Normas de buenas prácticas

Ir a: navegación, búsqueda de
El estándar de 2011 de las buenas prácticas

El Normas de buenas prácticas para la seguridad de la información publicada por el Foro de seguridad de la información (ISF), es una guía centrada en el negocio, práctica e integral para identificar y gestionar seguridad de la información riesgos en las organizaciones y sus cadenas de suministro.

El estándar de 2011 publicado recientemente es la actualización más importante de la norma durante cuatro años. Incluye información de seguridad 'hot topics' tales como dispositivos de consumo, infraestructuras críticas, ataques del cibercrimen, equipos de oficina, hojas de cálculo y bases de datos y computación en la nube.

El estándar de 2011 está alineado con los requisitos para un Sistema de gestión de seguridad de información (Ismos) establecen en ISO/IEC 27000-series las normas y proporciona una cobertura más amplia y profunda de ISO/IEC 27002 temas de control, así como cloud computing, fuga de información, dispositivos de consumo y gestión de la seguridad.

Además de proporcionar una herramienta para habilitar ISO 27001 certificación, la norma 2011 proporciona cobertura total de la COBIT V4 temas y ofrece sustancial alineación con otras normas pertinentes y la legislación como PCI DSS y el Ley Sarbanes Oxley, para permitir el cumplimiento de estas normas también.

El estándar es utilizado por los oficiales jefe de seguridad de información (CISOs), administradores de seguridad de información, administradores de empresas, los administradores de ti, auditores internos y externos, proveedores de servicios de IT en las organizaciones de todos los tamaños.

El estándar de 2011 está disponible gratuitamente para los miembros de la ISF. Miembros no son capaces de adquirir una copia de la norma directamente de la ISF.

Contenido

  • 1 Organización
  • 2 Véase también
  • 3 Referencias
  • 4 Enlaces externos

Organización

La norma ha sido históricamente organizada en seis categorías, o aspectos. Instalaciones de computadora y Redes Dirección del subyacente infraestructura que Aplicaciones críticas del negocio Ejecute. El Entorno de usuario final cubre las disposiciones asociadas con la protección corporativa y aplicaciones de estaciones de trabajo al final en uso por individuos. Desarrollo de sistemas trata de cómo las nuevas aplicaciones y sistemas es creado, y Gestión de la seguridad Dirección de alto nivel de direcciones y control.

La norma ahora se publica principalmente en un formato simple "modular" que elimina la redundancia. Por ejemplo, las diferentes secciones dedican a la auditoría de seguridad y revisión se han consolidado.

Aspecto Foco Público objetivo Temas sondeados Alcance y cobertura
Gestión de la seguridad (corporativo) Gestión de la seguridad a nivel de empresa. El público objetivo del aspecto SM típicamente incluyen:
  • Jefes de seguridad de la información funciones
  • Los administradores de seguridad de la información (o equivalente)
  • Auditores IT
El compromiso proporcionado por el equipo gestor para promover prácticas de seguridad de la información en toda la empresa, junto con la asignación de los recursos apropiados. Modalidades de gestión de seguridad dentro de:
  • Un grupo de empresas (o equivalente)
  • Parte de un grupo (por ejemplo, compañía subsidiaria o una unidad de negocio)
  • Una organización individual (por ejemplo una empresa o un departamento gubernamental)
Aplicaciones críticas del negocio Un negocio aplicación es fundamental para el éxito de la empresa. El público objetivo del aspecto CB típicamente incluyen:
  • Propietarios de aplicaciones de negocio
  • Personas a cargo de los procesos del negocio que son dependientes de las aplicaciones
  • Integradores de sistemas
  • Personal técnico, como miembros de un equipo de soporte de aplicación.
Los requisitos de seguridad de la aplicación y los arreglos hechos para identificar riesgos y mantenerlos dentro de niveles aceptables. Aplicaciones críticas del negocio de cualquiera:
  • Tipo (incluyendo el procesamiento de transacciones, control de procesos, transferencia de fondos, servicio al cliente y las aplicaciones de estaciones de trabajo)
  • Tamaño (por ejemplo aplicaciones de apoyo a los miles de usuarios o sólo unos pocos)
Instalaciones de computadora Una instalación de computadora que soporta una o más aplicaciones de negocios. El público objetivo del CI aspecto típicamente incluyen:
  • Propietarios de las instalaciones de computadora
  • Personas a cargo de funcionamiento centros de datos
  • Gerentes de ti
  • Terceros que operan las instalaciones de computadora para la organización
  • Auditores IT
¿Cómo se identifican los requisitos para servicios informáticos; y cómo las computadoras están establecer y ejecutar con el fin de cumplir con esos requisitos. Instalaciones de computadora:
  • De todos los tamaños (incluyendo el más grande mainframe, servidor-basado en sistemas y grupos de estaciones de trabajo)
  • Funcionamiento en ambientes especializados (por ejemplo, un centro de datos creada ex profeso), o en ambientes ordinarios de trabajo (por ejemplo oficinas, fábricas y almacenes)
Redes A red que apoya una o más aplicaciones de negocios El público objetivo del aspecto NW típicamente incluyen:
  • Jefes de las funciones de red especialista
  • Administradores de red
  • Terceros que proveen servicios de red (ej.: Proveedores de servicios de Internet)
  • LO Auditores
¿Cómo se identifican los requisitos para servicios de red; y cómo las redes son establecer y ejecutar con el fin de cumplir con esos requisitos. Cualquier tipo de comunicaciones de la red, incluyendo:
  • Redes de área amplia (WAN) o redes de área local (LAN)
  • Gran escala (por ejemplo toda la empresa) o de pequeña escala (por ejemplo un departamento individual o unidad de negocio)
  • Aquellas basadas en la tecnología de Internet tales como intranets o extranets
  • Voz, datos, o integrado
Desarrollo de sistemas A desarrollo de sistemas unidad o departamento o un proyecto de desarrollo de sistemas particulares. El público objetivo del aspecto SD normalmente incluirá
  • Jefes de las funciones de desarrollo de sistemas
  • Desarrolladores del sistema
  • Auditores IT
¿Cómo se identifican los requerimientos del negocio (incluyendo los requisitos de seguridad de la información); y qué sistemas están diseñados y construidos para satisfacer esas necesidades. Actividad de desarrollo de todo tipo, incluyendo:
  • Proyectos de todos los tamaños (desde muchos años de trabajador a trabajador-días)
  • Los realizados por cualquier tipo de desarrollador (e.g. unidades especializadas o departamentos, subcontratistaso los usuarios de negocios)
  • Los basados en software a medida o paquetes de aplicaciones
Entorno de usuario final Un entorno (por ejemplo una unidad de negocio o departamento) en el cual individuos usan aplicaciones corporativas o estación de trabajo críticos para apoyar los procesos de negocio. El público objetivo del aspecto UE típicamente incluyen:
  • Gerentes de negocios
  • Personas en el entorno del usuario final
  • Coordinadores de seguridad de la información local
  • Los administradores de seguridad de la información (o equivalente)
Los arreglos para la educación del usuario y conciencia; uso de aplicaciones de negocios corporativos y aplicaciones críticas de estación de trabajo; y la protección de la información asociada a computación móvil. Entornos de usuario final:
  • De cualquier tipo (por ejemplo departamento corporativo, unidad de negocio general, piso de la fábrica, o Centro de llamadas)
  • De cualquier tamaño (por ejemplo varios individuos a grupos de cientos o miles)
  • Eso incluye a individuos con diversos grados de habilidades y conciencia de seguridad de la información.

Los seis aspectos dentro de la norma se componen de un número de áreas, cada uno cubre un tema específico. Un área se descompone en secciones, cada una de las cuales contiene las especificaciones detalladas de seguridad de la información mejores prácticas. Cada Estado tiene una única referencia. Por ejemplo, SM41.2 indica que una especificación es en el aspecto de la gestión de la seguridad, area 4, sección 1 y está catalogada como especificación #2 dentro de esa sección.

La parte de principios y objetivos de la norma proporciona una versión de alto nivel de la norma, al reunir el principios (que proporcionan una visión general de lo que se necesita realizar para cumplir el estándar) y objetivos (que describen la razón de por qué estas acciones son necesarias) para cada sección.

El estándar publicado también incluye una matriz de amplios temas, índice, material introductorio, información, sugerencias para la aplicación y otra información.

Véase también

Ver Categoría: Informática para obtener una lista de todos los informáticos y seguridad de la información relacionada con los artículos.

  • Normas de seguridad cibernética
  • Foro de seguridad de la información
  • COBIT
  • Comité de Sponsoring Organizations of the Treadway Commission (COSO)
  • ISO 17799
  • ISO/IEC 27002
  • Information Technology Infrastructure Library (ITIL)
  • Pago estándar Card Industry Data Security Standard (PCI DSS)
  • Basilea III
  • Cloud Security Alliance (CSA) para seguridad informática en la nube

Referencias


Enlaces externos

  • Las normas de buenas prácticas
  • El Foro de seguridad de la información
  • 2007 estándar de buenas prácticas PDF

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=Standard_of_Good_Practice&oldid=601115711"