estándares para la evaluación del software

7/23/2019 Estndares Para La Evaluacin Del Software

1/13

Estndares para la Evaluacin del Software

2.1 ISO/IEC27001 Seguridad de la inforacin

La informacin tiene una importancia fundamental para el funcionamiento y quiz

incluso sea decisiva para la supervivencia de la organizacin. El hecho de disponer de

la certicacin segn IS!IE" #$%%& le ayuda a gestionar y proteger sus valiosos

activos de informacin.

IS!IE" #$%%& es la nica norma internacional audita'le que dene los requisitos para

un sistema de gestin de la seguridad de la informacin (S)SI*. La norma se ha

conce'ido para garantizar la seleccin de controles de seguridad adecuados y

proporcionales.

Ello ayuda a proteger los activos de informacin y otorga conanza a cualquiera de las

partes interesadas+ so're todo a los clientes. La norma adopta un enfoque por procesospara esta'lecer+ implementar+ operar+ supervisar+ revisar+ mantener y me,orar un S)SI.

Para quin es signifcativo?

IS!IE" #$%%& es una norma adecuada para cualquier organizacin+ grande o peque-a+

de cualquier sector o parte del mundo. La norma es particularmente interesante si la

proteccin de la informacin es crtica+ como en nanzas+ sanidad sector p'lico y

tecnologa de la informacin (/I*.

IS!IE" #$%%& tam'i0n es muy ecaz para organizaciones que gestionan la informacin

por encargo de otros+ por e,emplo+ empresas de su'contratacin de /I. 1uede utilizarsepara garantizar a los clientes que su informacin est protegida.

!a relacin de re"uisitos espec#ficos locali$ados en clusulas del estndar ISO/IEC 27001%200&con a"uellos estndares "ue pueden servir de a'uda '/o desarrollo de posi(les soluciones deiplantacin

Estas relaciones )an ca(iado con la pu(licacin de la nueva versin ISO/IEC 27001%201* seg+nla reorgani$acin de las pu(licaciones ISO en la nueva estructura de ,ne-o S! "ue unto a losca(ios en los contenidos )a desencadenando la actuali$acin de las noras de la serie 27000. ,continuacin se uestra un diagraa de relacin de la reorgani$acin de las clusulas principalesde la versin 200& a la pu(licada en 201*.

ocuentos de ISO 27001!a nora ISO 27001 re"uiere los siguientes docuentos%

el alcance del SSI

la pol#tica del SSI

procediientos para control de docuentacin auditor#as internas ' procediientos para edidascorrectivas ' preventivas


2/13

todos los des docuentos seg+n los controles aplica(les

etodolog#a de evaluacin de riesgos

infore de evaluacin de riesgos

declaracin de aplica(ilidad

plan de trataiento del riesgo

registros.

!a cantidad ' e-actitud de la docuentacin depende del taa3o ' de las e-igencias de seguridad de laorgani$acin esto significa "ue una docena de docuentos sern suficientes para una pe"ue3a organi$acinientras "ue las organi$aciones grandes ' copleas tendrn varios cientos de docuentos en su SSI.


3/13

DESARROLLO

, seean$a de otras noras ISO ISO/IEC 27000 es un conunto de estndares desarrollados 4oen fase de desarrollo4 por ISO 5International Organi$ation for Standardi$ation6 e IEC 5InternationalElectrotec)nical Coission6 "ue proporcionan un arco de gestin de la seguridad de lainforacin utili$a(le por cual"uier tipo de organi$acin p+(lica o privada grande o pe"ue3a.

En este apartado se resuen las distintas noras "ue coponen la serie ISO 27000 ' se indicaco puede una organi$acin iplantar un sistea de gestin de seguridad de la inforacin5SSI6 (asado en ISO 27001 en conunto con otras noras de la serie 27 pero ta(i8n con otrossisteas de gestin.

esde 1901 ' coo priera entidad de norali$acin a nivel undial :SI 5:ritis) StandardsInstitution la organi$acin (ritnica e"uivalente a ,E;O< en Espa3a6 es responsa(le de la

pu(licacin de iportantes noras coo%

4 :S &7&0. =u(licada en 1979. Origen de ISO 9001

4 :S 77&0. =u(licada en 1992. Origen de ISO 1>001

4 :S ??00. =u(licada en 199@. Origen de OAS,S 1?001

!a nora :S 7799 de :SI apareci por priera ve$ en 199& con o(eto de proporcionar acual"uier epresa 4(ritnica o no4 un conunto de (uenas prcticas para la gestin de la seguridadde su inforacin.

!a priera parte de la nora 5:S 7799416 fue una gu#a de (uenas prcticas para la "ue no seesta(lec#a un es"uea de certificacin. Es la segunda parte 5:S 7799426 pu(licada por prierave$ en 199? la "ue esta(leci los re"uisitos de un sistea de seguridad de la inforacin 5SSI6para ser certifica(le por una entidad independiente.!as dos partes de la nora :S 7799 se revisaron en 1999 ' la priera parte se adopt por ISO sinca(ios sustanciales coo ISO 17799 en el a3o 2000.


4/13

En 2002 se revis :S 779942 para adecuarse a la filosof#a de noras ISO de sisteas de gestin.

En 200& con s de 1700 epresas certificadas en :S 779942 esta nora se pu(lic por ISOcon algunos ca(ios coo estndar ISO 27001. ,l tiepo se revis ' actuali$ ISO 17799. Esta+ltia nora se reno(r coo ISO 27002%200& el 1 de ulio de 2007 anteniendo el contenidoas# coo el a3o de pu(licacin foral de la revisin.En Bar$o de 200@ posteriorente a la pu(licacin de ISO 27001%200& :SI pu(lic la :S 77994*%200@ centrada en la gestin del riesgo de los sisteas de inforacin.

,siiso ISO )a continuado ' contin+a a+n desarrollando otras noras dentro de la serie 27000"ue sirvan de apo'o a las organi$aciones en la interpretacin e ipleentacin de ISO/IEC 27001

"ue es la nora principal ' +nica certifica(le dentro de la serie.

En la seccin de,rt#culos ' =odcastsencontrar un arc)ivo grfico ' sonoro con la )istoria de ISO27001 e ISO 17799 )asta 200&. nicaente considerar la reciente pu(licacin de la revisin de lasnoras ISO/IEC 27001%201* ISO/IEC 27002%201* a(as apro(adas en la isa fec)a% 2& deSeptie(re de 201*.

=ara a"uellas noras a+n no pu(licadas o en fase de revisin puede consultarse el estado deapro(acin en ISO' consultar su estado de avance por el coit8 seg+n lata(la de referencia.

Doda la inforacin disponi(le p+(licaente so(re el desarrollo de las noras de la serie 27000

puede consultarse en las pginas we( del su(coit8 DC1/SC27%1' 26.

:E;EFICIOS

Si desea acceder a las noras copletas de(e sa(er "ue 8stas no son de li(re difusin sino "ue)an de ser ad"uiridas.
http://www.iso27000.es/articulos.htmlhttp://www.iso.org/http://www.iso.org/http://www.iso.org/iso/stages_table.htmhttp://www.jtc1sc27.din.de/enhttp://www.jtc1sc27.din.de/enhttp://www.iso.org/iso/standards_development/technical_committees/other_bodies/iso_technical_committee.htm?commid=45306http://www.iso.org/http://www.iso.org/iso/stages_table.htmhttp://www.jtc1sc27.din.de/enhttp://www.iso.org/iso/standards_development/technical_committees/other_bodies/iso_technical_committee.htm?commid=45306http://www.iso27000.es/articulos.html


5/13

=ara los originales en ingl8s puede )acerlo online en la tienda virtual de la propiaorgani$acin% iso.org

,dicionalente e-iste la opcin de una previsuali$acin del #ndice con los contenidos de losoriginales pu(licados online en la tienda virtual oficial% we(store.iec.c)

!as noras en espa3ol pueden ad"uirirse en Espa3a en,E;O


6/13

ISO270016 B8-ico5;BJ4I40>1/024;KCE6 o Hrugua'5H;ID4ISO/IEC 270016. El original en ingl8s 'la traduccin al franc8s pueden ad"uirirse eniso.org.

,ctualente la +ltia edicin de 201* este estndarse encuentra en ingl8s ' en franc8s tras suacuerdo de pu(licacin el 2& de Septie(re de 201*.

ISO/IEC 27002%

esde el 1 de ulio de 2007 es el nuevo no(re de ISO 17799%200& anteniendo 200& coo a3ode edicin. Es una gu#a de (uenas prcticas "ue descri(e los o(etivos de control ' controlesrecoenda(les en cuanto a seguridad de la inforacin. ;o es certifica(le. Contiene *9 o(etivosde control ' 1** controles agrupados en 11 doinios. Coo se )a encionado en su apartadocorrespondiente la nora ISO 27001 contiene un ane-o "ue resue los controles de ISO27002%200&. =u(licada en Espa3a coo H;E4ISO/IEC 27002%2009 desde el 9 de icie(re de2009 5a la venta en,E;O


7/13

no est traducida sin e(argo s# lo est en,rgentina5I6 o Hrugua'5H;ID4ISO/IEC 2700>6. El original en ingl8s puede ad"uirirse en iso.org

ISO/IEC 2700&%

=u(licada en segunda edicin el 1 de unio de 2011 5priera edicin del 1& de unio de 200?6. ;ocertifica(le. =roporciona directrices para la gestin del riesgo en la seguridad de la inforacin.

,po'a los conceptos generales especificados en la nora ISO/IEC 27001%200& ' est dise3adapara a'udar a la aplicacin satisfactoria de la seguridad de la inforacin (asada en un enfo"ue degestin de riesgos. Su priera pu(licacin revis ' retir las noras ISO/IEC D< 1***&4*%199? eISO/IEC D< 1***&4>%2000. El original en ingl8s puede ad"uirirse eniso.org. En Espa3a estanora no est traducida sin e(argo s# lo est para la versin de 200? en pa#sescoo B8-ico5;BJ4I40>1/0&4;KCE6C)ile5;C)4ISO2700&6 Hrugua'5H;ID4ISO/IEC 2700&6oColo(ia5;DC4ISO4IEC 2700&6.

ISO/IEC 2700@%

=u(licada en segunda edicin el 1 de icie(re de 2011 5priera edicin del 1 de Bar$o de 20076.Especifica los re"uisitos para la acreditacin de entidades de auditor#a ' certificacin de sisteasde gestin de seguridad de la inforacin. Es una versin revisada de E,47/0* 5


8/13

ISO/IEC 27009%

En estado de desarrollo. ;o certifica(le. Es una gu#a so(re el uso ' aplicacin de los principios deISO/IEC 27001 para el sector servicios especif#cos en eisin de certificaciones acreditadas detercera parte.

ISO/IEC 27010%

=u(licada el 20 de Octu(re de 2012. Consiste en una gu#a para la gestin de la seguridad de lainforacin cuando se coparte entre organi$aciones o sectores. ISO/IEC 27010%2012 esaplica(le a todas las foras de interca(io ' difusin de inforacin sensi(le tanto p+(licas coo

privadas a nivel nacional e internacional dentro de la isa industria o sector de ercado o entresectores. En particular puede ser aplica(le a los interca(ios de inforacin ' participacin enrelacin con el suinistro anteniiento ' proteccin de una organi$acin o de la infraestructuracr#tica de los estados ' naciones.

ISO/IEC 27011%

=u(licada el 1& de icie(re de 200?. Es una gu#a de interpretacin de la ipleentacin 'gestin de la seguridad de la inforacin en organi$aciones del sector de telecounicaciones(asada en ISO/IEC 27002%200&. Est pu(licada ta(i8n coo nora IDH4D J.10&1. En Espa3ano est traducida. El original en ingl8s puede ad"uirirse en iso.org.

ISO/IEC 2701*%

=u(licada el 1& de Octu(re de 2012. Es una gu#a de ipleentacin integrada de ISO/IEC27001%200& 5gestin de seguridad de la inforacin6 ' de ISO/IEC 2000041 5gestin de serviciosDI6.

ISO/IEC 2701>%

=u(licada el 2* de ,(ril de 201*. Consistir en una gu#a de go(ierno corporativo de la seguridad de

la inforacin.

ISO/IEC D< 2701&%

=u(licada el 2* de ;ovie(re de 2012. Es una gu#a de SSI orientada a organi$aciones del sectorfinanciero ' de seguros ' coo copleento a ISO/IEC 27002%200&.
http://www.iso.org/http://www.iso.org/


9/13

ISO/IEC D< 2701@%

En fase de desarrollo con pu(licacin prevista en 201>. Consistir en una gu#a de valoracin delos aspectos financieros de la seguridad de la inforacin.

ISO/IEC DS 27017%

En fase de desarrollo con pu(licacin prevista en 201>. Consistir en una gu#a de seguridad paraCloud Coputing.

ISO/IEC 2701?%

En fase de desarrollo con pu(licacin prevista en 201>. Consistir en un cdigo de (uenasprcticas en controles de proteccin de datos para servicios de coputacin en cloud coputing.

ISO/IEC D< 27019%

=u(licada el 17 de ulio de 201*. u#a con referencia a ISO/IEC 27002%200& para el proceso desisteas de control espec#ficos relacionados con el sector de la industria de la energ#a.

ISO/IEC 270*1%

=u(licada el 01 de Bar$o de 2011. ;o certifica(le. Es una gu#a de apo'o para la adecuacin de lastecnolog#as de inforacin ' counicacin 5DIC6 de una organi$acin para la continuidad delnegocio. El docuento toa coo referencia el estndar :S 2&777. En Espa3a esta nora noest traducida. El original en ingl8s puede ad"uirirse eniso.org

ISO/IEC 270*2%

=u(licada el 1@ de ulio de 2012. =roporciona orientacin para la eora del estado de seguridadci(ern8tica e-tra'endo los aspectos +nicos de esa actividad ' de sus dependencias en otrosdoinios de seguridad concretaente% Inforacin de seguridad seguridad de las redesseguridad en Internet e inforacin de proteccin de infraestructuras cr#ticas 5CII=6. Cu(re lasprcticas de seguridad a nivel (sico para los interesados en el ci(erespacio. Esta noraesta(lece una descripcin general de Seguridad Ci(ern8tica una e-plicacin de la relacin entre la

ci(erseguridad ' otros tipos de garant#as una definicin de las partes interesadas ' unadescripcin de su papel en la seguridad ci(ern8tica una orientacin para a(ordar pro(leascounes de Seguridad Ci(ern8tica ' un arco "ue perite a las partes interesadas a "uecola(oren en la solucin de pro(leas en la ci(erseguridad.

ISO/IEC 270**%
http://www.iso.org/http://www.iso.org/


10/13

=arcialente desarrollada. ;ora dedicada a la seguridad en redes consistente en 7 partes%270**41 conceptos generales 5pu(licada el 1& de icie(re de 2009 ' disponi(le en iso.org6270**42 directrices de dise3o e ipleentacin de seguridad en redes 5pu(licada el 27 de ulio de2012 ' disponi(le en iso.org6 270**4* escenarios de referencia de redes 5pu(licada el * deicie(re de 2010 ' disponi(le en iso.org6 270**4> aseguraiento de las counicaciones entreredes ediante gatewa's de seguridad 270**4& aseguraiento de counicaciones ediante=;s 5pu(licada 29 de ulio de 201* ' disponi(le en iso.org6 270**4@ convergencia I= 5previstapara 201>6 270**47 redes inal(ricas 5prevista para 201>6.

ISO/IEC 270*>%

=arcialente desarrollada. ;ora dedicada la seguridad en aplicaciones inforticas consistenteen @ partes% 270*>41 conceptos generales 5pu(licada el 21 de ;ovie(re de 2011 ' disponi(leen iso.org6 270*>42 arco norativo de la organi$acin 5sin previsin de pu(licacin6 270*>4*proceso de gestin de seguridad en aplicaciones 5sin previsin de pu(licacin6 270*>4> validacinde la seguridad en aplicaciones 5sin previsin de pu(licacin6 270*>4& estructura de datos '

protocolos ' controles de seguridad de aplicaciones 5sin previsin de pu(licacin6 270*>4@ gu#ade seguridad para aplicaciones de uso espec#fico.

ISO/IEC 270*&%

=u(licada el 17 de ,gosto de 2011. =roporciona una gu#a so(re la gestin de incidentes de

seguridad en la inforacin. En Espa3a no est traducida. El original en ingl8s puede ad"uirirseen iso.org.

ISO/IEC 270*@%

En fase de desarrollo con pu(licacin prevista a partir de 201*. Consistir en una gu#a en cuatropartes de seguridad en las relaciones con proveedores% 270*@41 visin general ' conceptos270*@42 re"uisitos counes 270*@4* seguridad en la cadena de suinistro DIC 5pu(licada el 0?de ;ovie(re de 201* ' disponi(le eniso.org6 270*@4> seguridad en entornos de servicios Cloud.

ISO/IEC 270*7%=u(licada el 1& de Octu(re de 2012. Es una gu#a "ue propociona directrices para las actividadesrelacionadas con la identificacin recopilacin consolidacin ' preservacin de evidenciasdigitales potenciales locali$adas en tel8fonos viles taretas de eoria dispositivoselectrnicos personales sisteas de navegacin vil caras digitales ' de video redesDC=/I= entre otros dispositvos ' para "ue puedan ser utili$adas con valor pro(atorio ' en elinterca(io entre las diferentes urisdicciones.
http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/


11/13

ISO/IEC 270*?%

En fase de desarrollo con pu(licacin prevista en 201>. Consistir en una gu#a de especificacinpara seguridad en la redaccin digital.

ISO/IEC 270*9%

En fase de desarrollo con pu(licacin prevista en 201>. Consistir en una gu#a para la seleccindespliege ' operativa de sisteas de deteccin ' prevencin de intrusin 5IS/I=S6.

ISO/IEC 270>0%

En fase de desarrollo con pu(licacin prevista no antes de 201>. Consistir en una gu#a para laseguridad en edios de alacenaiento.

ISO/IEC 270>1%

En fase de desarrollo con pu(licacin prevista no antes de 201>. Consistir en una gu#a para lagaranti$ar la la idoneidad ' adecuacin de los 8todos de investigacin.

ISO/IEC 270>2%

En fase de desarrollo con pu(licacin prevista no antes de 201>. Consistir en una gu#a condirectrices para el anlisis e interpretacin de las evidencias digitales.

ISO/IEC 270>*%

En fase de desarrollo con pu(licacin prevista no antes de 201>. esarrollar principios 'procesos de investigacin.

ISO/IEC 270>>%

En fase de desarrollo con pu(licacin prevista no antes de 201>. estin de eventos ' de laseguridad de la inforacin 4 Securit' Inforation and Event Banageent 5SIEB6.

ISO 27799%

=u(licada el 12 de unio de 200?. Es una nora "ue proporciona directrices para apo'ar lainterpretacin ' aplicacin en el sector sanitario de ISO/IEC 27002%200& en cuanto a la seguridadde la inforacin so(re los datos de salud de los pacientes. Esta nora al contrario "ue las


12/13

anteriores no la desarrolla el su(coit8 DC1/SC27 sino el coit8 t8cnico DC 21&. El original eningl8s o franc8s puede ad"uirirse en iso.org. esde el 20 de Enero de 2010 esta nora estpu(licada en Espa3a coo H;E4ISO/IEC 27799%2010 ' puede ad"uirirse online en,E;O

estándares para la evaluación del software

Documents