ministerio del interior - presentación norma iso 17799
Post on 21-Feb-2017
43 Views
Preview:
TRANSCRIPT
Comité de Coordinación del
Sistema de InformáticaPresentación
Directiva Nº 001-95-IN-010800
Normas para el funcionamiento de los sistemas de informática y telecomunicaciones en el MININTER
•Objeto : Dictar normas y establecer procedimientos para estandarizar el funcionamiento de Sistemas de Informática y Telecomunicaciones en todos los Órganos del MININTER (SITEMI)
•Alcance : A todos los Órganos, Unidades y Dependencias del MININTER
Objetivos del Comité
• Definir los estándares técnicos de hardware, software y de telecomunicaciones.
• Formular el requerimiento de recursos para la detección de virus informáticos.
• Establecer lineamientos de política de capacitación informática.
• Emitir disposiciones al respecto.
Estructura del Comité
• Está presidido por el Director General de OFITEL.
• Conformado por representantes de las Oficinas/Direcciones Generales de los Órganos No-Policiales del MININTER.
• Quienes no cuenten con una unidad orgánica especializada de Informática designarán entre su personal a un funcionario encargado de mantener enlace con OFITEL
Tareas Inmediatas del Comité
• Implantación y empleo de la Norma Técnica Peruana NTP-ISO/IEC 17799:2004 “Tecnología de la Información. Código de Buenas Prácticas para la Gestión de la Seguridad de la Información”.
ISO 17799Presentación
Indice
• ¿Que es ISO 17799?
• Reseña Historica
• ¿Quien puede usarla?
• Implementación
• Herramientas
¿Que es ISO 17799?
.• Una serie de controles basados en las mejores practicas para la seguridad de la información;
• Un estandard internacional que cubre cada aspecto de la seguridad de la información:– Equipamiento;– Políticas Administrativas– Recursos Humanos;– Aspectos Legales.
¿De que consiste ISO 17799 ?
.•ISO 17799 (parte 1) es el Código de Práctica, es una guia que da recomendaciones sobre métodos para desarrollar un sistema de gestíon de la seguridad de la seguridad.
•ISO 17799 (parte 2) (BS 7799) esta parte detalla los elementos que tienen que implementarse para que una organización este preparada para una Auditoria previa a la certificación ISO.
Cualidades de ISO 17799
• Facil de entender• No depende de la tecnología• Buena practica• No es solo tecnología de información• Flexible, se adapta a todo contexto• Es un estandard internacional• Un nombre asociado con CALIDAD
Controlde
accesos
Clasificacióny control
de activos
Políticas de seguridad Seguridad
de la organización
Seguridad ligada al personal
Seguridadfísica y del
entorno Gestión de comunicaciones y
operaciones
Desarrolloy mantenimiento
de sistemas
Gestión decontinuidad del
negocio
Cumplimiento
Información
Integridad Confidencialidad
Disponibilidad
Las 10 claves de ISO 17799
Organizacional
Operacional
1. Políticas de
seguridad
2. Seguridad de la organización
3. Clasificación y control de
activos7. Control de
accesos
4. Seguridad ligada al personal
5. Seguridad física y del entorno
8. Desarrollo y mantenimiento
de sistemas
6. Gestión de comunicaciones y
operaciones
9. Gestión de continuidad del
negocio
10. Cumplimiento
Las 10 claves de ISO 17799
History and Development of ISMS
19951998
BS 7799 Parte 1
BS 7799 Parte 2
2000
ISO/IEC 17799:2000
Agosto 2003PCM elabora la NTP-IOS/IEC 17799:2003
tomando como referencia a la norma internacional ISO/IEC 17799:2000
Julio 2004 Aprobación de Uso Obligatoriode norma NTP-ISO/IEC 17799:2004
RM Nº 224-2004-PCM
Reseña Historica
¿Quién puede usarla?
• ISO 17799 puede ser usada por cualquier organización. Si la organización usa sistemas computacionales internamente o externamente, posee datos confidenciales, depende de sistemas de información en el contexto de sus actividades económicas o gubernamentales, o simplemente necesita adoptar un alto nivel de seguridad para cumplir con sus funciones, entonces el estandard, ISO 17799 es la solución.
ISO 17799 Auditoria y Certificación
• ISO 17799, por el momento no hay certificación disponible.
• Una organización puede cumplir con ISO 17799 y prepararse para una futura certificación.
• Los procesos de auditoria son documentados:– Auditoria interna– Auditoria Externa (carta de opinión)– Registro ISO (certificación oficial)
Organizaciones internacionales que usan la norma
• Más de 80,000 organizaciones alrededor del mundo usan la norma ISO 17799:• Fujitsu Limited;• Marconi Secure Systems ;• Samsung Electronics Co Ltd;• Sony Bank inc. ;• Symantec Security Services ;• Toshiba IS Corporate
Ventajas
• Conformidad con las reglas del gobierno para la gestión del riesgo;
• Una protección mejor de la información confidencial de la institución;
• Reduce los riesgos de los ataques de hacker`s ;
• Una recuperación más rápida y más fácil luego de un ataque.
Ventajas (cont.)
• Metodología estructurada de la seguridad que ha ganado el reconocimiento internacional;
• Confianza mutua creciente entre las entidades del estado;
• Prácticas y conformidad mejoradas de la privacidad y confidencialidad de la información.
Gestión (Modelo PHVA)
Metodología y Ciclo de Implementación
•Identifique y evalúe las amenazas y las vulnerabilidades;•Calcule el valor de riesgos asociados;•Diagnostique el nivel de la conformidad conISO 17799;•Inventariar y evaluar los activos ha proteger.
Evaluación de Riesgos
Identificar el alcance y los límites del marco de la gestión de la seguridad de la información, es crucial para el éxito del proyecto.
Definición de la SGSI (Sistema de Gestión de la Seguridad Informática)
•Asegurar el compromiso de la gerencia superior;•Seleccionar y entrenar a miembros del equipo de proyecto inicial.
Inicio del proyecto
DescripciónPasos de la metodología y ciclo para implementar el
estandard
Metodología y Ciclo de Implementación (cont.)
Auditoría
Validar el marco de la gestión y qué debe ser hecho antes de que se proceda con la Auditoría.
Preparación para la Audioría
El personal puede ser el eslabón más débil de la seguridad de la información de su organización.
Entrenamiento y puesta en conocimiento
Encontrar cómo seleccionar e implementar los controles a los accesos que pueden permitir a una organización reducir el riesgo a un nivel aceptable.
Tratamiento del Riesgo
DescripciónPasos de la metodología y ciclo para implementar el
estandard
Deliverables – ISO 17799Así funciona – ISO 17799
Obstaculos Potenciales Factores de éxito
• Personal y recursos dedicados;
• Experiencia externa;• La buena comprensión de la
gestión de riesgo funciona (organizacional) y los procesos (operaciones);
• Comunicación frecuente;• Conocimiento del director y
del empleado; • Compromiso de la dirección
superior.
• Miedo, resistencia al cambio;
• Riesgo de continuismo;• Incremento de costos; • Insuficiente
conocimiento para ejecutar la tarea;
• Tarea aparentemente insuperable.
Referencias
• Administración del Riesgo IT - José Ponce, Ernst & Young.
• Expectativas de la norma técnica peruana NTP-ISO/IEC 17799:2004 EDI - José Parra, Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros.
• Implantación de un Sistema de Gestión de Seguridad de Información - Alberto Alexander, CENTRUM Católica.
• Norma Técnica Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. 1º Edición, PCM.
Conclusion
La seguridad se logra implementando un conjunto adecuado de controles basados en metodologías o estándares de seguridad
top related