miércoles, 4 de agosto de 2004
Normativas de gestión de la seguridad de la información

En futuros post iré comentado cada una de las normas relacionadas con la gestión de la seguridad de la información. Hoy como aperitivo, recojo la información posteada en el Web de la Sociedad Española de Informática de la Salud (S.E.I.S.) por parte del personal de la empresa G2 Security que hace un muy buen resumen.

¿Qué normativas de Gestión de la Seguridad de la Información existen?

Dentro del entorno europeo, la British Standards Institution (BSI) del Reino Unido fue la primera en desarrollar un SGSI. Dicho reglamento, conocido como Standard de Seguridad de la Información, está dividido en:

BS 7799-1: Código de buenas prácticas para los Sistemas de Gestión de Seguridad de la Información.
BS 7799-2:2002: Especificación empleada para la certificación de los SGSI.

1. De aplicación en Europa

Posteriormente, la BS 7799-1 fue adoptada por el Comité Técnico conjunto ISO/IEC JTC1, dando lugar a la Norma Internacional ISO/IEC 17799:2000.

Existe también la ISO/IEC TR 13335, "Information Technology - Guidelines for the management of IT security", que está dividida en:

Parte 1: Concepts and models for IT security.
Parte 2: Managing and planning IT security.
Parte 3: Techniques for the management of IT security (en revisión).
Parte 4: Selection of safeguards.
Parte 5: Management guidance on network security.

2. De aplicación en España

En España se han ido adaptando las normas ya existentes en el entorno europeo. Así pues existe una versión española de la ISO/IEC 17799, en la que sólo cambia el idioma: UNE-ISO/IEC 17799:2002.

De igual modo, tomando las partes 1, 2 y 3 de la ISO/IEC TR 13335 se ha creado la UNE 71501, "Guía para la Gestión de la Seguridad de TI", que está dividida en:

Parte 1: Conceptos y modelos para la Seguridad de las TI.
Parte 2: Gestión y planificación para la Seguridad de las TI.
Parte 3: Técnicas para la Gestión de la Seguridad de las TI.

Por último, el día 6 de febrero del presente ha sido presentada la UNE 71502:2004, "Especificaciones para los Sistemas de Gestión de la Seguridad de la Información", que se basa en la BS 7799-2:2002.

Por lo tanto, actualmente las empresas y organismos españoles que deseen demostrar que su SGSI cumple con los estándares deberá adoptar la UNE-ISO/IEC 17799:2002 y aplicar la UNE 71502:2004.

Fuente:
BUENAS PRÁCTICAS EN LA PROTECCIÓN DE DATOS: ISO UNE 17799:2002 Y DERIVADOS
 
;