Normas de
gestión de seguridad de la información
Perspectiva general:
En 2004 se crea la serie 27000, con el objetivo de
contribuir a la mejor identificación y ordenación de las normas de gestión de
seguridad de la información, y satisfacer cuestiones tales como las siguientes:
- Proporcionar
un marco homogéneo de normas y directrices.
- Proporcionar
requisitos, metodologías y técnicas de valoración.
- Evitar el
solapamiento de las normas y favorecer la armonización.
- Alinearse
con los principios generalmente aceptados relativos al gobierno de las
organizaciones.
- Ser
consistente con las Directrices de Seguridad y de Privacidad de la OCDE.
- Usar lenguaje
y métodos comunes.
- Facilitar
la flexibilidad en la selección e implantación de controles.
- Ser
consistente con otras normas y directivas de ISO.
El estado de situación de la serie 27000 es el siguiente:
|
Numeración
|
Estado de situación
|
|
|
27000
|
en proyecto: information security management
fundamentls and vocabulary
|
|
|
27001
|
ISO/IEC IS 27001:2005 information technology
segurity techni
|
|
|
27002
|
ISO/IEC IS 17799:2005Information technology –
Security techniques – Code of practice for information security management.
|
|
|
27003
|
En proyecto: Information security management
system implementation guidance.
|
|
|
27004
|
En proyecto: Information technology Security
techniques - Information security management measurements.
|
|
|
27005
|
En proyecto: Information Security Risk
Management.
|
|
|
27006
|
ISO/IEC IS 27006:2007Requirements for the
accreditation of bodies providing certification of information security
management systems.
|
|
|
Norma disponible desde el 13 de febrero de 2007.
|
||
|
27007
|
En proyecto: Auditing Information Security Management
Systems against ISO 27001
|
|
|
27008
|
En reserva.
|
|
|
27009
|
En reserva.
|
|
|
27011
|
En proyecto. Information security management
guidelines for telecommunications
|
Informes y normas UNE
En el ámbito de la normalización nacional, la creación de
un cuerpo de normas e informes UNE viene tratando principalmente, hasta la
fecha, la gestión de la seguridad de la información:
|
Informes y normas UNE
|
|
|
Informe UNE 71501-1:2001
|
Guía
para la gestión de la seguridad de la tecnología de la información. Conceptos
y modelos para la seguridad de la tecnología de la información.
|
|
Informe UNE 71501-2:2001
|
Guía
para la gestión de la seguridad de la tecnología de la información. Gestión y
planificación de la seguridad de la tecnología de la información.
|
|
Informe UNE 71501-3:2001
|
Guía
para la gestión de la seguridad de la tecnología de la información. Técnicas
para la gestión de la seguridad de la tecnología de la información.
|
|
UNE 71502:2004
|
Especificaciones
de un sistema de gestión de la seguridad de la información.
|
|
UNE ISO/IEC 17799:2002
|
Código
de buenas prácticas para la gestión de la seguridad de la información.
|
Sistema de
gestión de seguridad de la información
Diversas normas promueven la aplicación de un sistema de
procesos encaminado a gestionar la seguridad. Tal enfoque enfatiza la
importancia de aspectos tales como los siguientes:
- La
comprensión de los requisitos de seguridad de la información y la
necesidad de establecer objetivos y una política para la seguridad de la información.
- La
implantación y explotación de controles para gestionar los riesgos
relativos a la seguridad de la información en el contexto general de los
riesgos globales de la organización.
- El
seguimiento del rendimiento del sistema.
- La mejora
continua basada en la medida de los objetivos.
Tales normas adoptan el ciclo conocido como
“Plan-Do-Check-Act” para especificar los requisitos del denominado Sistema de
Gestión de Seguridad de la Información. A la fecha se dispone de las siguientes
normas:
§
UNE 71502:2004
Especificaciones para los sistemas de gestión de la seguridad de la
información.
§ ISO/IEC 27001:2005 Information
Technology – Security techniques – Information security management systems –
Requirements.
Se encuentra en elaboración la norma UNE equivalente a
ISO/IEC 27001:2005 con vistas a retirar a corto plazo la norma UNE 71502:2004.
La norma UNE 71502:2004 define un Sistema de Gestión de
la Seguridad de la Información (SGSI) como aquel “sistema de gestión que
comprende la política, la estructura organizativa, los procedimientos, los
procesos y los recursos necesarios para implantar la gestión de la seguridad de
la información. El sistema es la herramienta de que dispone la dirección de las
organizaciones para llevar a cabo las políticas y los objetivos de seguridad
(integridad, confidencialidad y disponibilidad, asignación de responsabilidad,
autenticación). Proporciona mecanismos para la salvaguarda de los activos de
información y de los sistemas que los procesan, en concordancia con las
políticas de seguridad y planes estratégicos de la organización.”
Mientras que la
norma ISO/IEC 27001:2005 lo define como:
“Parte del sistema global de gestión, que, sobre la base
de un enfoque basado en los riesgos, se ocupa de establecer, implantar, operar,
seguir, revisar, mantener y mejorar la seguridad de la información. El sistema
de gestión incluye estructuras organizativas, políticas, actividades de
planificación, responsabilidades, prácticas, procedimientos, procesos y
recursos.”
La implantación de un SGSI permite a una organización lo
siguiente:
ü
Conocer los
riesgos.
ü
Prevenir,
reducir, eliminar o controlar los riesgos mediante la adopción de los controles
adecuados.
ü
Asegurar el
cumplimiento de la legislación en materias tales como la protección de los
datos de carácter personal, los servicios de la sociedad de la información o la
propiedad intelectual, entre otras.
No hay comentarios:
Publicar un comentario