Su sigla traduce Organización Internacional para la Estandarización, es una organización no gubernamental que produce normas internacionales, industriales y comerciales con el propósito de facilitar el comercio, el intercambio de información y contribuir con unos estándares para el desarrollo y transferencia de tecnologías.
NORMA ISO 17799:
Es una norma internacional que ofrece recomendación para la gestión de la seguridad de la información enfocada en el inicio, implantación o mantenimiento de la seguridad en una organización. la seguridad de la información se define con la preservación de:
• Confidencialidad: aseguración de la privacidad de la información de la organización.
• Integridad: garantía del estado original de los datos.
• Disponibilidad: Acceso cuando sea requerido por los usuarios.
• No repudio: Estadísticas de la acciones realizadas por el personal autorizado
el objetivo de la norma ISO 17799 es proporcionar una base para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad. La adaptación española denominada UNE-ISO/IEC 17799 esta norma no es CERTIFICADA.
1995- BS 7799-1: código de buenas prácticas para la gestión de la seguridad de la información.
1998- BS 7799-2: especificaciones para la gestión de la seguridad de la información.
Tras una revisión de ambas partes de BS 7799 (1999) la primera es adoptada como norma ISO en el 200 y denominada ISO/IEC 17799.
En el 202 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS 7799-2.
Esta norma establece 10 dominios de control que cubre por completo la gestión de seguridad de la información:
1. Política de seguridad: dirige y da soporte a la gestión de la seguridad de la información
2. Aspectos organizativos para la seguridad: gestiona la seguridad de la información dentro de la organización; mantiene la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros y mantiene la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización.
3. Clasificación y control de activos: mantiene una protección adecuada sobre los activos de la organización y asegura un nivel de protección adecuado a los activos de la información.
4. Seguridad ligada al personal: reduce el riesgo de lo errores humanos, robos, fraudes o mal uso de la instalación y los servicios; asegura que los usuarios son conscientes de las amenazas y riesgo en el ámbito de la seguridad de la información, y que están preparados para sostener las políticas de seguridad de la organización y minimiza los daños provocados por incidencias de seguridad y por el mal funcionamiento controlándolo y aprendiendo de ellos.
5. Seguridad física y del entorno: evita el acceso no autorizado, daños e interferencias contra los locales y la información de la organización; evita perdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización y previene las exposiciones a riesgos y a robos de la información y de recursos de tratamiento de información.
6. Gestión de comunicación y operaciones: asegura la operación correcta y segura de los recursos de tratamiento de la información; minimiza el riesgo de fallos en el sistema; protege la integridad del software y de la información; mantiene la integridad y la disponibilidad de los servicios de tratamiento de información y de comunicación; asegura la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo; evita daño a los activo e interrupciones de actividades de la organización y previene la perdida, modificación o mal uso de la información intercambiada entre organizaciones.
7. Control de acceso: controla los accesos a la información; evita acceso no autorizado a los sistemas de información; protege los servicios en red; evita acceso no autorizado a ordenadores; evita el acceso no autorizado a la información contenida en el sistema; detecta actividades no autorizadas y garantiza la seguridad de la información cuando se usan dispositivos de información móvil o teletrabajo.
8. Desarrollo y mantenimiento de sistema: asegura que la seguridad está incluida dentro de los sistemas de información; evita perdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones; protege la confidencialidad, integridad y autenticidad de la información; asegura que los proyectos de Tecnologías de la Información y las actividades complementarias son llevadas a cabo de una forma segura y mantiene la seguridad del software y la información de la aplicación del sistema.
9. Gestión de continuidad del negocio: reacciona a la interrupcion de actividades del negocio y protege sus procesos críticos frente a grandes fallos o desastres.
10. Conformidad con la legislación: evita el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad; garantiza la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma y maximiza la efectividad y minimiza la interferencia de o desde el proceso de auditoría del sistema.
ISO 17799 no es una norma tecnológica:
• ha sido redactada de forma flexible e independiente de cualquier solución de seguridad especifica
• proporciona buenas prácticas neutrales con respecto a la tecnología y a las soluciones disponibles en el mercado.
ISO 27001:
Esta norma muestra cómo aplicar los controles propuesto en la ISO 17799, estableciendo los requisitos para construir un SGSI, "auditable" y "certificable".
COMPARACION 17799 Y 27001:
• ISO 17799 es un conjunto de buenas prácticas en seguridad de la información contiene 133 controles aplicables.
• La ISO 17799 no es certificable, ni fue diseñada para esto.
• La norma que si es certificable es ISO 27001 como también lo fue su antecesora BS 7799-2.
• ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799 para su posible aplicación en el SGSI que implanta cada organización
• ISO 17799 es para ISO 27001, por tanto, una relación de controles necesarios para garantizar la seguridad de la información.
• ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informática explícitamente. ISO 27001 permite auditar un sistema a bajo lineamiento ISO 17799 para certificar ISMS (información security management system)
