C:\Fakepath\Charla De Auditoria 5

37
PRESENTADO: XIMENA WILLIAMS NORMAS DE LA ISO Y EL IEEE

description

Normas de seguridad ISO 17700 Normas ISO:17700/Seguridad de la información ISO/IEC17799 Seguridad de la información ISO/IEC 17025 Requisitos generales relativos a la competencia de los laboratorios de ensayo y calibración

Transcript of C:\Fakepath\Charla De Auditoria 5

Page 1: C:\Fakepath\Charla De Auditoria 5

PRESENTADO: XIMENA WILLIAMS

NORMAS DE LA ISO Y EL IEEE

Page 2: C:\Fakepath\Charla De Auditoria 5

Normas de seguridad ISO 17700

Normas ISO:17700/Seguridad de la información

ISO/IEC17799 Seguridad de la información ISO/IEC 17025 Requisitos generales

relativos a la competencia de los laboratorios de ensayo y calibración

Page 3: C:\Fakepath\Charla De Auditoria 5

SEGURIDAD DE LA INFORMACIÓN

Norma 17799

Page 4: C:\Fakepath\Charla De Auditoria 5

Objetivos ISO 17799

• Objetivo ISO 17799: Proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.

• Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma UNE 71502, CERTIFICABLE.

Page 5: C:\Fakepath\Charla De Auditoria 5

¿A que se refiere?

es una norma internacional que ofrece recomendaciones para

realizar la gestión de la seguridad de la información dirigidas a los

responsables de iniciar, implantar o mantener la seguridad de una organización.

Page 6: C:\Fakepath\Charla De Auditoria 5

¿qué es ISO 17799?

• ISO 17799 define la información como un activo que posee valor para la

• organización y requiere por tanto de una protección adecuada. El objetivo de

• la seguridad de la información es proteger adecuadamente este activo para

• asegurar la continuidad del negocio, minimizar los daños a la organización y

• maximizar el retorno de las inversiones y las oportunidades de negocio.

Page 7: C:\Fakepath\Charla De Auditoria 5

1.- Estructura de la norma.

•UNE-ISO/IEC 17799establece diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información:

1. Política de seguridad. 2. Aspectos organizativos para la seguridad. 3. Clasificación y control de activos. 4. Seguridad ligada al personal. 5. Seguridad física y del entorno. 6. Gestión de comunicaciones y operaciones. 7. Control de accesos. 8. Desarrollo y mantenimiento de sistemas. 9. Gestión de continuidad del negocio. 10.Conformidad con la legislación.

Page 8: C:\Fakepath\Charla De Auditoria 5

2.-Estructura de la norma.

•De estos diez dominios se derivan:-36 objetivos de control (resultados que se

esperan alcanzar mediante la implementación de controles)

-127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo).

Page 9: C:\Fakepath\Charla De Auditoria 5

2.-Estructura de la norma.

•Niveles de seguridad:–Lógica: Confidencialidad, integridad y

disponibilidad del software y datos de un SGI.–Organizativa: Relativa a la prevención,

detección y corrección de riesgos.–Física: Protección de elementos físicos de

las instalaciones: servidores, PCs…–Legal: Cumplimiento de la legislación

vigente. En España: LOPD (Ley Orgánica de Protección de Datos).

Page 10: C:\Fakepath\Charla De Auditoria 5

Dominios de Control

Page 11: C:\Fakepath\Charla De Auditoria 5

Aplicación de ISO 17799•

• AUDITORÍA.• Trabajo de auditoría en 4 niveles:• –Seguridad lógica.• –Seguridad física.• Seguridad organizativa.• Seguridad legal.• Una auditoría ISO 17799 proporciona

información precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles.

Page 12: C:\Fakepath\Charla De Auditoria 5

VENTAJAS

• Aumento de la seguridad efectiva de los sistemas de información.

• –Garantías de continuidad del negocio.• –Correcta planificación y gestión de la seguridad.• –Mejora continua través del proceso de auditoría

interna.• –Incremento de los niveles de confianza de los

clientes.• –Aumento del valor comercial y mejora de la

imagen de laorg anización.• –CERTIFICACIÓN UNE 71502.

Page 13: C:\Fakepath\Charla De Auditoria 5

La norma 27000

Page 14: C:\Fakepath\Charla De Auditoria 5

Que es ISO 27000

ISO/IEC 27000 Es un conjunto de estándares desarrollados o en fase de desarrollo por ISO (International Organization for Standarization) e IEC (International electrotechnical Commission), que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, publica o privada, grande o pequeña.

Page 15: C:\Fakepath\Charla De Auditoria 5

La distintas normas que compone la serie ISO 27000 y se indica como puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.

Page 16: C:\Fakepath\Charla De Auditoria 5

DOMINIOS DE CONTROL

Page 17: C:\Fakepath\Charla De Auditoria 5

Normas de seguridad para redes y comunicación

Page 18: C:\Fakepath\Charla De Auditoria 5

ORGANIZACIÓN PROFESIONAL CUYAS ACTIVIDADES INCLUYEN EL DESARROLLO DE ESTÁNDARES DE COMUNICACIONES Y REDES. LOS ESTÁNDARES DE LAN DE IEEE SON LOS ESTÁNDARES DE MAYOR IMPORTANCIA PARA LAS LAN DE LA ACTUALIDAD.A CONTINUACIÓN ALGUNOS ESTÁNDARES DE LA LAN DE IEEE:

INSTITUTO DE INGENIEROS ELECTRICOS Y ELECTRONICOS ( IEEE )

Page 19: C:\Fakepath\Charla De Auditoria 5

Normas de ISO para las redes

• ISO 7498: Norma internacional que contiene el marco de referencia para la interconexión de sistemas abiertos (modelo OSI).

• ISO 8802-3: CSMA/CD. Método de acceso y nivel físico. • ISO 8802-4: Token Bus. Método de acceso y nivel físico. • ISO 8802-5: Token Ring. Método de acceso y nivel físico. • ISO 8802-2: Control de enlace lógico. • ISO 8348: Definición de servicios de nivel de red. Descripción del modo de servicio

orientado a la desconexión y las funciones relacionadas. • ISO 8648: Organización interna del nivel de red. • ISO 8473: Protocolo para proporcionar servicio de red orientado a desconexión. • ISO 8880: Combinaciones de protocolos para proporcionar y soportar el servicio de red

OSI. Proporcionar y soportar el servicio de red orientado a desconexión. • ISO 9542: Protocolo de encaminamiento entre sistemas finales e intermedios para su

utilización en conjunción con el protocolo de servicio de red orientado a desconexión. • ISO 9576: Especificación del protocolo orientado a desconexión. • ISO 10589: Protocolo para el intercambio de información de encaminamiento entre

sistemas intermedios dentro del mismo dominio de encaminamiento. • ISO 10747: Protocolo para el intercambio de información de encaminamiento entre

diferentes dominios de encaminamiento. • ISO 8878: Utilización de X.25. • ISO 8208: Protocolo a nivel de Paquete X.25. • ISO 8881: Utilización del Protocolo X.25 en redes de área local.

Page 20: C:\Fakepath\Charla De Auditoria 5

Normas 802.X del IEEE

• Tratan fundamentalmente sobre los niveles físico y de enlace de las redes de área local, según el modelo OSI del ISO.

• IEEE 802: Descripción general y arquitectura. • IEEE 802.1: Glosario, gestión de red e internetworking.

Cubre la administración de redes y otros aspectos relacionados con la LAN.

• IEEE 802.1D: Estándar del protocolo de árbol en expansión. • IEEE 802.2: Control de enlace lógico (LLC). • IEEE 802.3: CSMA/CD. Método de acceso y nivel físico. • IEEE 802.4: Token Bus. Método de acceso y nivel físico. • IEEE 802.5: Token-Passing Ring. Método de acceso y nivel

físico. • IEEE 802.7: Banda Ancha. Aspectos del nivel físico. • IEEE 802.9: Acceso integrado de voz y datos. Método de

acceso y nivel físico. • IEEE 802.10: Seguridad y privacidad en redes locales.

Page 21: C:\Fakepath\Charla De Auditoria 5

Recomendación de la UIT-T

• V.1-V.57: Transmisión de datos por la red Telefónica

• X.1-X.32: Redes de comunicación de datos: servicios y facilidades, interfaces.

• X.40-X.181: Redes de comunicación de datos: transmisión, señalización y conmutación, aspectos de red, mantenimiento, disposiciones administrativas.

• X.200-X.290: Redes de comunicación de datos: interconexión de sistemas abiertos (ISA). Modelo y notación, definición del servicio, especificación de protocolos, pruebas de conformidad.

Page 22: C:\Fakepath\Charla De Auditoria 5

Otras normas:

• DP 8802/2: Regula el control del enlace lógico de datos en redes de área local.

• DIS 8802/3: Regula el protocolo de acceso CSMA/CD.

• DP 8802/4: Regula el protocolo de acceso por paso de testigo en bus (Token Bus).

• DP 8802/5: Regula el protocolo de acceso por paso de testigo en anillo (Token Ring).

• ENV 41101: Norma funcional que regula el nivel de transporte en redes de área local con CSMA/CD sencillo.

• ENV 41102: Norma funcional que regula el nivel transporte en redes de área local con CSMA/CD sencillo o múltiple.

Page 23: C:\Fakepath\Charla De Auditoria 5

MODELO OSI

Page 24: C:\Fakepath\Charla De Auditoria 5

Que es el modelo OSI?

El modelo OSI (Open Systems Interconection) es la propuesta que hizo la Organización Internacional para la Estandarización (ISO) para estandarizar la interconexión de sistemas abiertos. Un sistema abierto se refiere a que es independiente de una arquitectura específica. Se compone el modelo, por tanto, de un conjunto de estándares ISO relativos a las comunicaciones de datos.

Page 25: C:\Fakepath\Charla De Auditoria 5

Modelo OSI

• • Norma editada por ISO (International Organisation• for Standarisation)• • Norma ISO-7494• • No garantiza la comunicación entre equipos pero• pone las bases para una mejor estructuración de los• protocolos• • La familia de protocolos que mejor se ajusta al• modelo es TCP/IP• • El modelo que define la norma se estructura en• siete niveles

Page 26: C:\Fakepath\Charla De Auditoria 5

Las 7 capas del modelo OSI

Page 27: C:\Fakepath\Charla De Auditoria 5

EJEMPLOS DEL MODELO OSI

ETHERNET Y EL MODELO OSI

Page 28: C:\Fakepath\Charla De Auditoria 5

Ethernet 802.3 en relaciòn con el modelo OSI

Ethernet opera en dos áreas del modelo OSI, la mitad inferior de la capa de enlace de datos, conocida como subcapa y la capa física.

Page 29: C:\Fakepath\Charla De Auditoria 5

Estándares IEEE 802.x

Page 30: C:\Fakepath\Charla De Auditoria 5

Capa 1 en comparación con la capa 2

Page 31: C:\Fakepath\Charla De Auditoria 5

Correspondencia entre la tecnología de Ethernet y el Modelo OSI

Page 32: C:\Fakepath\Charla De Auditoria 5
Page 33: C:\Fakepath\Charla De Auditoria 5

Modelo OSI

Page 34: C:\Fakepath\Charla De Auditoria 5

GLOSARIO

TOKEN RING: Arquitectura de red desarrollada por IBM en los años 70's con topología lógica en anillo y técnica de acceso de paso de testigo. Token Ring se recoge en el estándar IEEE 802.5. En desuso por la popularización de Ethernet; no obstante, determinados escenarios, tales como bancos, siguen empleándolo.

Page 35: C:\Fakepath\Charla De Auditoria 5

CSMA/CD: En el método de acceso CSMA/CD, los dispositivos de red que tienen datos para transmitir funcionan en el modo "escuchar antes de transmitir". Esto significa que cuando un nodo desea enviar datos, primero debe determinar si los medios de red están ocupados o no.

Page 36: C:\Fakepath\Charla De Auditoria 5

Norma x25: X.25 es un estándar UIT-T para redes de área amplia de conmutación de paquetes. Su protocolo de enlace, LAPB, está basado en el protocolo HDLC proveniente de IBM. Establece mecanismos de direccionamiento entre usuarios, negociación de características de comunicación, técnicas de recuperación de errores. Los servicios públicos de conmutación de paquetes admiten numerosos tipos de estaciones de distintos fabricantes. Por lo tanto, es de la mayor importancia definir la interfaz entre el equipo del usuario final y la red.

Page 37: C:\Fakepath\Charla De Auditoria 5

Token Bus es un protocolo para redes de área local análogo a Token Ring, pero en vez de estar destinado a topologías en anillo está diseñado para topologías en bus. Los nodos están conectados por cable coaxial y se organizan en un anillo virtual. En todo momento hay un testigo (token) que los nodos de la red se lo van pasando, y únicamente el nodo que tiene el testigo tiene permiso para transmitir. Si el nodo no tuviese que enviar ningún dato, el testigo es pasado al siguiente nodo del anillo virtual. Todos los nodos deben saber las direcciones de sus vecinos en el anillo, por lo que es necesario un protocolo que notifique si un nodo se desconecta del anillo, o las incorporaciones al mismo.

Token bus está definido en el estándar IEEE 802.4. El protocolo ARCNET es similar, pero no sigue este estándar. Token Bus se utiliza principalmente en aplicaciones industriales. Fue muy apoyado por GM. Actualmente en desuso.


C:\fakepath\seres mitologicos

C:\fakepath\seres mitologicos

C:\Fakepath\Tarea Alejandro

C:\Fakepath\Tarea Alejandro

C:\fakepath\derecho laboral

C:\fakepath\derecho laboral

C:\fakepath\planeta tierra

C:\fakepath\planeta tierra

C:\fakepath\las conicas

C:\fakepath\las conicas

C:\fakepath\tableros interactivos

C:\fakepath\tableros interactivos

C:\Fakepath\Unidad I

C:\Fakepath\Unidad I

C:\fakepath\proyecto estadistica

C:\fakepath\proyecto estadistica

C:\Fakepath\Donald Zo

C:\Fakepath\Donald Zo

C:\fakepath\desarrollo intrauterino

C:\fakepath\desarrollo intrauterino

C:\fakepath\fiebre aftosa

C:\fakepath\fiebre aftosa

C:\fakepath\funciones financieras

C:\fakepath\funciones financieras

C:\fakepath\eliana sanchez

C:\fakepath\eliana sanchez

C:\Fakepath\Materiales Estructuras

C:\Fakepath\Materiales Estructuras

C:\Fakepath\José Saramago

C:\Fakepath\José Saramago

C:\fakepath\numeración binaria

C:\fakepath\numeración binaria

C:\fakepath\simbolismo francés

C:\fakepath\simbolismo francés

C:\fakepath\italia 2

C:\fakepath\italia 2

C:\Fakepath\Analisis Sintactico

C:\Fakepath\Analisis Sintactico

C:\Fakepath\Revision Bibliografica

C:\Fakepath\Revision Bibliografica