NORMAS ISO PARA REDES INFORMATICAS

NORMA ISO 17799:

Es una norma internacional que ofrece recomendacin para la gestin de la
seguridad

de

la

informacin

enfocada

en

el

inicio,

implantacin

mantenimiento de la seguridad en una organizacin. La seguridad de la

informacin se define con la preservacin de:
Confidencialidad: aseguracin de la privacidad de la informacin de la
organizacin.
Integridad: garanta del estado original de los datos.
Disponibilidad: Acceso cuando sea requerido por los usuarios.
No repudio: Estadsticas de la acciones realizadas por el personal autorizado
el objetivo de la norma ISO 17799 es proporcionar una base para desarrollar
normas de seguridad dentro de las organizaciones y ser una practica eficaz de
la gestin de la seguridad.
1995- BS 7799-1: cdigo de buenas prcticas para la gestin de la seguridad
de la informacin.
1998- BS 7799-2: especificaciones para la gestin de la seguridad de la
informacin.
Tras una revisin de ambas partes de BS 7799 (1999) la primera es adoptada
como norma ISO en el 200 y denominada ISO/IEC 17799.
En el 202 la norma ISO se adopta como UNE sin apenas modificacin (UNE
17799), y en 2004 se establece la norma UNE 71502, basada en BS 7799-2.
Esta norma establece 10 dominios de control que cubre por completo la gestin
de seguridad de la informacin:

1. Poltica de seguridad: dirige y da soporte a la gestin de la seguridad de la

informacin
2. Aspectos organizativos para la seguridad: gestiona la seguridad de la
informacin dentro de la organizacin; mantiene la seguridad de los recursos
de tratamiento de la informacin y de los activos de informacin de la
organizacin que son accedidos por terceros y mantiene la seguridad de la
informacin cuando la responsabilidad de su tratamiento se ha externalizado a
otra organizacin.
3. Clasificacion y control de activos: mantiene una proteccin adecuada sobre
los activos de la organizacin y asegura un nivel de proteccin adecuado a los
activos de la informacin.
4. Seguridad ligada al personal: reduce el riesgo de lo errores humanos, robos,
fraudes o mal uso de la instalacin y los servicios; asegura que los usuarios
son conscientes de las amenazas y riesgo en el mbito de la seguridad de la
informacin, y que estn preparados para sostener las polticas de seguridad
de la organizacin y minimiza los daos provocados por incidencias de
seguridad y por el mal funcionamiento controlndolo y aprendiendo de ellos.
5. Seguridad fsica y del entorno: evita el acceso no autorizado, daos e
interferencias contra los locales y la informacin de la organizacin; evita
perdidas, daos o comprometer los activos as como la interrupcin de las
actividades de la organizacin y previene las exposiciones a riesgos y a robos
de la informacin y de recursos de tratamiento de informacin.
6.Gestion de comunicacin y operaciones: asegura la operacin correcta y
segura de los recursos de tratamiento de la informacin; minimiza el riesgo de
fallos en el sistema; protege la integridad del software y de la informacin;
mantiene la integridad y la disponibilidad de los servicios de tratamiento de
informacin y de comunicacin; asegura la salvaguarda de la informacin en
las redes y la proteccin de su infraestructura de apoyo; evita dao a los activo
e interrupciones de actividades de la organizacin y previene la perdida,
modificacin o mal uso de la informacin intercambiada entre organizaciones.

7. Control de acceso: controla los accesos a la informacin; evita acceso no

autorizado a los sistemas de informacin; protege los servicios en red; evita
acceso no autorizado a ordenadores; evita el acceso no autorizado a la
informacin contenida en el sistema; detecta actividades no autorizadas y
garantiza la seguridad de la informacin cuando se usan dispositivos de
informacin mvil o teletrabajo.
8. Desarrollo y mantenimiento de sistema: asegura que la seguridad esta
incluida dentro de los sistemas de informacin; evita perdidas, modificaciones o
mal uso de los datos de usuario en las aplicaciones; protege la
confidencialidad, integridad y autenticidad de la informacin; asegura que los
proyectos de Tecnologas de la Informacin y las actividades complementarias
son llevadas a cabo de una forma segura y mantiene la seguridad del software
y la informacin de la aplicacin del sistema.
9. Gestion de continuidad del negocio: reacciona a la interrupcin de
actividades del negocio y protege sus procesos crticos frente a grandes fallos
o desastres.
10. Conformidad con la legislacin: evita el incumplimiento de cualquier ley,
estatuto, regulacin u obligacin contractual y de cualquier requerimiento de
seguridad; garantiza la alineacin de los sistemas con la poltica de seguridad
de la organizacin y con la normativa derivada de la misma y maximiza la
efectividad y minimiza la interferencia de o desde el proceso de auditoria del
sistema.
ISO 17799 no es una norma tecnolgica:
ha sido redactada de forma flexible e independiente de cualquier solucin de
seguridad especifica
proporciona buenas practicas neutrales con respecto a la tecnologa y a las
soluciones disponibles en el mercado.
ISO 27001: Esta norma muestra como aplicar los controles propuestos en la
ISO 17799, estableciendo los requisitos para construir un SGSI, "auditable" y
"certificable".

COMPARACION 17799 Y 27001:

ISO 17799 es un conjunto de buenas practicas en seguridad de la informacin
contiene 133 controles aplicables.
La ISO 17799 no es certificable, ni fue diseada para esto.
La norma que si es certificable es ISO 27001 como tambin lo fue su
antecesora BS 7799-2.
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO
17799 para su posible aplicacin en el SGSI que implanta cada organizacin
ISO 17799 es para ISO 27001, por tanto, una relacin de controles necesarios
para garantizar la seguridad de la informacin.
ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener,
evaluar un sistema de seguridad informtica explcitamente. ISO 27001 permite
auditar un sistema a bajo lineamiento ISO 17799 para certificar ISMS
(information security management system)

LA NORMA ISO 14764 (PARA SOFTWARE)

ste estndar internacional aclara los requerimientos para el Proceso de
Mantenimiento del Software. El Mantenimiento del Software es un proceso
primario en El ciclo de vida de un producto software tal como se describe en
ISO/IEC 12207, Tecnologa de la informacin - Software, Parte 1: Los
procesos del ciclo de vida del Software".
ste estndar internacional es parte de la familia de documentos ISO/IEC
12207
y da una pequea gua. La nica clusula obligatoria en ste estndar
internacional proviene de
ISO/IEC 12207. sta clusula contiene cosas que se deben hacer y cada una
de ellas est marcada dentro de una caja en ste documento. El nmero de
clusula ISO/IEC 12207 se muestra despus de la caja. Ante todo siempre se

pretende conseguir es conocer y ante todo cuales son los principales

conceptos relacionados con la gestin de proyectos y realizar
ste estndar internacional no especifica como implementar o realizar las
actividades y tareas en el Proceso de Mantenimiento de Software ya que esto
es dependiente del contrato y de la organizacin. Los requerimientos del
Mantenimiento de
Software no cambian aunque se cambien las herramientas usadas.
Los puntos que vamos a tocar en este estndar son: La proporcin del alcance,
la informacin para el acuerdo, las referencias a las normativas, trminos y
definiciones, la aplicacin de este estndar internacional,
1. Alcance
Para que nos sirve ste estndar, cuales son sus importantes usos, que
Establecimiento nos proporciona, que establecimientos nos da, a donde nos
gua y que efectos proporciona sobre el mantenimiento del software?.
1.1. Propsito
ste estndar internacional proporciona una gua sobre la gestin de (o como
llevar a cabo el proceso de mantenimiento). Eso da lugar a que dicho estndar
proporciona una gran ayuda y facilidad de seguimiento para tener claras ideas
sobre el proceso de mantenimiento y su aplicacin de modo que identifica
cmo el Proceso de Mantenimiento se puede realizar durante la adquisicin y
operacin.
1.2. Campo de aplicacin
ste estndar internacional intenta proporcionar una gua para situaciones con
dos individuos y se puede aplicar igualmente cuando los dos pertenecen a la
misma organizacin pero intenta tambin ser usado por un solo individuo como
tareas que se
auto impone.
1.3. Limitaciones

ste

estndar

internacional

describe

el

esqueleto

del

Proceso

de

Mantenimiento Software pero no especifica los detalles de como implementar o

ejecutar las actividades y tareas incluidas en el proceso.
2. Cumplimiento de la normativa
Un proceso se ajustar a la normativa si satisface los requerimientos de
ISO/IEC 12207.
3. Referencias a normativas
Los siguientes documentos de normativas contienen citas que se usarn en
ste documento:
ISO/IEC 2382-80: Tecnologa de la informacin - Vocabulario; Parte 20:
desarrollo de sistemas.
ISO/IEC

5807:

Procesamiento

de

informacin

Smbolos

para

la

documentacin y convenciones para datos, programas, diagramas de flujo,

grficos de redes de programas y grficos de recursos del sistema. ISO 8402:
Gestin de la calidad y aseguramiento de la calidad - Vocabulario. ISO/IEC
9126: Tecnologa de la informacin - Evaluacin del producto software Caractersticas de la calidad y guas para su uso. ISO/IEC 12207: Tecnologa
de la informacin - Procesos de ciclo de vida software.
4. Definiciones y trminos
Para los propsitos de ste estndar internacional aplicaremos las definiciones
y trminos dados en ISO/IEC 12207, ISO 8402, ISO/IEC 2382-1 e ISO/IEC
2382-20 adems de los siguientes:

4.1. Mantenimiento adaptativo

Se define como la modificacin de un producto software hecha despus de la
entrega, para as mantener el uso de un producto software en un entorno
cambiado o cambiante de modo que el mantenimiento adaptativo proporciona
mejoras necesarias para acomodarse a los cambios en el entorno en que se
ejecuta un producto software. Estos cambios son aquellos que deben hacerse

para seguir funcionando en el entorno cambiante. Por ejemplo, puede que

actualicemos el sistema operativo y que haya que adaptar el software.
4.2. Lnea base
Una versin aprobada formalmente de un elemento de configuracin,
independientemente del medio, diseado formalmente y fijado en un momento
especfico durante el ciclo de vida de ese elemento de configuracin en este
caso a veces nos referimos a una lnea base con el nombre de nueva versin''.
4.3. Mantenimiento correctivo
Es la modificacin de un producto software hecha despus de la entrega
debido a que debemos corregir errores descubiertos de modo que La
modificacin repara el producto software para satisfacer requerimientos.
4.4. Plan de mantenibilidad
Un documento que marca las practicas especficas del mantenimiento, as
como los recursos y secuencia de actividades relevantes para el software de
modo que el desarrollador es quien prepara ste plan.
4.5. Mejora
Es un cambio software pero no es una correccin como las definidas antes as
habr dos tipos de mejoras: adaptativas y perfectivas.
4.6. Plan de Mantenimiento
Es un documento que dice cuales son las prcticas especficas del
mantenimiento, los recursos y la secuencia de actividades relevantes para el
mantenimiento de un software de modo que el mantenedor es quien prepara
ste plan. El plan debera ponerse en marcha una vez que el producto entre en
la fase de mantenimiento.
4.7. Proceso de mantenimiento
El Proceso de Mantenimiento contiene las actividades y tareas que debe llevar
a cabo el mantenedor. Este proceso se activa cuando el producto software
implica modificaciones en el cdigo y documentacin asociada debido a un

problema o la necesidad de mantenimiento para mejorar. El objetivo es

modificar software existente preservando la integridad. ste proceso incluye la
migracin y retiro del producto software.
4.8. Programa de mantenimiento
La estructura de la organizacin, responsabilidades, procedimientos, procesos
y recursos usados para implementar el plan de mantenimiento de modo que el
trmino programa'' significa lo mismo que infraestructura''.
4.9. Peticin de Modificacin (MR)
Es un trmino genrico usado para identificar cambios de un producto software
que se est manteniendo. La MR puede clasificarse despus como correccin
o mejora e identificarla como correctiva, adaptativa, preventiva o perfectiva. La
MR tambin suele denominarse peticin de cambio. En el dibujo siguiente
podemos ver un esquema para clasificar los mantenimientos.
4.10. Mantenimiento Perfectivo
La modificacin de un producto software despus de su entrega para mejorar el
rendimiento o mantenibilidad. El mantenimiento perfectivo proporciona mejoras
para los usuarios, mejora de
La documentacin del programa, y re codificacin para mejorar el rendimiento
del software, su mantenibilidad u otros atributos.
4.11. Mantenimiento preventivo
Modificacin del producto software tras la entrega para detectar y corregir fallos
latentes antes de que se conviertan en fallos efectivos.
4.12. Informe de Problema
Trmino usado para identificar y describir problemas detectado en un software.
4.13. Entorno de Ingeniera del Software
El conjunto de herramientas, dispositivos firmware y hardware necesarios para
llevar a cabo el trabajo de ingeniera del software. Las herramientas pueden
incluir compiladores, ensambladores, enlazadores, cargadores, sistemas

operativos, depuradores, simuladores, emuladores, herramientas de prueba, de

documentacin y SGBD.
4.14. Entorno de pruebas de software
Las

instalaciones,

hardware,

software,

firmware,

procedimientos

documentacin necesarios para la cualificacin y otras pruebas de software. Se

pueden incluir simuladores, analizadores de cdigo, generadores de casos de
prueba, analizadores de rutas, adems de todos los incluidos en el entorno de
Ingeniera del software.
4.15. Transicin del software
Una secuencia coordinada y controlada de acciones donde el desarrollo del
software pasa de desarrollo software inicial llevado a cabo dentro de la
organizacin a mantenimiento de software llevado a cabo dentro de la
organizacin.
5. Aplicacin de ste estndar internacional
En este punto se presenta el proceso de mantenimiento requerido para
mantener productos software.
5.1. Proceso de mantenimiento
El Mantenimiento de Software es una de los cinco procesos primarios del ciclo
de vida que se deben llevar a cabo durante el ciclo de vida del software
(ISO/IEC 12207). Los procesos primarios Adquisicin y Entrega pueden iniciar
la actividad Implementacin del Proceso del proceso primario Mantenimiento
de Software por medio de un acuerdo o contrato. El proceso primario
Operacin de ISO/IEC 12207 puede iniciar el proceso de Mantenimiento
Software remitiendo una Solicitud de Modificacin (MR) o Informe de problema.
El proceso Mantenimiento de Software invoca el proceso primario Desarrollo de
ISO/IEC 12207.
Los procesos de apoyo de Documentacin, Gestin de la Configuracin,
Aseguramiento de la Calidad, Verificacin, Validacin, Revisin Conjunta,
Auditora y Resolucin de Problemas de ISO/IEC 12207 se utilizan el proceso
Mantenimiento de Software. Los procesos del ciclo de vida relativos a la

empresa de ISO/IEC 12207 constan de cuatro procesos. La Gestin,

Infraestructura, y Entrenamiento son procesos que emplea el mantenedor
cuando inicia un proyecto de mantenimiento. El Proceso de Mejora de ISO/IEC
12207 se enfoca para efectuar la mejora del proceso de mantenimiento de
modo que La adaptacin es apropiada para eventos no rutinarios como
mantenimiento de emergencia y adems de eso la adaptacin de ste estndar
internacional se describe en ISO/IEC 12207.

5.2. Organizacin de ste estndar internacional

A continuacin se presentan por orden los pasos que el mantenedor debera
dar. La seccin 6 proporciona cosas a tener en cuenta en la Implementacin,
as como aspectos a considerar cuando se haga la planificacin de
mantenimiento. La seccin 7 proporciona informacin comprensible para la
planificacin. La seccin 8 cubre los detalles del Proceso de Mantenimiento
incluyendo las tareas y los pasos dentro de cada una que se deben dar para
implementar el Proceso de Mantenimiento.