Control de Acceso a Sistema e información
(1) Control de acceso a la información, (2) Prevenir acceso
sin autorización (intrusión) a sistemas de información, (3)
Asegurar la protección de los servicios de red, (4) Prevenir
acceso sin autorización a computadores y redes, (5)
Detectar actividades no autorizadas (intrusión al sistema),
y (6) Igualmente asegurar proteger la información cuando
esta en uso móvil y telecomunicación (en línea por acceso
externo)
41. Requisitos ISO/IEC 17799:2005
especificación técnica
Seguridad Física y Medio
Ambiental
Prevenir acceso no autorizado, daño o
interferencia a las premisas y por ende a
la información. Prevenir daño y perdida de
información, equipos y bienes tal que no
afecten las actividades adversamente.
Prevenir extracción de información (robo)
y mantener la integridad de la información
y sus premisas donde se procesa
información.
Cumplimiento a Requisitos Legales
y Otros
(1) Prevenir brechas de seguridad por actos
criminales o violación de ley civil, regulatoria,
obligaciones contractuales u otros aspectos
de impacto a la seguridad, (2) Asegurar un
sistema (de gestión) cumpliendo con políticas
de seguridad y normativas (ISO 17799, ISO
9001 y otras, también considerar guías ISO
13335 o ISO 15408), (3) Optimizar la
efectividad con el proceso de verificar /
auditar el sistema.
ISO 13335 - Guías para Administración de
Seguridad (de Información)
ISO 15408 - Criterio para Seguridad
(Informática)
42. Requisitos ISO/IEC 17799:2005
especificación técnica
Seguridad del Personal
Reducir el riesgo de errores inadvertidos,
robo, fraude o mal uso de la información.
Mediante conocimiento y prácticas,
asegurar que los usuarios conocen de las
amenazas y las inquietudes en materia de
seguridad de sistema, y los mismos están
apoyados por políticas para seguridad
efectiva. Las políticas y su aplicación son
para asegurar reducir incidentes de
seguridad y funcionamiento inadecuado.
Aplicar pasadas experiencias a mejorar la
seguridad e integridad de la información
(aprender y aplicar experiencias).
Seguridad de la Organización
(1) Administrar la información de forma
efectivamente segura, (2) Mantener
seguridad de bienes y de las actividades en
el procesado de información y sus premisas
cuando accesan otras partes (externos,
contratistas), (3) Mantener la integridad de
la información cuando se utilicen servicios
externos (de apoyo y extensión de
servicios).
43. Administración de Sistemas y Redes
(1) Asegurar premisas y operaciones efectivas a
la seguridad durante uso y retención de la
información, (2) Minimizar las probabilidades de
fallas en sistema ("Hardware"), (3) Proteger la
integridad del "software" y la información que
esta retiene, (4) Mantener integridad y
disponibilidad de información en las redes y su
comunicación, (5) Asegurar salvaguardar
información en red y la protección de su
infraestructura, (6) Prevenir daños a los bienes
(inmóviles y otros) + el potencial de
interrupciones a las actividades de la
organización, (7) Prevenir perdida, modificación o
mal uso de información cuando la misma se
comunica entre organizaciones (clientes,
proveedores, infraestructura).
Control y Clasificación de
Bienes, Inventariar Equipos,
Competencias...
Mantener protección apropiada de los
bienes de la empresa, asegurando que
la información reciba un nivel de
protección apropiado (a la naturaleza
de las actividades).
Política de Seguridad
Proveer dirección y apoyo por la
seguridad de información.
Requisitos ISO/IEC 17799:2005
especificación técnica
44. ¿ Qué es la ISO 27001?
• ISO 27001, titulada "gerencia de la seguridad de la información -
la especificación con la dirección para el uso", es el reemplazo
para Bs7799-2. Se piensa para proporcionar la fundación para la
intervención de los terceros, y ' se armoniza ' con otros
estándares de la gerencia, tales como ISO 9001 y ISO 14001.
• El objetivo básico del estándar es ayudar a establecer y a
mantener un sistema de gerencia eficaz de información, usando
un acercamiento continuo de la mejora. Pone principios de la
OCDE en ejecución (organización para la cooperación y el
desarrollo económicos), gobernando la seguridad de los sistemas
de la información y de la red
45. ISO/IEC 27001:2005
IMPACTO GLOBAL
El 14 de Octubre 2005 se publicó la norma ISO/IEC 27001:2005
denominada "Requisitos para la especificación de sistemas de gestión
de la seguridad de la información (SGSI)". Después de varios meses
en su versión final, ha entrado en vigor este referencial de ámbito
internacional con el principal objetivo de crear un único conjunto de
requisitos en el diseño y gestión de los procesos de seguridad de la
información en una organización. La fecha de publicación de esta
norma estaba prevista para primeros del 2006. El adelanto en las
fechas sólo puede estar justificado por su necesidad.
46. RESUMEN
• ISO 27001 es una Norma
internacional y Certificable, define
cuales son los procesos necesarios
para garantizar una correcta
Gestión de Información, e implantar
en las empresa del siglo XXI una
nueva necesidad , la calidad en el
tratamiento de la información , la
gestión de la calidad en el uso de la
información que es “Gestión de la
Seguridad Informática”
• El panorama que se avecina en
relación a los sistemas de
información, que las tradicionales
tres patas de la seguridad se han
ampliado a siete: