norma iso bs7799 – iso 17799
TRANSCRIPT
-
8/17/2019 Norma ISO BS7799 – ISO 17799
1/34
1
Oscar Bize V.
9-2772134
BS7799 – ISO 17799
-
8/17/2019 Norma ISO BS7799 – ISO 17799
2/34
Prohibida su reproducción
2
Agenda
Objetivo de la Norma
Descripción de sus Controles
HistoriaLas normas BS 7799 Parte 1 y BS 7799 Parte 2
Estándar Internacional ISO/IEC 17799
-
8/17/2019 Norma ISO BS7799 – ISO 17799
3/34
Prohibida su reproducción
3
Objetivos de la Norma
Establecer los controles mínimos a adoptar por una
organización, de modo que le permitan garantizar un posición
mínima de resguardo de los activos de información
-
8/17/2019 Norma ISO BS7799 – ISO 17799
4/34
Prohibida su reproducción
4
Controles
BS7799 aplica sus recomendaciones vía 127 controles,
divididos en 10 grupos.
Se reconoce que no todos los controles serán aplicables a
todas las organizaciones, y la selección de controles
apropiados debe ser un producto entregable del análisis delriesgo
La aplicación de controles se alcanza por medio de políticas y
procedimientos escritos.
-
8/17/2019 Norma ISO BS7799 – ISO 17799
5/34
Prohibida su reproducción
5
Controles de la BS7799
1.- Política de seguridad
2.- Seguridad Organizacional
3.- Clasificación y control del activo
4.- Seguridad del personal
5.- Seguridad física y del medio ambiente
6.- Administración de comunicaciones y operaciones
7.- Control de acceso
8.- Desarrollo y mantención de sistemas9.- Administración de la continuidad del negocio
10.- Conformidad
-
8/17/2019 Norma ISO BS7799 – ISO 17799
6/34
Prohibida su reproducción
6
1.-Política de Seguridad
Objetivo:Proveer dirección y soporte a la administración para la seguridad de la
información.
DEBE ser aprobada por la Administración, publicada y
comunicada a todos los empleadosDEBE ser revisada regularmente
-
8/17/2019 Norma ISO BS7799 – ISO 17799
7/34Prohibida su reproducción
7
1.-Política de Seguridad
Debe incluir, entre otros:Definición de seguridad de la informaciónDeclaración de intención de la administración por apoyar las metas y los principios de laseguridad de la informaciónLa asignación de responsabilidades para todo aspecto de la implantaciónUna explicación específica y general de propiedad, principios, estándares y requisitos deconformidad
Una explicación del proceso para informar sospechas de incidentes de seguridad.Un proceso definido para revisar y mantener el documento de la políticaMedios para determinar la efectividad de la política que incluya costos y cambiostecnológico.Nombramiento de un dueño de la política
-
8/17/2019 Norma ISO BS7799 – ISO 17799
8/34
-
8/17/2019 Norma ISO BS7799 – ISO 17799
9/34Prohibida su reproducción
9
2.- Seguridad Organizacional
Satisfacer los objetivos, requiere, por ej.:Establecer adecuados foros de seguridad
Adopción de políticas y discusión de problemas de seguridad a nivel del directorio
Identificación de un encargado de seguridad
Revisiones independientes de la seguridad que consideran las implicaciones de la seguridad
cuando terceros tienen acceso a los activos de la información y dirección de cláusulas de
seguridad en contratos con terceros.
Asignación de responsabilidades de la protección de activos individuales y de procesosespecíficos de seguridad.
Especificación de requerimientos de seguridad en la firma de contratos de outsourcing con
terceras empresas.
-
8/17/2019 Norma ISO BS7799 – ISO 17799
10/34
-
8/17/2019 Norma ISO BS7799 – ISO 17799
11/34Prohibida su reproducción
11
4.-Seguridad del personal
Objetivos:Reducir el riesgo de error humano, robo, fraude o mal uso de las
instalaciones
Garantizar que los usuarios están conscientes de las preocupaciones
y amenazas de seguridad de la información. Y asegurar que los
usuarios se encuentren equipados para soportar políticas corporativasde seguridad en el curso de su trabajo normal,
Minimizar el daño de incidentes de seguridad y malfuncionamientos y
aprender de ellos.
-
8/17/2019 Norma ISO BS7799 – ISO 17799
12/34Prohibida su reproducción
12
4.-Seguridad del personal
En general, se requiere:Definición de responsabilidades y roles de seguridad en la descripción
de cargo.
Verificación de antecedentes antes de la contratación.
Un contrato de empleo apropiado para un ambiente donde la
seguridad de la información es un tema importante (acuerdo de no-divulgación)
Un contrato que precise las políticas para la seguridad de la
información y su responsabilidad.
Permanente entrenamiento de los usuarios en los términos deseguridad relevantes para su entorno de trabajo.
-
8/17/2019 Norma ISO BS7799 – ISO 17799
13/34Prohibida su reproducción
13
4.-Seguridad del personal
Frente a incidentes:Informes de incidentes de seguridad
Informes de vulnerabilidades de seguridad detectadas
Informes de malfuncionamiento de software
Obtención de antecedentes y aprendizaje frente a incidentes
Procesos disciplinarios para el personal involucrado
-
8/17/2019 Norma ISO BS7799 – ISO 17799
14/34Prohibida su reproducción
14
5.-Seguridad física y ambiental
Objetivos:Prevenir accesos no autorizados o daños a las dependencias del
negocio
Prevenir la pérdida, daño o compromiso de activos e interrupción a las
actividades del negocio.
Prevenir el robo de información.
-
8/17/2019 Norma ISO BS7799 – ISO 17799
15/34Prohibida su reproducción
15
5.-Seguridad física y ambiental
Los principales ítems cubiertos en esta sección son:La necesidad de establecer áreas seguras con controles físicos de
entrada.
Dotar de controles adicionales y guías para el trabajo en zonas de
mayor protección.
Las áreas de carga y despacho deben ser controladas y no seradyacentes a áreas de procesamiento de información.
-
8/17/2019 Norma ISO BS7799 – ISO 17799
16/34Prohibida su reproducción
16
5.-Seguridad física y ambiental
La necesidad de proteger físicamente equipamiento de hardware para
prevenir su hurto.La necesidad de asegurar suministro eléctrico y dar mantención
adecuada a los equipos.
La seguridad del equipo trasladado o eliminado.
El establecimiento de controles generales, tales como políticas deescritorios limpios y protectores de pantalla
-
8/17/2019 Norma ISO BS7799 – ISO 17799
17/34Prohibida su reproducción
17
6.-Adm. comunic. y operaciones
Objetivos:Garantizar la correcta y segura operación de las instalaciones de
procesamiento de información
Minimizar el riesgo de fallas en los sistemas
Proteger la integridad del software y la información
Mantener la integridad y disponibilidad del procesamiento de lainformación y comunicaciones
Garantizar los salvaguardas de información en redes y la protección
de la infraestructura de soporte
Prevenir el daño a los activos e interrupciones de las actividades delnegocio
Prevenir la pérdida, modificación o mal uso de la información
intercambiada entre organizaciones
-
8/17/2019 Norma ISO BS7799 – ISO 17799
18/34Prohibida su reproducción
18
6.-Adm. comunic. y operaciones
Los principales ítems cubiertos en esta sección son:
Procedimientos documentadosControl de cambios en sistemas e instalaciones
Procedimientos de manejo de incidentes
Segregación de privilegios
Separación de ambientes de desarrollo y producción
Análisis de riesgo en servicios externosCapacity Planning
Criterios de aceptación de nuevos sistemas o actualizaciones
Controles contra malware
Política de respaldos
Generación de Logs
Reporte y corrección de fallas
-
8/17/2019 Norma ISO BS7799 – ISO 17799
19/34Prohibida su reproducción
19
6.-Adm. comunic. y operaciones
Protección de redes
Manejo de medios removibles, eliminablesManejo de información almacenada
Protección de la documentación de sistemas
Mecanismos formales de intercambio de información electrónica o
manualManejo de datos en tránsito
Política y controles correo electrónico
Procedimientos para la protección de intercambios de información a
través de voz, fax y video
Protección a comercio electrónico (no-repudiable, integridad,
confidencialidad)
-
8/17/2019 Norma ISO BS7799 – ISO 17799
20/34Prohibida su reproducción
20
7.-Control de acceso
Objetivos:Controlar el acceso a la información
Prevenir el acceso no autorizado a los sistemas de información
Garantizar la protección de los servicios en red
Prevenir el acceso no autorizado a computadores
Detectar actividades no autorizadasGarantizar la seguridad de la información cuando se usan facilidades
de computación móvil y teletrabajo
-
8/17/2019 Norma ISO BS7799 – ISO 17799
21/34Prohibida su reproducción
21
7.-Control de acceso
Los ítems cubiertos incluyen:Requerimiento del negocio definidos y documentados para el control
de acceso
Administración del acceso de usuarios, privilegios, passwords
Responsabilidades del usuario: manejo de password, estación de
trabajoControl de acceso a la red
Control de acceso a los sistemas operativos
Control de acceso a las aplicaciones
Monitoreo del acceso y medición del uso de sistemasComputación móvil y teletrabajo
-
8/17/2019 Norma ISO BS7799 – ISO 17799
22/34
-
8/17/2019 Norma ISO BS7799 – ISO 17799
23/34
Prohibida su reproducción
23
8.-Desarrollo y Mant.de sistemas
Las áreas cubiertas incluyen:Requerimientos de seguridad en los sistemas
Validación de datos de entrada y salida, control de procesamiento
interno, contenido de los mensajes
Uso de criptografía, firma digital
Seguridad en los archivos del sistemaSeguridad en los procesos de desarrollo y soporte: control de
cambios, pruebas previas a los cambios, prevenir troyanos
Controles a los sistemas desarrollados por terceros
-
8/17/2019 Norma ISO BS7799 – ISO 17799
24/34
Prohibida su reproducción
24
9.-Adm. continuidad del negocio
Objetivo:Mitigar las interrupciones a las actividades y a los procesos críticos del
negocio ocasionadas por los efectos de desastres o fallas mayores.
-
8/17/2019 Norma ISO BS7799 – ISO 17799
25/34
Prohibida su reproducción
25
9.-Adm. continuidad del negocio
Las áreas cubiertas incluyen:Procesos de administración de la continuidad del negocio Análisis de impacto y continuidad del negocio
Planes de continuidad escritos e implantados
Pruebas y mantención de los planes de continuidad
-
8/17/2019 Norma ISO BS7799 – ISO 17799
26/34
Prohibida su reproducción
26
10.- Conformidad
Objetivos:Evitar la violación de cualquier ley civil o criminal, obligacionescontractuales o regulatorias y de cualquier requerimiento de seguridad
Garantizar la conformidad de sistemas con estándares y politicas de
seguridad organizacional
Maximizar la efectividad y minimizar la interferencia a/de los procesosde auditoría de sistemas
-
8/17/2019 Norma ISO BS7799 – ISO 17799
27/34
Prohibida su reproducción
27
10.- Conformidad
En general se recomienda:Identificar legislación aplicableProteger Derechos de Propiedad Intelectual
Resguardar registros esenciales de pérdida, destrucción o falsificación
Proteger información personal
Prevenir mal uso de sistemasUso de criptografía de acuerdo a la legislación local
Definir cómo y qué evidencia se puede recoger
Revisar concordancia entre procedimientos y políticas de seguridad
Proteger las herramientas de auditoría de sistemas
-
8/17/2019 Norma ISO BS7799 – ISO 17799
28/34
28
Historia BS 7799 / ISO 17799
-
8/17/2019 Norma ISO BS7799 – ISO 17799
29/34
Prohibida su reproducción
29
Historia BS 7799
BS 7799-1 (1995) (1999)Código del ejercicio para la administración de seguridad de lainformación
Introducción a la práctica en Seguridad de la Información
No es una norma de certificación
BS 7799-2 (1998) (1999) (2002)ISMS: Information Security Management Systems
La parte 2 especifica los requisitos para establecer, implantar y
documentar Sistemas de Administración de Seguridad de la
Información (ISMS) y constituir las bases para la cuantificaciónde ISMS.
-
8/17/2019 Norma ISO BS7799 – ISO 17799
30/34
Prohibida su reproducción
30
ISO/IEC 17799:2000
Primera edición Diciembre de 2000
"Tecnología de la Información - Código de práctica para la
administración de seguridad de la información."
El Estándar Internacional ISO/IEC 17799 fue preparado
originalmente por la institución British Standards, como BS
7799, y luego fue adoptado, bajo un procedimiento especial de
"fast-track", con la aprobación en paralelo de los cuerpos
nacionales de ISO e IEC.
-
8/17/2019 Norma ISO BS7799 – ISO 17799
31/34
Prohibida su reproducción
31
ISO/IEC 17799:2000
Objetivos:Entregar recomendaciones para la administración de la seguridad dela información para ser usada por los responsables de iniciar,
implantar o mantener la seguridad en su organización.
Proveer una base común para el desarrollo de estándares de
seguridad organizacional y una efectiva práctica de administración dela seguridad.
Proveer confianza en el tráfico inter-organizacional
-
8/17/2019 Norma ISO BS7799 – ISO 17799
32/34
Prohibida su reproducción
32
Links de Interés
International Organization for Standardization (ISO)http://www.iso.ch
British Standards Institution (BSI)http://www.bsi-global.com
BSI-Business Informationhttp://www.c-cure.org/
National Institute of Standards and Technology (NIST)http://csrc.nist.gov/
-
8/17/2019 Norma ISO BS7799 – ISO 17799
33/34
Prohibida su reproducción
33
¿Preguntas?
-
8/17/2019 Norma ISO BS7799 – ISO 17799
34/34
34
Oscar Bize V.
9-2772134
BS7799 –
ISO 17799