Estndares y Normas de Seguridad

Por qu normas/estndares de seguridad?

Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestin competente y efectiva de la seguridad de los recursos y datos que gestionan.

eben demostrar que identifican y detectan los riesgos a los que est sometida y que adoptan medidas adecuadas y proporcionadas. Necesario! con"unto estructurado# sistemtico# co$erente y completo de normas a seguir.

Herramienta: S%S& (Sistema de %estin de la Seguridad de la &nformacin)

En ingl's &S(S (&nformation Security (anagement System) S%S&! proceso sistemtico# documentado y conocido por toda la organizacin para garantizar que la seguridad de la informacin es gestionada correctamente

Familia de Normas ISO/IEC 2 !!!

Normas ISO 2 !!!: )amilia de estndares de &S* (International Organization for Standardization) e &E+ (International Electrotechnical Commission) que proporciona un mar"o #ara la gesti$n de la seguridad +on"unto de normas que especifican los requisitos para establecer# implantar# poner en funcionamieto# controlar# revisar# mantener y me"orar un S%S&

Normas base! ,---.# ,---, Normas complementarias! ,---/# ,---0# ,---1# ...

Seguridad de la in%orma"i$n (seg2n &S* ,3--.)! preservacin de su confidencialidad# integridad y disponibilidad# as4 como la de los sistemas implicados en su tratamiento

Con%iden"ialidad! la informacin no se pone a disposicin ni se revela a individuos# entidades o procesos no autorizados. Integridad! mantenimiento de la e5actitud y completitud de la informacin y sus m'todos de proceso. &is#oni'ilidad: acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma por parte de los individuos# entidades o procesos autorizados cuando lo requieran.

Familia de Normas ISO/IEC 2 !!!

ISO/IEC 2 !!!: define el vocabulario estndar empleado en la familia ,3--- (definicin de trminos y conceptos) ISO/IEC 2 !!(: especifica los requisitos a cumplir para implantar un S%S& certificable conforme a las normas ,3--

efine cmo es el S%S&# cmo se gestiona y c2ales son las resposabilidades de los participantes. Sigue un modelo 6 +7 (6lan8 o8+$ec987ct) 6untos clave! %estin de riesgos : (e"ora cont4nua

ISO/IEC 2 !!2: cdigo de buenas prcticas para la gestin de la seguridad

;ecomendaciones sobre qu' medidas tomar para asegurar los sistemas de informacin de una organizacin escribe los ob"etivos de control (aspectos a analizar para garantizar la seguridad de la informacin) y especifica los controles recomendables a implantar (medidas a tomar) 7ntes &S* .33<<# basado en estndar =S 33<< (en Espa>a norma ?NE8&S* .33<<)

Familia de Normas ISO/IEC 2 !!!

ISO/IEC 2 !!)!gu4a de implementacin de S%S& e informacin acerca del uso del modelo 6 +7 (6lan8 o8+$ec987ct) y de los requerimientos de sus diferentes fases (en desarrollo# pendiente de publicacin) ISO/IEC 2 !!*: especifica las m'tricas y las t'cnicas de medida aplicables para determinar la eficacia de un S%S& y de los controles relacionados (en desarrollo# pendiente de publicacin)
medicin de los componentes de la fase @ oA (&mplementar y ?tilizar) del ciclo 6 +7.

ISO/IEC 2 !!+: gestin de riesgos de seguridad de la informacin (recomendaciones# m'todos y t'cnicas para evaluacin de riesgos de seguridad) ISO/IEC 2 !!,: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones &S*B&E+ ,3--.
;equisitos para la acreditacin de las entidades de auditoria y certificacin

Familia de Normas ISO/IEC 2 !!!

ISO/IEC 2 !! : gu4a de actuacin para auditar los S%S& conforme a las normas ,3--ISO/IEC 2 !((: gu4a de gestin de seguridad de la informacin espec4fica para telecomunicaciones (en desarrollo)

elaborada con"untamente con la &C? (?nin &nternacional de Celecomunicaciones)

ISO/IEC 2 !)(: gu4a de continuidad de negocio en lo relativo a tecnolog4as de la informacin y comunicaciones (en desarrollo) ISO/IEC 2 !)2: gu4a relativa a la ciberseguridad (en desarrollo) ISO/IEC 2 !)2: gu4a de seguridad en aplicaciones (en desarrollo) ISO/IEC 2 --: gu4a para implantar &S*B&E+ ,3--, espec4fica para entornos m'dicos

ISO/IEC 2 !!(

Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organizacin. Especifica los requisitos para la implantacin de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas

O'.eti/o: (e"ora continua Se adopta el modelo 6lan8 o8+$ec98 7ct (6 +7 ciclo de eming) para todos los procesos de la organizacin.

ISO/IEC 2 !!(
Fase Plani%i"a"i$n 0Plan1 2esta'le"er el S3SI4! Establecer la pol4tica#ob"etivos# procesos y procedimientos relativos a la gestin del riesgo y me"orar la seguridad de la informacin de la organizacin para ofrecer resultados de acuerdo con las pol4ticas y ob"etivos generales de la organizacin. Fase E.e"u"i$n 0&o1 2im#lementar 5 gestionar el S3SI4! &mplementar y gestionar el S%S& de acuerdo a su pol4tica# controles# procesos y procedimientos. Fase Seguimiento 0C6e"71 2monitori8ar 5 re/isar el S3SI4! (edir y revisar las prestaciones de los procesos del S%S&. )ase 9e.ora 0:"t1 2mantener 5 me.orar el S3SI4! 7doptar acciones correctivas y preventivas basadas en auditor4as y revisiones internas en otra informacin relevante a fin de alcanzar la me"ora cont4nua del S%S&.

ISO/IEC 2 !!(
P>:N: Esta'le"imiento 5 gesti$n del S3SI
definir el alcance del sistema de gestin definir la pol4tica del S%S& definir la metodolog4a para la valoracin del riesgo identificar los riesgos elaborar un anlisis y evaluacin de dic$os riesgos identificar los diferentes tratamientos del riesgo seleccionar los controles y ob"etivos de los mismos que posibilitarn dic$o tratamiento

&O: Im#lanta"i$n 5 #uesta en mar"6a del S3SI

preparar un plan de tratamiento del riesgo implantar los controles que se $ayan seleccionado medir la eficacia de dic$os controles crear programas de formacin y concienciacin

CHEC; < :C=: Control 5 e/alua"i$n del S3SI

implantar una serie de procedimientos para el control y la revisin puesta en marc$a de una serie de revisiones regulares sobre la eficacia del S%S&# a partir de los resultados de las auditor4as de seguridad y de las mediciones tomar las medidas correctivas y preventivas

ISO/IEC 2 !!2

+on"unto de recomendaciones sobre qu' medidas tomar en la empresa para asegurar los Sistemas de &nformacin. Los ob"etivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las reas que los agrupa. 6ara conseguir cada uno de estos ob"etivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestin del riesgo analizado. O'.eti/o: efinir los aspectos prcticosBoperativos de la implantacin del S%S&

ISO/IEC 2 !!2
:reas/se""iones sobre las que actuar!
6ol4tica de seguridad 7spectos organizativos para la seguridad +lasificacin y control de activos Seguridad ligada al personal Seguridad f4sica y del entorno %estin de comunicaciones y operaciones +ontrol de accesos esarrollo y mantenimiento de sistemas %estin de incidentes de seguridad de la informacin %estin de continuidad de negocio +onformidad

O'.eti/os de "ontrol: aspectos a asegurar dentro de cada reaBseccin Controles: mecanismos para asegurar los distintos ob"etivos de control (gu4a de buenas prcticas) 6ara cada control se incluye una gu4a para su implantacin

ISO/IEC 2 !!2

>egisla"i$n
Leyes aplicables en relacin con la Seguridad en los Sistemas de &nformacin Ley *rgnica de 6roteccin de atos (>OP&)

: normativas de proteccin de datos

Ley de Servicios para la Sociedad de la &nformacin y el +omercio Electrnico (>SSI?CE) Legislacin de )irma Electrnica (>FE) ;elacionadas!
Ley de 7cceso de los +iudadanos a los Servicios 62blicos Ley de (edidas de &mpulso a la Sociedad de la &nformacin

Prote""i$n de &atos
Codas las organizaciones que tengan fic$eros con datos personales $an de declararlos a la 7gencia Espa>ola de 6roteccin de atos (DDD.agpd.es) Eay que implantar un documento de seguridad )ic$eros de datos personales clasificados en tres niveles!
@si"o! )ic$eros con informacin personal 9edio! )ic$eros con datos relativos a la comisin de infracciones administrativas# Eacienda 62blica# Servicios financieros# as4 como los fic$eros para la prestacin de servicios de informacin sobre solvencia patrimonial y de cr'dito :lto! )ic$eros con datos sobre ideolog4a# religin# creencias# origen racial# salud o vida se5ual# as4 como los datos recabados para fines policiales sin consentimiento del afectado

Eay que aplicar medidas de seguridad t'cnicas y organizativas en funcin del nivel y seg2n establece el reglamento 7uditor4as bienales para fic$eros de nivel medio y alto

Prote""i$n de &atos Personales

Ley *rgnica .1B.<<<# de ./ de de +arcter 6ersonal 8 >OP& iciembre de 6roteccin de atos ;eal ecreto <<0B.<<< de .. de Funio por el que se aprueba el Aeglamento de 9edidas de Seguridad de los fic$eros automatizados que contengan datos de carcter personal ;eal ecreto .3,-B,--3 de .< de diciembre por el que se aprueba el Nue/o Aeglamento de 9edidas de Seguridad de los fic$eros automatizados y f4sicos que contengan datos de carcter personal

>SSI?CE
Ley /0B,--, de .. de Fulio# de Servicios de la Sociedad de la &nformacin y del +omercio Electrnico G LSS&8+E ( DDD.lssi.es) Establece los criterios de servicios en &nternet# cuando sean parte de actividad econmica. Halidez y regulacin del comercio electrnico

Ser/i"ios #or Internet

>SSI?CE

(ostrar en la Deb! Nombre# N&)# direccin# correo electrnico atos de inscripcin registral incluyendo nombre del dominio (ostrar precios de los productos y servicios# +ontratacin y tramitacin on8line 7utenticacin mediante certificados y establecer canales seguros SSL

So're la #u'li"idad #or Internet

6ro$ibicin de los spam (email no solicitado) 6osibilidad de borrarse de las listas de correo informativo

So're los #restadores de ser/i"ios ISPB Hosting

+olaborar con los organos p2blicos para resolucion de incidencias! almacenamiento de logs y eventos para rastreo &nformar a los clientes sobre medidas de seguridad a aplicar No son responsables de contenidos il4citos si no los elaboran# S4 son responsables si los conocen y no los retiran o no los comunican.

So're titulares de #ginas #ersonales

Solo su"etas a la ley si tienen publicidad por la que perciban ingresos &dentificar claramente la publicidad y la identidad! nombre# tfno# fa5# e(ail# N&)

>egisla"i$n Firma Ele"tr$ni"a

>e5 +-/2!!) de (- de &i"iem'reB de %irma ele"tr$ni"a Equipara la firma electrnica a la firma f4sica# estableciendo su validez legal ;egula a los 6restadores de Servicios de +ertificacin (6S+ G 7utoridades de +ertificacin) ;egula los certificados reconocidos ;egula los dispositivos seguros de creacin de firmas &mplementaBadapta la directiva europea .<<<B</BE+ (iniciativas eEurope) &ntroduce el N& electrnico ( N&e)
; .11/B,--1 de ,/ iciembre# regula la e5pedicin