resumen iso
TRANSCRIPT
INSTITUTO TECNOLOGICO DE LAZARO
CARDENAS
CARRERA: INGENIERIA EN SISTEMAS COMPUTACIONALES
MATERIA: INGENIERIA DE SOFTWARE
RESUMEN: NORMAS DE SEGURIDAD DE SOFTWARE:
SEMESTRE: 6
ALUMNO: LUID DAVID GALVEZ ESPINOZA
NUMERO DE CONTROL: 11560112
1. ISO/IEC 13335-1:2004
Resumen
Los principales objetivos de ISO / IEC 13335 son:
para definir y describir los conceptos asociados a la gestión de la seguridad de TI
para identificar las relaciones entre la gestión de la seguridad de TI y la gestión de las TI en general,
presentar varios modelos que se pueden utilizar para explicar la seguridad de TI
proporcionar una orientación general sobre la gestión de la seguridad de TI.
Contenido
Prólogo Introducción Alcance Definiciones conceptos de seguridad y relaciones
Objetivos, estrategias y políticas
Aspectos organizativos de la seguridad TIC
Funciones de gestión de la seguridad de las TIC
Gobierno y las organizaciones comerciales se basan en gran medida en el uso de información para llevar a cabo sus actividades de negocios. Compromiso de confidencialidad, integridad, disponibilidad, no repudio, la rendición de cuentas, la autenticidad y fiabilidad de una organización como activos puede tener un impacto adverso. En consecuencia, hay una necesidad imperiosa de proteger la información y para gestionar la seguridad de los sistemas TIC en las organizaciones. Este requisito de proteger la información es especialmente importante en la actualidad?? S medio ambiente porque muchas organizaciones están interna y externamente
conectados por redes de sistemas de TIC no necesariamente controladas por sus organizaciones. Además, la legislación de muchos países requiere que la administración tome las medidas apropiadas para mitigar relacionada con el negocio de riesgo y el uso de sistemas de TIC. Dicha legislación podría cubrir no sólo la protección de la privacidad / datos, sino también de salud y financieros los mercados, entre otros. BS ISO / IEC TR 13335 Parte 1 proporciona una visión general de gestión de alto nivel. Este material es adecuado para los administradores y los que tienen la responsabilidad de la seguridad de las TIC, para un programa de seguridad global organización?? S, o una organización?? S sistemas de TIC. Parte 1 se centra su atención en los conceptos y modelos de gestión de la planificación, la ejecución y las operaciones de seguridad de las TIC.
Esta parte contiene:
definiciones aplicables a todas las partes de esta Norma Internacional; descripciones de los principales elementos de seguridad y sus relaciones
que están involucrados en la gestión de seguridad de las TIC; objetivos de seguridad corporativa, estrategias y políticas necesarias para
la seguridad efectiva de las TIC de la organización; Organización para la Seguridad TIC eficaces, modelos de rendición de
cuentas, asignación explícita y el reconocimiento de las responsabilidades de seguridad; y
una visión general de las funciones de gestión de seguridad de las TIC. Esta norma sustituye a BS ISO / IEC TR 13335-1:1996 e ISO / IEC TR
13335-2:1997, que ahora se retira
2. ISO/IEC TR 13335-3:1998
ISO / IEC TR 13335-3:1998 tiene como objetivo describir y recomendar técnicas para el éxito de la gestión de la seguridad de TI. Estas técnicas se pueden utilizar para evaluar los requisitos de seguridad y riesgos, y ayudar a establecer y mantener las medidas de seguridad adecuadas, es decir, el nivel de seguridad de TI correcta. Los resultados obtenidos de esta manera pueden necesitar ser mejorada mediante salvaguardias adicionales dictadas por la propia organización y el medio ambiente.
ISO / IEC TR 13335-3:1998 es relevante para todo el mundo dentro de una organización que se encarga de la gestión y / o la implementación de la seguridad de TI.
Contenido:
Prefacio Introducción Alcance Referencias Estructura Objetivo Las técnicas para la gestión de la seguridad de TI Los objetivos de seguridad de TI, la estrategia y las políticas Opciones de estrategia de análisis de riesgos corporativa Enfoque combinado La ejecución del plan de seguridad de TI Seguimiento Resumen Anexo A - Una lista de ejemplos de contenido para una política de
seguridad corporativa Anexo B - Valoración de activos Anexo C - Lista de posibles tipos de amenazas Anexo D - Ejemplos de vulnerabilidades comunes Anexo E - Tipos de método de análisis de riesgos
3. ISO/IEC TR 13335-4:2000
ISO / IEC TR 13335-4:2000 proporciona orientación sobre la selección de garantías, teniendo en cuenta las necesidades del negocio y las preocupaciones de seguridad. En él se describe un proceso para la selección de salvaguardas de acuerdo con los riesgos y las preocupaciones y el entorno específico de una organización de seguridad. ISO / IEC TR 13335-4:2000 muestra cómo lograr la protección adecuada, y cómo esto puede ser compatible con la aplicación de la seguridad de la línea de base.
Contenido:
Prefacio Introducción Alcance Referencias Definiciones Objetivo Visión de conjunto Introducción a salvaguardar la selección y el concepto de seguridad de
línea de base Evaluaciones básicas Salvaguardias Enfoque de línea de base: la selección de las salvaguardias de acuerdo
con el tipo de sistema informático Selección de salvaguardas de acuerdo a los problemas de seguridad y
amenazas Selección de salvaguardas de acuerdo con evaluaciones detalladas Desarrollo de una base de referencia para toda la organización Resumen Bibliografía Anexo A - Código de prácticas para la seguridad de la información de
gestión Anexo B - características estándar de seguridad de línea de base del ETSI
y mecanismos Anexo C - IT manual de protección de línea de base Anexo D - Manual NIST seguridad informática Anexo E - La informática médica: la categorización de seguridad y
protección para los sistemas de información de salud
Anexo F - TC68 Banca y afines financieros directrices servicios de seguridad de la información
Anexo G - La protección de la información sensible no cubierto por las Ley de Secretos Oficiales - recomendaciones para estaciones de trabajo
Anexo H - Manual Canadiense de seguridad Tecnología de la Informaci
4. ISO/IEC TR 13335-5:2001
ISO / IEC TR 13335-5:2001 proporciona orientación con respecto a las redes y comunicaciones a los responsables de la gestión de la seguridad de TI. Esta guía es compatible con la identificación y análisis de las comunicaciones factores que deben tenerse en cuenta para establecer los requisitos de seguridad de red relacionados. También contiene una breve introducción a las posibles áreas de salvaguardia.
Contenido:
Prefacio Introducción Alcance Referencias Definiciones Abreviaturas Estructura Objetivo Visión de conjunto Consultar los requerimientos de las políticas de seguridad de TI
corporativas Revisión arquitecturas de red y aplicaciones Identificar los tipos de conexión de red Características de redes Revisión y relaciones de confianza relacionados
5. ISO/IEC 17799:2005
ISO / IEC 17799:2005 establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en una organización. Los objetivos descritos proporcionan una guía general sobre los objetivos comúnmente aceptados de gestión de seguridad de información. ISO / IEC 17799:2005 contiene las mejores prácticas de los objetivos de control y controles en las siguientes áreas de gestión de seguridad de la información:
la política de seguridad; organización de la seguridad de la información; gestión de activos; la seguridad de los recursos humanos; física y la seguridad del medio ambiente; las comunicaciones y la gestión de las operaciones; control de acceso; adquisición de sistemas de información, desarrollo y mantenimiento; gestión de incidentes de seguridad de la información; gestión de la continuidad del negocio; cumplimiento.
Los objetivos de control y controles de la norma ISO / IEC 17799:2005 están destinados a ser implementado para cumplir con los requisitos identificados por una evaluación de riesgos. ISO / IEC 17799:2005 pretende ser una base común y guía práctica para el desarrollo de los estándares de seguridad de la organización y las prácticas eficaces de gestión de la seguridad, y para ayudar a construir la confianza en las actividades interinstitucionales.
6. ISO/IEC 27001:2005
ISO / IEC 27001:2005 cubre todo tipo de organizaciones (empresas comerciales por ejemplo, agencias gubernamentales, organizaciones sin fines de lucro). ISO / IEC 27001:2005 especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información documentado en el contexto de los riesgos globales de negocio de la organización. Especifica los requisitos para la aplicación de los controles de seguridad a medida de las necesidades de las organizaciones individuales o partes de los mismos.
ISO / IEC 27001:2005 está diseñado para garantizar la selección de controles adecuados y proporcionados de seguridad que protegen los activos de información y dar confianza a las partes interesadas.
ISO / IEC 27001:2005 pretende ser adecuado para diferentes tipos de uso, incluyendo los siguientes:
utilizar dentro de las organizaciones para formular los requisitos y objetivos de seguridad;
utilizar dentro de las organizaciones como una forma de garantizar que los riesgos de seguridad son rentables gestionados eficazmente;
utilizar dentro de las organizaciones para asegurar el cumplimiento con las leyes y reglamentos;
utilizar dentro de una organización como un marco de proceso de la aplicación y gestión de los controles para garantizar que se cumplan los objetivos específicos de seguridad de una organización;
definición de nuevos procesos de gestión de seguridad de la información; identificación y clarificación de los procesos de gestión de seguridad de la
información existentes; utilizar la gestión de las organizaciones para determinar el estado de las
actividades de gestión de seguridad de la información; usar por los auditores internos y externos de las organizaciones para determinar el
grado de cumplimiento de las políticas, directrices y normas adoptadas por la organización;
utilizar las organizaciones para proporcionar información relevante acerca de las políticas de seguridad de la información, directivas, normas y procedimientos a los socios comerciales y otras organizaciones con las que interactúan por razones operativas o comerciales;
implementación de seguridad de la información empresarial propicio; utilizar las organizaciones para proporcionar información relevante sobre seguridad
de la información a los clientes.
7. ISO/IEC 15408-1:2005
ISO / IEC 15408 le permite comparar entre los resultados de las evaluaciones de seguridad independientes. Lo hace mediante la prestación de un conjunto común de requisitos para las funciones de seguridad de productos y sistemas de TI y de las medidas de garantía que se les aplica durante una evaluación de la seguridad.
El proceso de evaluación establece un nivel de confianza de que las funciones de seguridad de dichos productos y sistemas y las medidas de garantía aplicadas a ellos cumplir con estos requisitos. Los resultados de la evaluación pueden ayudar a los consumidores a determinar si el producto o sistema de TI es lo suficientemente seguro para su uso previsto y si los riesgos en la seguridad en su uso son tolerables.
Contenido:
Adelante Introducción Alcance Términos y definiciones Símbolos y abreviaturas Visión de conjunto Modelo general ISO / IEC 15408 requisitos y resultados de la evaluación Anexo A (normativo) - Especificación de perfiles de protección Anexo B (normativo) - Especificación de los objetivos de seguridad Bibliografía
8. ISO/IEC 15408-2:2005
Esta parte de la Norma ISO / IEC 15408 define la estructura y el contenido de los componentes funcionales de seguridad para el propósito de la evaluación de seguridad requerido. Incluye un catálogo de componentes funcionales que satisfagan los requisitos de funcionalidad de seguridad comunes de muchos productos y sistemas de TI.
Contenido:
Prefacio Introducción Alcance Referencias normativas Términos, definiciones y abreviaturas Visión de conjunto Requisitos funcionales paradigma Componentes funcionales de seguridad Clase FAU: Auditoría de seguridad Clase FCO: Comunicación Clase FCS: Apoyo criptográfico Clase FDP: Usuario protección de datos Clase FIA: Identificación y autenticación Clase FMT: Gestión de la seguridad FPR Clase: Privacidad Clase FPT: Protección del TSF FRU Clase: Utilización de recursos Clase FTA: acceso TOE FTP Clase: Trusted ruta / canales Notas de seguridad los requisitos funcionales de la aplicación - Anexo A
(normativo) Anexo B (normativo) - Clases funcionales, familias y componentes Anexo C (normativo) - Clase FAU: Auditoría de seguridad Anexo D (normativo) - Clase FCO: Comunicación Anexo E (normativo) - Clase FCS: Apoyo criptográfico Anexo F (normativo) - Clase FDP: protección de los datos del usuario Anexo G (normativo) - Clase FIA: Identificación y autenticación Anexo H (normativo) - Clase FMT: Gestión de la seguridad
Anexo I (normativo) - Clase FPR: Privacidad Anexo J (Normativo) - Clase FPT: Protección del TSF Anexo K (Normativo) - Clase FRU: La utilización de recursos Anexo L (Normativo) - Clase FTA: acceso TOE Anexo M (normativo) - Clase FTP: Trusted ruta / canales
9. ISO/IEC 15408-3:2005
Esta parte de la Norma ISO / IEC 15408 define los requisitos de garantía de la norma ISO / IEC 15408. Incluye los niveles de aseguramiento de evaluación (Eals) que definen una escala para medir la garantía, los componentes individuales de aseguramiento de la que están compuestos los niveles de seguridad, y los criterios para evaluación de los perfiles de protección (PP) o Target seguridad (STS).
Contenido:
Prefacio Introducción Alcance Referencias normativas Términos, definiciones, símbolos y abreviaturas Visión de conjunto ISO / IEC 15408 paradigma de aseguramiento Requisitos de garantía de seguridad Perfil de protección y de seguridad los criterios de evaluación objetivo Clase APE: Protección de evaluación de perfil Clase ASE: Seguridad Evaluación de destino Niveles de garantía de evaluación Clases de Aseguramiento, familias y componentes ACM Clase: Gestión de configuración ADO Clase: Entrega y operación ADV Clase: Desarrollo AGD Clase: Los documentos de orientación Clase ALC: el apoyo del ciclo de vida Clase ATE: Pruebas AVA Clase: Evaluación de la vulnerabilidad Anexo A (informativo) - Referencia cruzada de dependencias de
componentes de aseguramiento Anexo B (informativo) - Referencia cruzada de Eals y componentes de
aseguramiento.