Monday, April 23, 2012

La Familia 27000 y sus amigos

Es un conjunto de normas aplicables a todas las organizaciones sin importar su tamaño o rubro. Ademas de enfocarse en la privacidad, la confidencialidad o los problemas técnicos de seguridad de los sistemas IT, va dirigida a evaluar los riesgos de seguridad de la información, con el fin de implementar medidas y controles adecuados según las necesidades, directrices y sugerencias de cada empresa.

Las normas de la familia ISO/IEC 27000 proporcionan orientación sobre determinados aspectos de diseño, implementación y operación de un Sistema de Gestión de seguridad de la Información (SGSI), además ofrece recomendaciones de mejores prácticas, manejo de riesgos y los controles aplicables al SGSI, de forma análoga a los sistemas de gestión para el aseguramiento de la calidad (ISO 9000) y del protección del medio ambiente ( Serie ISO14000).

Dada la naturaleza dinámica de la seguridad de la información, el concepto de SGSI incorpora actividades de retroalimentación y mejora continua, los cuales se resumen en el modelo Deming "Planificar-hacer-verificar-actuar", enfoque, que tratan de abordar los cambios en las amenazas, vulnerabilidades e impacto de los incidentes de seguridad de la información.


Seguridad de la información


Este término surgió a partir de prácticas y procedimientos seguidos para salvaguardar los sistemas de seguridad informática. Se define como la protección, uso, procesamiento, divulgación, alteración, modificación, lectura, inspección, registro o destrucción, almacenamiento y transmisión de información o de datos en los sistemas de una organización.

La gestión de la Seguridad de la información se ha convertido en garantía de que las organizaciones utilizan sistemas de gestión de riesgos, Si bien se centra predominantemente en la información en forma digital, también abarca la forma analógica o física.

Este es un enfoque interdisciplinario que se basa en varios campos, incluyendo la contabilidad, criptografía, ciencias forenses, Sistemas de gestión, ciencias de la computación, ingeniería de seguridad,  la criminología, además de la informática.

Apéndice de Normalización

Las normas son el producto de la norma ISO/IEC JTC1 (Comité Técnico Conjunto 1) SC27 (Sub-comité 27), un organismo internacional que se reúne en persona dos veces al año.

Organismos Internacionales
ISO         Organización Internacional de Normalización
IEC         Comisión Electrotécnica Internacional
CEN        Comité Europeo de Normalización
ÖNORM  Instituto Austriaco de Normas
DIN        Instituto Alemán de Normalización
BSI         British Standards Institution
AFNOR    Asociación Francesa de Normalización
ANSI       American National Standards Institute

Como funcionan la aprobación y publicación  de una norma:

http://www.iso.org/iso/iso_technical_committee?commid=45306



En la actualidad, once de las normas de la serie están publicados y disponibles, mientras que varios más están todavía en desarrollo. Los originales de normas ISO / IEC son vendidos directamente por la norma ISO, mientras que los puntos de venta asociados con diversos organismos nacionales de normalización también venden varias versiones, incluyendo traducciones locales.

IS 27000   Bases y Vocabulario del SGSI
IS 27001   Requerimientos del SGSI
IS 27002   Código de buenas prácticas para la gestión de seguridad de la información
IS 27003   Guía de implementación del SGSI
IS 27004   Medidas de gestión de la seguridad de la información
IS 27005   Gestión de riesgos en seguridad de la información
IS 27006  Requerimientos para los organismos que proveen Auditorias y certificaciones SGSI
IS 27007   Guías de referencia para auditar un SGSI, No publicado aún,
IS 27011   SGSI para organizaciones que prestan servicios de telecomunicaciones




Si tienes información adicional sobre este tema, tus comentarios o links de referencia son bienvenidos.

No comments: