INSTITUTO TECNOLOGICO DE LAZARO

CARDENAS


CARRERA: INGENIERIA EN SISTEMAS COMPUTACIONALES



MATERIA: INGENIERIA DE SOFTWARE



RESUMEN: NORMAS DE SEGURIDAD DE SOFTWARE:



SEMESTRE: 6



ALUMNO: LUID DAVID GALVEZ ESPINOZA



NUMERO DE CONTROL: 11560112









1. ISO/IEC 13335-1:2004

Resumen
Los principales objetivos de ISO / IEC 13335 son:
para definir y describir los conceptos asociados a la gestin de la seguridad
de TI
para identificar las relaciones entre la gestin de la seguridad de TI y la
gestin de las TI en general,
presentar varios modelos que se pueden utilizar para explicar la seguridad
de TI
proporcionar una orientacin general sobre la gestin de la seguridad de TI.
Contenido
Prlogo
Introduccin
Alcance
Definiciones
conceptos de seguridad y relaciones
Objetivos, estrategias y polticas
Aspectos organizativos de la seguridad TIC
Funciones de gestin de la seguridad de las TIC
Gobierno y las organizaciones comerciales se basan en gran medida en el uso de
informacin para llevar a cabo sus actividades de negocios. Compromiso de
confidencialidad, integridad, disponibilidad, no repudio, la rendicin de cuentas, la
autenticidad y fiabilidad de una organizacin como activos puede tener un impacto
adverso.
En consecuencia, hay una necesidad imperiosa de proteger la informacin y para
gestionar la seguridad de los sistemas TIC en las organizaciones. Este requisito
de proteger la informacin es especialmente importante en la actualidad?? S
medio ambiente porque muchas organizaciones estn interna y externamente
conectados por redes de sistemas de TIC no necesariamente controladas por sus
organizaciones. Adems, la legislacin de muchos pases requiere que la
administracin tome las medidas apropiadas para mitigar relacionada con el
negocio de riesgo y el uso de sistemas de TIC. Dicha legislacin podra cubrir no
slo la proteccin de la privacidad / datos, sino tambin de salud y financieros los
mercados, entre otros. BS ISO / IEC TR 13335 Parte 1 proporciona una visin
general de gestin de alto nivel. Este material es adecuado para los
administradores y los que tienen la responsabilidad de la seguridad de las TIC,
para un programa de seguridad global organizacin?? S, o una organizacin?? S
sistemas de TIC. Parte 1 se centra su atencin en los conceptos y modelos de
gestin de la planificacin, la ejecucin y las operaciones de seguridad de las TIC.

Esta parte contiene:
definiciones aplicables a todas las partes de esta Norma Internacional;
descripciones de los principales elementos de seguridad y sus relaciones
que estn involucrados en la gestin de seguridad de las TIC;
objetivos de seguridad corporativa, estrategias y polticas necesarias para
la seguridad efectiva de las TIC de la organizacin;
Organizacin para la Seguridad TIC eficaces, modelos de rendicin de
cuentas, asignacin explcita y el reconocimiento de las responsabilidades
de seguridad; y
una visin general de las funciones de gestin de seguridad de las TIC.
Esta norma sustituye a BS ISO / IEC TR 13335-1:1996 e ISO / IEC TR
13335-2:1997, que ahora se retira













2. ISO/IEC TR 13335-3:1998
ISO / IEC TR 13335-3:1998 tiene como objetivo describir y recomendar tcnicas
para el xito de la gestin de la seguridad de TI. Estas tcnicas se pueden utilizar
para evaluar los requisitos de seguridad y riesgos, y ayudar a establecer y
mantener las medidas de seguridad adecuadas, es decir, el nivel de seguridad de
TI correcta. Los resultados obtenidos de esta manera pueden necesitar ser
mejorada mediante salvaguardias adicionales dictadas por la propia organizacin
y el medio ambiente.
ISO / IEC TR 13335-3:1998 es relevante para todo el mundo dentro de una
organizacin que se encarga de la gestin y / o la implementacin de la seguridad
de TI.
Contenido:
Prefacio
Introduccin
Alcance
Referencias
Estructura
Objetivo
Las tcnicas para la gestin de la seguridad de TI
Los objetivos de seguridad de TI, la estrategia y las polticas
Opciones de estrategia de anlisis de riesgos corporativa
Enfoque combinado
La ejecucin del plan de seguridad de TI
Seguimiento
Resumen
Anexo A - Una lista de ejemplos de contenido para una poltica de
seguridad corporativa
Anexo B - Valoracin de activos
Anexo C - Lista de posibles tipos de amenazas
Anexo D - Ejemplos de vulnerabilidades comunes
Anexo E - Tipos de mtodo de anlisis de riesgos






3. ISO/IEC TR 13335-4:2000
ISO / IEC TR 13335-4:2000 proporciona orientacin sobre la seleccin de
garantas, teniendo en cuenta las necesidades del negocio y las preocupaciones
de seguridad. En l se describe un proceso para la seleccin de salvaguardas de
acuerdo con los riesgos y las preocupaciones y el entorno especfico de una
organizacin de seguridad. ISO / IEC TR 13335-4:2000 muestra cmo lograr la
proteccin adecuada, y cmo esto puede ser compatible con la aplicacin de la
seguridad de la lnea de base.
Contenido:
Prefacio
Introduccin
Alcance
Referencias
Definiciones
Objetivo
Visin de conjunto
Introduccin a salvaguardar la seleccin y el concepto de seguridad de
lnea de base
Evaluaciones bsicas
Salvaguardias
Enfoque de lnea de base: la seleccin de las salvaguardias de acuerdo con
el tipo de sistema informtico
Seleccin de salvaguardas de acuerdo a los problemas de seguridad y
amenazas
Seleccin de salvaguardas de acuerdo con evaluaciones detalladas
Desarrollo de una base de referencia para toda la organizacin
Resumen
Bibliografa
Anexo A - Cdigo de prcticas para la seguridad de la informacin de
gestin
Anexo B - caractersticas estndar de seguridad de lnea de base del ETSI
y mecanismos
Anexo C - IT manual de proteccin de lnea de base
Anexo D - Manual NIST seguridad informtica
Anexo E - La informtica mdica: la categorizacin de seguridad y
proteccin para los sistemas de informacin de salud
Anexo F - TC68 Banca y afines financieros directrices servicios de
seguridad de la informacin
Anexo G - La proteccin de la informacin sensible no cubierto por las Ley
de Secretos Oficiales - recomendaciones para estaciones de trabajo
Anexo H - Manual Canadiense de seguridad Tecnologa de la Informaci

4. ISO/IEC TR 13335-5:2001
ISO / IEC TR 13335-5:2001 proporciona orientacin con respecto a las redes y
comunicaciones a los responsables de la gestin de la seguridad de TI. Esta gua
es compatible con la identificacin y anlisis de las comunicaciones factores que
deben tenerse en cuenta para establecer los requisitos de seguridad de red
relacionados. Tambin contiene una breve introduccin a las posibles reas de
salvaguardia.
Contenido:
Prefacio
Introduccin
Alcance
Referencias
Definiciones
Abreviaturas
Estructura
Objetivo
Visin de conjunto
Consultar los requerimientos de las polticas de seguridad de TI
corporativas
Revisin arquitecturas de red y aplicaciones
Identificar los tipos de conexin de red
Caractersticas de redes Revisin y relaciones de confianza relacionados










5. ISO/IEC 17799:2005
ISO / IEC 17799:2005 establece los lineamientos y principios generales para
iniciar, implementar, mantener y mejorar la gestin de seguridad de la informacin
en una organizacin. Los objetivos descritos proporcionan una gua general sobre
los objetivos comnmente aceptados de gestin de seguridad de informacin. ISO
/ IEC 17799:2005 contiene las mejores prcticas de los objetivos de control y
controles en las siguientes reas de gestin de seguridad de la informacin:
la poltica de seguridad;
organizacin de la seguridad de la informacin;
gestin de activos;
la seguridad de los recursos humanos;
fsica y la seguridad del medio ambiente;
las comunicaciones y la gestin de las operaciones;
control de acceso;
adquisicin de sistemas de informacin, desarrollo y mantenimiento;
gestin de incidentes de seguridad de la informacin;
gestin de la continuidad del negocio;
cumplimiento.
Los objetivos de control y controles de la norma ISO / IEC 17799:2005 estn
destinados a ser implementado para cumplir con los requisitos identificados por
una evaluacin de riesgos. ISO / IEC 17799:2005 pretende ser una base comn y
gua prctica para el desarrollo de los estndares de seguridad de la organizacin
y las prcticas eficaces de gestin de la seguridad, y para ayudar a construir la
confianza en las actividades interinstitucionales.









6. ISO/IEC 27001:2005
ISO / IEC 27001:2005 cubre todo tipo de organizaciones (empresas comerciales
por ejemplo, agencias gubernamentales, organizaciones sin fines de lucro). ISO /
IEC 27001:2005 especifica los requisitos para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la
Informacin documentado en el contexto de los riesgos globales de negocio de la
organizacin. Especifica los requisitos para la aplicacin de los controles de
seguridad a medida de las necesidades de las organizaciones individuales o
partes de los mismos.
ISO / IEC 27001:2005 est diseado para garantizar la seleccin de controles
adecuados y proporcionados de seguridad que protegen los activos de
informacin y dar confianza a las partes interesadas.
ISO / IEC 27001:2005 pretende ser adecuado para diferentes tipos de uso,
incluyendo los siguientes:
utilizar dentro de las organizaciones para formular los requisitos y objetivos de
seguridad;
utilizar dentro de las organizaciones como una forma de garantizar que los riesgos
de seguridad son rentables gestionados eficazmente;
utilizar dentro de las organizaciones para asegurar el cumplimiento con las leyes y
reglamentos;
utilizar dentro de una organizacin como un marco de proceso de la aplicacin y
gestin de los controles para garantizar que se cumplan los objetivos especficos de
seguridad de una organizacin;
definicin de nuevos procesos de gestin de seguridad de la informacin;
identificacin y clarificacin de los procesos de gestin de seguridad de la
informacin existentes;
utilizar la gestin de las organizaciones para determinar el estado de las actividades
de gestin de seguridad de la informacin;
usar por los auditores internos y externos de las organizaciones para determinar el
grado de cumplimiento de las polticas, directrices y normas adoptadas por la
organizacin;
utilizar las organizaciones para proporcionar informacin relevante acerca de las
polticas de seguridad de la informacin, directivas, normas y procedimientos a los
socios comerciales y otras organizaciones con las que interactan por razones
operativas o comerciales;
implementacin de seguridad de la informacin empresarial propicio;
utilizar las organizaciones para proporcionar informacin relevante sobre seguridad
de la informacin a los clientes.

7. ISO/IEC 15408-1:2005
ISO / IEC 15408 le permite comparar entre los resultados de las evaluaciones de
seguridad independientes. Lo hace mediante la prestacin de un conjunto comn
de requisitos para las funciones de seguridad de productos y sistemas de TI y de
las medidas de garanta que se les aplica durante una evaluacin de la seguridad.
El proceso de evaluacin establece un nivel de confianza de que las funciones de
seguridad de dichos productos y sistemas y las medidas de garanta aplicadas a
ellos cumplir con estos requisitos. Los resultados de la evaluacin pueden ayudar
a los consumidores a determinar si el producto o sistema de TI es lo
suficientemente seguro para su uso previsto y si los riesgos en la seguridad en su
uso son tolerables.
Contenido:
Adelante
Introduccin
Alcance
Trminos y definiciones
Smbolos y abreviaturas
Visin de conjunto
Modelo general
ISO / IEC 15408 requisitos y resultados de la evaluacin
Anexo A (normativo) - Especificacin de perfiles de proteccin
Anexo B (normativo) - Especificacin de los objetivos de seguridad
Bibliografa











8. ISO/IEC 15408-2:2005
Esta parte de la Norma ISO / IEC 15408 define la estructura y el contenido de los
componentes funcionales de seguridad para el propsito de la evaluacin de
seguridad requerido. Incluye un catlogo de componentes funcionales que
satisfagan los requisitos de funcionalidad de seguridad comunes de muchos
productos y sistemas de TI.
Contenido:
Prefacio
Introduccin
Alcance
Referencias normativas
Trminos, definiciones y abreviaturas
Visin de conjunto
Requisitos funcionales paradigma
Componentes funcionales de seguridad
Clase FAU: Auditora de seguridad
Clase FCO: Comunicacin
Clase FCS: Apoyo criptogrfico
Clase FDP: Usuario proteccin de datos
Clase FIA: Identificacin y autenticacin
Clase FMT: Gestin de la seguridad
FPR Clase: Privacidad
Clase FPT: Proteccin del TSF
FRU Clase: Utilizacin de recursos
Clase FTA: acceso TOE
FTP Clase: Trusted ruta / canales
Notas de seguridad los requisitos funcionales de la aplicacin - Anexo A
(normativo)
Anexo B (normativo) - Clases funcionales, familias y componentes
Anexo C (normativo) - Clase FAU: Auditora de seguridad
Anexo D (normativo) - Clase FCO: Comunicacin
Anexo E (normativo) - Clase FCS: Apoyo criptogrfico
Anexo F (normativo) - Clase FDP: proteccin de los datos del usuario
Anexo G (normativo) - Clase FIA: Identificacin y autenticacin
Anexo H (normativo) - Clase FMT: Gestin de la seguridad
Anexo I (normativo) - Clase FPR: Privacidad
Anexo J (Normativo) - Clase FPT: Proteccin del TSF
Anexo K (Normativo) - Clase FRU: La utilizacin de recursos
Anexo L (Normativo) - Clase FTA: acceso TOE
Anexo M (normativo) - Clase FTP: Trusted ruta / canales

9. ISO/IEC 15408-3:2005
Esta parte de la Norma ISO / IEC 15408 define los requisitos de garanta de la
norma ISO / IEC 15408. Incluye los niveles de aseguramiento de evaluacin (Eals)
que definen una escala para medir la garanta, los componentes individuales de
aseguramiento de la que estn compuestos los niveles de seguridad, y los criterios
para evaluacin de los perfiles de proteccin (PP) o Target seguridad (STS).
Contenido:
Prefacio
Introduccin
Alcance
Referencias normativas
Trminos, definiciones, smbolos y abreviaturas
Visin de conjunto
ISO / IEC 15408 paradigma de aseguramiento
Requisitos de garanta de seguridad
Perfil de proteccin y de seguridad los criterios de evaluacin objetivo
Clase APE: Proteccin de evaluacin de perfil
Clase ASE: Seguridad Evaluacin de destino
Niveles de garanta de evaluacin
Clases de Aseguramiento, familias y componentes
ACM Clase: Gestin de configuracin
ADO Clase: Entrega y operacin
ADV Clase: Desarrollo
AGD Clase: Los documentos de orientacin
Clase ALC: el apoyo del ciclo de vida
Clase ATE: Pruebas
AVA Clase: Evaluacin de la vulnerabilidad
Anexo A (informativo) - Referencia cruzada de dependencias de
componentes de aseguramiento
Anexo B (informativo) - Referencia cruzada de Eals y componentes de
aseguramiento.