La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION

Publicada porRosa Vidal Cruz Modificado hace 8 años

Presentaciones similares

Presentación del tema: "SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION"— Transcripción de la presentación:

1 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION
Normas Técnicas: BS :2002 (Certificable). ISO 17799:2005 (No Certificable). ISO 27001:2005 (Certificable).

2

3 ANTECEDENTES ¿ Qué es una Norma ?
Una norma es una especificación técnica Elaborada con participación de todos los sectores involucrados Aprobada por consenso Su objetivo es el beneficio a la comunidad Está a disposición de todos los interesados Es elaborada y publicada por un organismo de normalización reconocido

4 Department of Trade & Industry
ANTECEDENTES Department of Trade & Industry Ministerio de Comercio y de la industria del Reino Unido. Es el administrador del comercio, negocios, empleados, consumidores, ciencia, energía en el Reino Unido y está trabajando para crear las condiciones de éxito en los negocios del Reino Unido en el desafío de la globalización.

5 ANTECEDENTES British Standard Institution www.bsi-global.com
Fundada en 1901 como el comité de estándares de la ingeniería. Los estándares británicos del bsi son el cuerpo nacional de los estándares del reino unido, con una reputación global reconocida para la independencia, la integridad y la innovación en la producción de los estándares que promueven la mejor práctica. Desarrolla y vende estándares y soluciones de la estandardización para resolver las necesidades del negocio y de la sociedad. Certifica sistemas y productos de gerencia Proporciona servicios de la comprobación del producto Desarrolla estándares privados, nacionales e internacionales Proporciona el entrenamiento en estándares Proporciona soluciones de software

6 Organización Internacional para la Estandarización
ANTECEDENTES Organización Internacional para la Estandarización Organización internacional no gubernamental, compuesta por representantes de los organismos de normalización (ONs) nacionales, que produce normas internacionales industriales y comerciales (normas ISO ). Su finalidad es la coordinación de las normas nacionales, en consonancia con el Acta Final de la Organización Mundial del Comercio, con el propósito de facilitar el comercio, el intercambio de información y contribuir con unos estándares comunes para el desarrollo y transferencia de tecnologías.

7 ¿Qué es ISO ? Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos para la especificación de sistemas de gestión de la seguridad de la información Proceso del análisis y gestión del riesgo Métricas y medidas de protección Guías de implantación Vocabulario claramente definido para evitar distintas interpretaciones de conceptos técnicos y de gestión y mejora continua.

8 La Familia Norma ISO 27000 (1) ISO 27000
En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. ISO 27001 Es la norma principal de requerimientos del sistema de gestión de seguridad de la información. Tiene su origen en la BS :2002 y es la norma con arreglo a la cual serán certificados por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS , habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. ISO (ISO 17799) Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Será la sustituta de la ISO17799:2005.

9 La Familia ISO (2) ISO 27003 Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS ISO 27004 Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA. ISO 27005 Consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI. Se basará en la BS (publicada en Marzo de 2006) y, probablemente, en ISO ISO 27006 Especificará el proceso de acreditación de entidades de certificación y el registro de SGSIs.

10 Evolución de la Norma ISO/IEC 27001
Video

11 Sistema de Gestión de la Seguridad de la Información
Norma ISO/IEC Sistema de Gestión de la Seguridad de la Información S G I Es la norma que define los requisitos para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) documentado dentro del contexto de los riesgos del negocio.

12 Norma ISO/IEC 27001 Esta norma la pueden usar para:
Evaluar la capacidad de una organización (requisitos). Aplicación de un sistema de procesos dentro de la organización. Comprender los requisitos de la seguridad de la información. Implementar y operar controles en la gestión del riesgo. Administración del SGSI. Mejora continua basada en la medición de objetivos. Esta norma puede ser aplicada a todas las organizaciones, independientemente de su tipo, tamaño y naturaleza.

13 Norma ISO/IEC 27001 ¿Qué es un SGSI?
ISMS - Information Security Management System. Un sistema de gestión de la seguridad de la información (SGSI) es una forma sistemática de abordar la gestión de la información empresarial para protegerla. Atañe a las personas, los procesos y los sistemas informáticos. Es un proceso documentado y conocido por toda la organización para garantizar que la seguridad de la información es gestionada correctamente. (ISO 9001). La seguridad de la información consiste en preservar: Confidencialidad: acceso únicamente por autorizados. Integridad: exactitud y completitud. Disponibilidad: acceso de los usuarios autorizados cuando lo requieran. Los sistemas implicados en el tratamiento de la información. Información: escrita, diagramas, electrónica, imágenes o incluso oral.

14 ¿Para qué sirve un SGSI? Conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante un sistema definido, documentado y conocido por todos, que se revisa y actualiza constantemente.

15 ¿Para qué sirve un SGSI? Virus Software ilegal Violación de e-mails
Principales riesgos Captura de PC desde el exterior Mails “anónimos” con información crítica o con agresiones Robo de información Violación de s Spamming Destrucción de equipamiento Intercepción y modificación de s Violación de contraseñas Virus Violación de la privacidad de los empleados Incumplimiento de leyes y regulaciones Ingeniería social empleados deshonestos Fraudes informáticos Programas “bomba” Propiedad de la Información Interrupción de los servicios Destrucción de soportes documentales Acceso clandestino a redes Robo o extravío de notebooks Acceso indebido a documentos impresos Software ilegal Indisponibilidad de información clave Intercepción de comunicaciones Falsificación de información para terceros Agujeros de seguridad de redes conectadas

16 Norma ISO/IEC 27001 CONTENIDO DE LA NORMA Objeto
Referencias Normativas Términos y Definiciones Sistema de Gestión de la Seguridad de la Información Responsabilidad de la Dirección Revisión del SGSI por la Dirección Mejora del SGSI. Anexo A Objetivos de Control y Controles. Anexo B Guía para el uso de la Norma. Anexo C Correspondencia entre ISO ISO14001 – BS

17 4. Sistema de Gestión de la Seguridad de la Información
EL MODELO PDCA – PHVA aplicado al SGSI Requisitos de Seguridad de la Información Resultados de la Seguridad de la Información Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar y revisar el SGSI. Act (actuar): mantener y mejorar el SGSI. RC Resumen de Controles - DA Declaración de Aplicabilidad

18 4.1. REQUISITOS GENERALES La organización debe:
Desarrollar, implementar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) documentado dentro del contexto de los riesgos del negocio.

19 FLUJOGRAMA PARA EL ESTABLECIMIENTO DE UN SGSI

20 4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI

21 4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (1)

22 4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (2)

23 4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (3)

24 4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (4)

25 EJEMPLO DE POLITICA DE SEGURIDAD (1)
A.3 POLÍTICA DE SEGURIDAD

26 4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI
Anexo A

27 4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI (1)

28 4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI (2)

29 4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI

30 4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI (1)

31 4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI (2)

32 4.2.4. MANTENER Y MEJORAR EL SGSI

33 4.2.4. MANTENER Y MEJORAR EL SGSI (1)

34 REQUISITOS DE DOCUMENTACION (1)

35 REQUISITOS DE DOCUMENTACION (2)

36 REQUISITOS DE DOCUMENTACION (3)

37 RESPONSABILIDAD DE LA DIRECCION (1)

38 RESPONSABILIDAD DE LA DIRECCION (2)

39 AUDITORIA INTERNA DEL SGSI (1)

40 MONITOREO DEL SGSI POR LA DIRECCION (1)

41 MONITOREO DEL SGSI POR LA DIRECCION (2)

42 MEJORA DEL SGSI (1)

43 OBJETIVOS DE CONTROL Y CONTROLES
Anexo Nº 1

44 OBJETIVOS DE CONTROL

45 OBJETIVOS DE CONTROL Y CONTROLES

46 CONTROLES DE CADA OBJETIVO DE CONTROL (1)

47 CONTROLES DE CADA OBJETIVO DE CONTROL (2)

48 CONTROLES DE CADA OBJETIVO DE CONTROL (3)

49 CONTROLES DE CADA OBJETIVO DE CONTROL (4)

50 CONTROLES DE CADA OBJETIVO DE CONTROL (5)

51 CONTROLES DE CADA OBJETIVO DE CONTROL (6)

52 CONTROLES DE CADA OBJETIVO DE CONTROL (7)

53 CONTROLES DE CADA OBJETIVO DE CONTROL (8)

54 CONTROLES DE CADA OBJETIVO DE CONTROL (9)

55 BENEFICIOS DE UN SGSI

56 CONCLUSIONES FUNDAMENTALES

Descargar ppt "SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION"

Presentaciones similares

SISTEMASDE GESTION AMBIENTAL

SISTEMASDE GESTION AMBIENTAL
Instituto Tecnológico Superior de Santiago Papasquiaro

Instituto Tecnológico Superior de Santiago Papasquiaro
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Diagnóstico de la Organización de la Calidad PDVSA

Diagnóstico de la Organización de la Calidad PDVSA
Gestión de Recursos Informáticos Unidad Nº 3: Gestión de calidad y eficiencia.

Gestión de Recursos Informáticos Unidad Nº 3: Gestión de calidad y eficiencia.
PILARES DE LA SEGURIDAD Y SALUD OCUPACIONAL

PILARES DE LA SEGURIDAD Y SALUD OCUPACIONAL
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
Pablo Antonio Palacios Medinacelli

Pablo Antonio Palacios Medinacelli
Nombre: Claudia Grandi Bustillos

Nombre: Claudia Grandi Bustillos
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Comprimido ARCHIformativo

Comprimido ARCHIformativo
Carla Cuevas Noya Adrian Aramiz Villalba Salinas

Carla Cuevas Noya Adrian Aramiz Villalba Salinas
OHSAS NORMA SISTEMA DE GESTIÓN DE SALUD Y SEGURIDAD LABORAL

OHSAS NORMA SISTEMA DE GESTIÓN DE SALUD Y SEGURIDAD LABORAL
SISTEMA DOBLE INTEGRADO

SISTEMA DOBLE INTEGRADO
Presentación de la Norma Técnica de Seguridad de la Información

Presentación de la Norma Técnica de Seguridad de la Información
AREA DE SEGURIDAD DE LA INFORMACION

AREA DE SEGURIDAD DE LA INFORMACION
ISO / IEC 27031:2011 de Tecnología de la Información

ISO / IEC 27031:2011 de Tecnología de la Información
“Adopción de SGSI en el Sector Gobierno del PERÚ”

“Adopción de SGSI en el Sector Gobierno del PERÚ”
Tres niveles de la calidad

Tres niveles de la calidad

Presentaciones similares

Anuncios Google