1. MODELOS Y ESTÁNDARES
1.1. Para el caso que nos interesa, las normas ISO/IEC 27000 han sido creadas para facilitar la implantación de Sistemas de Gestión de Seguridad de la Información.
1.1.1. Recoge los términos y definiciones empleados en el resto de normas de la serie, con esto se evitan distintas interpretaciones sobre los conceptos que aparecen a lo largo de las mismas.
2. Norma ISO/IEC 27001
2.1. Es la norma principal de la serie. Se puede aplicar a cualquier tipo de organización, independientemente de su tamaño y de su actividad. La norma contiene los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un sistema de gestión de la seguridad de la información.
3. Norma ISO/IEC 27002:
3.1. Es una guía de buenas prácticas que recoge las recomendaciones sobre las medidas a tomar para asegurar los sistemas de información de una organización.
4. MODELOS (NORMAS) DE SEGURIDAD INFORMÁTICA
4.1. ISO 17799
4.1.1. La ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización.
4.1.1.1. 1. Política de seguridad: Dirigir y dar soporte a la gestión de la seguridad de la informacion
4.1.1.2. 2. Aspectos organizativos de la seguridad: Gestión dentro de la organización
4.1.1.3. 3. Clasificación y control de activos: Inventario y nivel de protección de los activos.
4.1.1.4. 4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos.
4.1.1.5. 5. Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o perturbaciones a las instalaciones y a los datos.
4.1.1.6. 6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de la información.
4.1.1.7. 7. Control de accesos: Evitar accesos no autorizados a los sistemas de información
4.1.1.8. 8. Desarrollo y mantenimiento de sistemas: Garantizar que la seguridad está incorporada dentro de los sistemas de información, evitar pérdidas, modificaciones o mal uso de la información
4.1.1.9. 9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información.
4.1.1.10. 10. Gestión de continuidad del negocio: Reaccionar a la interrupción de las actividades
4.1.1.11. 11. Conformidad con la legislación Evitar el incumplimiento de leyes.
5. Fases
5.1. Fase de Planificación (Plan) [Establecer el SGSI]: Establecer la política, objetivos, procesos y procedimientos relativos a la gestión del riesgo y mejorar la seguridad de la información.
5.2. Fase de Ejecución (Do) [Implementar y gestionar el SGSI]: Implementar y gestionar el SGSI de acuerdo a su política, controles, procesos y procedimientos.
5.3. Fase de Seguimiento (Check) [Monitorizar y revisar el SGSI]: Medir y revisar las prestaciones de los procesos del SGSI.
5.4. Fase de Mejora (Act) [Mantener y mejorar el SGSI]: Adoptar acciones correctivas y preventivas basadas en auditorias y revisiones internas o en otra información relevante a fin de alcanzar la mejora continua del SGSI.
6. ¿Que Es Un Estándar?
6.1. Un sistema de gestión de la seguridad de la información busca prever los riesgos con el fin de preservar la confidencialidad, integridad y disponibilidad de la misma.
7. Entidades generadoras de estándar
7.1. Organización Internacional de Normalización (ISO) y Comisión Electrónica Internacional (IEC)
7.1.1. Estas normas pueden hacer referencia a productos como electrodomésticos, calzado, alimentación o juguetes; también pueden hacer referencia a servicios como los prestados en hoteles o transporte público de pasajeros.