Académique Documents
Professionnel Documents
Culture Documents
Auditora en
TI
Normas y/o estndares en reas de
TI
HINOJOSA MEZA ZOILA MONSERRAT
UVALLE AGUAYO IVAN DE JESUS
GARCA PREZ MIGUEL ALEJANDRO
ANAYA MACIAS MARTN ALEJANDRO
LA ORGANIZACIN ISO:
ISO (Organizacin Internacional de Estndares) es una organizacin
especializada en el desarrollo y difusin de los estndares a nivel mundial.
Los miembros de ISO, son organismos nacionales que participan en
el desarrollo de Normas Internacionales a travs de comits tcnicos
establecidos para tratar con los campos particulares de actividad tcnica.
Los comits tcnicos de ISO colaboran en los campos de inters mutuo
con la IEC (International Electrotechnical Commission), la organizacin
que a nivel mundial prepara y publica estndares en el campo de la electrotecnologa. En el campo de tecnologa de informacin, ISO e IEC han
establecido unir un comit tcnico, ISO/IEC JTC 1 (Join Technical
Committee N1).
Los borradores de estas Normas Internacionales son enviados a los
organismos de las diferentes naciones para su votacin. La publicacin,
ya como una Norma Internacional, requiere la aprobacin de por lo menos
el 75% de los organismos nacionales que emiten su voto.
I.
[Escriba texto]
Pgina 1
SGSI
ISO/IEC27002,
Tecnologaque
de loladeseen.
Informacin. Cdigo de buenas
prcticas para la Gestin de la Seguridad de la Informacin,
publicada en el ao 2005. Esta gua de buenas prcticas describe
los objetivos de control y controles recomendables en cuanto a
seguridad deGua
la informacin.
ISO/IEC27003.
de implementacin de SGSI e informacin acerca
del uso del modelo PDCA y de los requerimientos de sus diferentes
Pgina 2
II.
ORIGENES:
La Norma fue publicada como Norma Espaola en el ao 2007, pero tiene
una larga historia antes de llegar a este punto.
Ya en el ao 1995 el British Standard Institute (BSI) publica la norma BS7799,
un cdigo de buenas prcticas para la gestin de la seguridad de la
informacin.
Contenido de la UNE-ISO/IEC
27001
La norma UNE-ISO/IEC 27001 especifica los requisitos para establecer,
implantar, documentar y evaluar un Sistema de Gestin de la Seguridad de
la Informacin (en adelante SGSI ) de acuerdo a la Norma ISO 27002
dentro del contexto de los riesgos identificados por la Organizacin.
Como otras Normas de gestin (ISO 9000, ISO 14001, etc.), los requisitos de
esta Norma aplican a todo tipo de organizaciones, independiente mente de su
tipo, tamao o rea de actividad.
Asimismo est basada en un enfoque por procesos y en la mejora continua, por
lo tanto es perfectamente compatible e integrable con el resto de sistemas de
gestin que ya existan en la organizacin. La Norma asume que la organizacin
identifica y administra cualquier tipo de actividad para funcionar eficientemente.
Cualquier actividad que emplea recursos y es administrada para transforma r
entradas en salidas, puede ser considerada como un "proceso". A menudo,
estas salidas son aprovechadas nueva mente como entradas, generando
una realimentacin de los mismos. Estos procesos se someten a revisiones
para detectar fallos e identificar mejoras, por lo que se encuentran dentro de un
proceso de mejora continua.
La
norma
recoge:
Los componentes del SGSI , es decir, en qu consiste la parte
documental del sistema: qu documentos mnimos deben forma r
parte del SGSI , cmo se deben crear, gestionar y mantener y cules
son los registros que permitirn evidenciar el buen funcionamiento del
sistema.
Cmo se debe disear e implantar el SGSI.
Define los controles de seguridad a considerar. Se requiere que
se escojan los controles del Anexo A, que recoge todos los
controles detallados en la Norma ISO/IEC 27002.
Cmo debe realizarse la revisin y mejora el SGSI.
La ISO27001 adopta un proceso para establecer, implementar, operar,
monitorizar, revisar, mantener y mejorar el SGSI en una organizacin.
Pgina 4
III.
2.
3.
4.
5.
6.
9.
Pgina 5
pueden
ser
organizaciones.
excesivamente
complejas
Pgina 7
organizacin.
Integridad: garanta del estado original de los datos.
Disponibilidad: Acceso cuando sea requerido por los usuarios.
No repudio: Estadsticas de la acciones realizadas por el personal autorizado
El objetivo de la norma ISO 17799 es proporcionar una base para desarrollar normas
de seguridad dentro de las organizaciones y ser una prctica eficaz de la gestin de la
seguridad. La adaptacin espaola denominada UNE-ISO/IEC 17799 esta norma no es
CERTIFICADA.
1995- BS 7799-1: cdigo de buenas prcticas para la gestin de la seguridad de la
informacin.
1998- BS 7799-2: especificaciones para la gestin de la seguridad de la informacin.
Tras una revisin de ambas partes de BS 7799 (1999) la primera es adoptada como
norma ISO en el 200 y denominada ISO/IEC 17799.
En el 202 la norma ISO se adopta como UNE sin apenas modificacin (UNE 17799), y
en 2004 se establece la norma UNE 71502, basada en BS 7799-2.
Esta norma establece 10 dominios de control que cubre por completo la gestin de
seguridad de la informacin:
1. Poltica de seguridad: dirige y da soporte a la gestin de la seguridad de la
informacin.
2. Aspectos organizativos para la seguridad: gestiona la seguridad de la
informacin dentro de la organizacin; mantiene la seguridad de los recursos de
tratamiento de la informacin y de los activos de informacin de la organizacin
que son accedidos por terceros y mantiene la seguridad de la informacin
cuando la responsabilidad de su tratamiento se ha externalizado a otra
organizacin.
3. Clasificacin y control de activos: mantiene una proteccin adecuada sobre los
activos de la organizacin y asegura un nivel de proteccin adecuado a los
activos de la informacin.
Pgina 8
Pgina 9
seguridad especifica
proporciona buenas prcticas neutrales con respecto a la tecnologa y a las
soluciones disponibles en el mercado.
ISO 27001: Esta norma muestra cmo aplicar los controles propuestos en la ISO
17799, estableciendo los requisitos para construir un SGSI, "auditable" y "certificable".
COMPARACION 17799 Y 27001:
BS 7799-2.
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO
estndar
internacional
aclara
los
requerimientos
para
el
Proceso
de
Pgina 11
ste estndar internacional intenta proporcionar una gua para situaciones con dos
individuos y se puede aplicar igualmente cuando los dos pertenecen a la misma
organizacin pero intenta tambin ser usado por un solo individuo como tareas que se
auto impone.
1.3. Limitaciones
ste estndar internacional describe el esqueleto del Proceso de Mantenimiento
Software pero no especifica los detalles de cmo implementar o ejecutar las actividades
y tareas incluidas en el proceso.
2. Cumplimiento de la normativa
Un proceso se ajustar a la normativa si satisface los requerimientos de ISO/IEC
12207.
3. Referencias a normativas
Los siguientes documentos de normativas contienen citas que se usarn en ste
documento:
ISO/IEC 2382-80: Tecnologa de la informacin - Vocabulario; Parte 20: desarrollo de
sistemas.
ISO/IEC 5807: Procesamiento de informacin - Smbolos para la documentacin y
convenciones para datos, programas, diagramas de flujo, grficos de redes de
programas y grficos de recursos del sistema. ISO 8402: Gestin de la calidad y
aseguramiento de la calidad - Vocabulario. ISO/IEC 9126: Tecnologa de la informacin
- Evaluacin del producto software - Caractersticas de la calidad y guas para su uso.
ISO/IEC 12207: Tecnologa de la informacin - Procesos de ciclo de vida software.
4. Definiciones y trminos
Para los propsitos de ste estndar internacional aplicaremos las definiciones y
trminos dados en ISO/IEC 12207, ISO 8402, ISO/IEC 2382-1 e ISO/IEC 2382-20
adems de los siguientes:
4.1. Mantenimiento adaptativo
Pgina 12
versin
aprobada
formalmente
de
un
elemento
de
configuracin,
Pgina 13
de modo que el mantenedor es quien prepara ste plan. El plan debera ponerse en
marcha una vez que el producto entre en la fase de mantenimiento.
4.7. Proceso de mantenimiento
El Proceso de Mantenimiento contiene las actividades y tareas que debe llevar a cabo
el mantenedor. Este proceso se activa cuando el producto software implica
modificaciones en el cdigo y documentacin asociada debido a un problema o la
necesidad de mantenimiento para mejorar. El objetivo es modificar software existente
preservando la integridad. ste proceso incluye la migracin y retiro del producto
software.
4.8. Programa de mantenimiento
La estructura de la organizacin, responsabilidades, procedimientos, procesos y
recursos usados para implementar el plan de mantenimiento de modo que el trmino
programa'' significa lo mismo que infraestructura''.
4.9. Peticin de Modificacin (MR)
Es un trmino genrico usado para identificar cambios de un producto software que se
est manteniendo. La MR puede clasificarse despus como correccin o mejora e
identificarla como correctiva, adaptativa, preventiva o perfectiva. La MR tambin suele
denominarse peticin de cambio. En el dibujo siguiente podemos ver un esquema para
clasificar los mantenimientos.
4.10. Mantenimiento Perfectivo
La modificacin de un producto software despus de su entrega para mejorar el
rendimiento o mantenibilidad. El mantenimiento perfectivo proporciona mejoras para los
usuarios, mejora de
La documentacin del programa, y re codificacin para mejorar el rendimiento del
software, su mantenibilidad u otros atributos.
Pgina 14
ensambladores,
enlazadores,
cargadores,
sistemas
operativos,
Pgina 15
procesos
de
apoyo
de
Documentacin,
Gestin
de
la
Configuracin,
Pgina 16
Pgina 17