BS 7799 es una especificación de un sistema de gestión de la seguridad de la información (SGSI). En breve, será promovido a la condición plena de Estándar Internacional y será publicada como ISO/IEC 27001.
La nueva norma define los requerimientos para el establecimiento de un Sistema de Administración de la Seguridad de la Información (ISMS por sus siglas en inglés) en las organizaciones que les permita contener y prevenir amenazas a la seguridad de la información que manejan. Especifica los procesos para hacer posible que una organización establezca, implemente, revise y monitoree, administre y mantenga un ISMS efectivo.
Con la publicación de la norma ISO/IEC 27001:2005 se espera que muchas organizaciones empiecen a trabajar en la implementación del ISMS, que integra el modelo Plan-Do-Check-Act, que basado en procesos mantienen los estándares ISO para los sistemas de administración.
Las organizaciones pequeñas, medianas o grandes, de cualquier sector del mercado industrial, comercial o servicios, que deseen mantener un estándar de seguridad para la protección de sus activos informáticos, incluyendo la información, pueden utilizar la nueva norma ISO/IEC 27001:2005 para preparar e implementar el ISMS. Si desean obtener la certificación de que el ISMS cumple el nuevo estándar ISO/IEC 27001:2005, también pueden hacerlo a través del órgano certificador autorizado aunque la certificación no es un requerimiento del estándar.
Hasta antes de la publicación del ISO/IEC 27001:2005, las organizaciones tomaban como base el estándar británico BS 7799 Parte 2 para preparar e implementar el ISMS, y certificarlo. Ahora podrán hacerlo con la nueva norma ISO/IEC 27001:2005, que es un estándar internacional.
La implementación del ISMS permite a las organizaciones mostrar al mercado, que toma en serio la seguridad de la información que maneja.
Para implementar el ISMS deben considerarse los procesos, el personal y los recursos de IT de la organización para definir, monitorear y mantener los objetivos de control y los controles que sean necesarios para manejar la información sensitiva y asegurar que permanezca segura.
El nuevo estándar ISO/IEC 27001:2005 se complementa con el estándar ISO/IEC 17799:2005 Code of Practice, actualizado en junio de este año, que define los objetivos de control y controles para administrar la seguridad de la información.
Para las organizaciones que quieran empezar a trabajar en la preparación e implementación del ISMS está disponible elISO27000 ToolKit que además de contener los estándares ISO/IEC 17799:2005 y ISO/IEC 27001:2005, incluye herramientas para la evaluación de riesgos, planeación para la recuperación en caso de desastres y análisis de impacto, guía para la certificación, así como muestras de políticas de seguridad.
ISO 17799
Surgida de la norma británica BS 7799, la norma ISO 17799 ofrece instrucciones y recomendaciones para la administración de la seguridad.
La norma 17799 también ofrece una estructura para identificar e implementar soluciones para los siguientes riesgos:
- Política de seguridad: escribir y comunicar la política de seguridad de la compañía
- Organización de seguridad: definir los roles y las responsabilidades. Monitorear a los socios y a las empresas tercerizadas
- Clasificación y control de activos: llevar un inventario de los bienes de la compañía y definir cuán críticos son así como sus riesgos asociados
- Seguridad del personal: contratación, capacitación y aumento de concientización relacionadas a la seguridad
- Seguridad física y del entorno: área de seguridad, inventarios del equipamiento de seguridad
- Comunicación / Administración de operaciones: procedimientos en caso de accidente, plan de recuperación, definición de niveles de servicio y tiempo de recuperación, protección contra programas ilegales, etc.
- Control de acceso: establecimiento de controles de acceso a diferentes niveles (sistemas, redes, edificios, etc.)
- Desarrollo y mantenimiento del sistema: consideración de la seguridad en sistemas desde el diseño hasta el mantenimiento
- Plan de continuidad empresarial: definición de necesidades en términos de disponibilidad, recuperación de tiempo y establecimiento de ejercicios de emergencia
- Contratación: respeto por la propiedad intelectual, las leyes y las reglamentaciones de la compañía
a Video Mostrando algunos aspectos del ISO 17799:
0 comentarios:
Publicar un comentario