• Embed Doc
  • Copy Link
  • Readcast
  • Collections
  • CommentGo Back
 
SEGURIDAD INFORMATICANORMA ISO/IEC 17799 20051. ALCANCE2. TERMINOS Y DEFINICIONES3. ESTRUCTURA DE LA NORMA4. EVALUACION Y TRATAMIENTO DE RIESGO5. POLITICA DE SUGURIDA6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION7. ADMINISTRACION DE ACTIVO8. SEGURIDAD DE DERECHOS HUMANOS9. SEGURIDAD FISICA Y AMBIENTAL10. GESTION DE COMUNICACIONES Y OPERACIONES11. CONTROL DE ACCESO12. DESARROLLO Y MANTENIMIENTO DE SISTEMAS13. ADMINISTRACION DE INCIDENTES DE LA SEGURIDAD DEINFORMACION
 
RESUMEN DE LA NORMA ISO/IEC 17799 20051. ALCANCEPrimero que todo esta norma establece lineamientos y principios generalespara iniciar, implementar y mejorar de dirección de la seguridad de lainformación en determinada organización.Esta norma sirve de guía práctica para desarrollar normas de seguridadorganizacional, también practicas de dirección de seguridad, eficaces yayudara a elaborar actividades de confianza inter-organizacionales.2. TERMINOS Y DEFINICIONES- Ventaja ISO/IEC 13335-1:2004- Control: medio de dirigir el riesgo incluyendo políticas, procedimientos entreotros.-Lineamientos: descripción que aclara que debe de ser hecho y como, parapoder llegar a cumplir los objetivos predispuestos en las políticas. ISO/IEC13335-1:2004.- Facilidades de procesamiento de información: Cualquier sistema deprocesamiento de información, servicio o infraestructura o ubicaciones físicasque lo almacena.- Seguridad de la información: preservación de la confidencialidad, integridad ydisponibilidad de la información, a lo cual se le puede sumar la autenticidad,contabilidad, no repudio y confianza.- Resultado de la seguridad de la información: ISO/IEC TR 18044:2004- Incidente de la seguridad de la información: se considera una probabilidadque comprometa operaciones comerciales y amenazar la seguridad de lainformación. ISO/IEC TR 18044:2004.- Política: intención y dirección expresada formalmente por la administración.- Riesgos: es la combinación de la probabilidad de un evento y suconsecuencia. ISO/IEC GUIDE 73:2002- Análisis de riesgo: uso de cierta información para identificar fuentes y estimar el riesgo. ISO/IEC GUIDE 73:2002.- Valoración de riesgos: es el proceso de análisis y evaluación del riesgo.ISO/IEC GUIDE 73:2002- Evaluación de riesgo: ISO/IEC GUIDE 73:2002
 
- Administración de riesgo: actividades y coordinación para guiar y controlar una organización con respecto al riesgo; incluye valoración del riesgo,tratamiento, aceptación y comunicación de este: ISO/IEC GUIDE 73:2002. - Tratamiento del riesgo: es el proceso que permite la selección eimplementación de medidas para modificar el riesgo: ISO/IEC GUIDE 73:2002.- Tercera parte: o tercera persona que se reconoce como independiente de laspartes involucradas. ISO/IEC GUIDE 2:1996.- Amenaza: se toma como un evento que puede desencadenar un incidentesobre un activo. ISO/IEC 13335-1:2004.- Vulnerabilidad: posibilidad de que una amenaza se materialice. ISO/IEC13335-1:2004.3. ESTRUCTURA DE LA NORMAEl estándar presenta 11 clausulas de control de seguridad y dentro de lascuales hay unas categorías, estas categorías son en total 39 y una clausulaintroductoria a la evaluación y tratamiento de riesgos.- Clausulas: cada clausula contiene una cantidad de categorías de seguridad.. Política de seguridad (1). Organización de seguridad de la información (2). Ventajas de la administración (2). Seguridad de los recursos humanos (3). Seguridad física y ambiente (2). Administración de las comunicaciones y operaciones (10). Control de accesos (7). Adquisición, desarrollo y mantenimiento de sistemas de información (6). Incidente en la administración de la seguridad de la administración (2). Dirección continúa de negocios (1). Cumplimiento (3)El orden no indica importancia de una sobre otra. Dependiendo de la situacióntodas las clausulas podrían ser importantes, de tal manera que la organizacióndebe de identificar las clausulas aplicables a ella.4. EVALUACION Y TRATAMIENTO DE RIEGOS.- Evaluación de riegos: debe de identificar, cuantificar y poner criterio contrapropiedades de riesgo para la capacitación de este y hace los objetivosrelevantes para la organización. Los resultados de la evaluación deben de guiar a la acción apropiada de la administración y cuales son las prioridades parapoder administrar esos riesgos.La evaluación de riesgos incluye un análisis de riesgo y la misma evaluación;esta evaluación se debe de hacer periódicamente para el tratamiento decambios en las exigencias de seguridad y en la situación de riesgo por ejemplo
of 00

Leave a Comment

You must be to leave a comment.
Submit
Characters: ...
You must be to leave a comment.
Submit
Characters: ...