Normas, estándares y leyes

 

Manuales y Metodologías de Seguridad

A continuación se muestran una serie de documentos y enlaces a metodologías relacionadas con la Gestión de la Seguridad de la Información y con el Análisis y Gestión del Riesgo.

  • MAGERIT v3: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas. Se puede obtener más información y descargar los manuales desde:
  • COBIT (Objetivos de Control para la Información y Tecnologías Relacionadas): Conjunto de mejores prácticas para el manejo de Información y fue creado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA) y el Instituto de Administración de las Tecnologías de la Información (ITGI) en 1992. Puede descargarse el manual de CobiT versión 4.1 en castellano desde el portal web de ISACA-Valencia.
  • El NIST (National Institute of Standards and Technology de EEUU), ha publicado varios documentos interesantes relacionados con el Análisis de Riesgos:
    • SP 800-30: Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información.
    • SP 800-53: Para Análisis de Riesgos y control de la seguridad. Controles de seguridad recomendados para sistemas de información en organizaciones.
    • SP 800-39: Gestión de Riesgos de los Sistemas de Información desde la perspectiva de una organización.

Estándares de Seguridad

  • ISO 27002 (antes conocida como ISO/IEC 17799): Código de buenas prácticas para la Gestión de la Seguridad de la Información. Más información en ISO.org o en ISO27002.es
  •  ISO 27001: Sistemas de Gestión de la Seguridad de la Información (SGSI). Consultar en ISO.org o en este enlace

Estándares de Calidad

Políticas de Seguridad

  • Repositorio de políticas de seguridad. Aquí podrá encontrar enlaces a Políticas de Uso y Seguridad de aplicación en algunas instituciones afiliadas a RedIRIS, así como otros recursos que pueden ser de ayuda.
  • Ejemplo Política de Seguridad de Red de la UCLM (Universidad de Castilla La-Mancha)
  • Information Security Policy World: Directorio de Políticas de Seguridad de la información, normas de Seguridad Informática y plantillas para Políticas de Seguridad de la Información.

Asesoría Legal

En el mundo de Internet, como en el mundo real, deben cumplirse una serie de normas/leyes básicas, la mayoría relacionadas con la confidencialidad y la privacidad del individuo. Otras tratan la propiedad intelectual, los métodos de autentificación de personas... A continuación señalamos algunas entidades vinculadas con la protección de estas leyes.

  • Agencia de Protección de Datos. Este ente gubernamental se encarga de gestionar las incidencias relativas a la protección de los datos de carácter personal en sus diferentes niveles de criticidad. Fundamentalmente trata de que todos cumplamos la LOPD (Ley Orgánica de Protección de Datos). Desde su página web pueden realizarse diversos tipos de gestiones y pueden ser consultadas las guías explicativas para su cumplimiento.
  • Ley de Servicios de la Sociedad de la Información: Esta página contiene información general sobre la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), que ha sido elaborada por la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Turismo y Comercio.
  • Ley de propiedad intelectual: Página del Ministerio de Cultura donde se explican las diversas características que engloban la propiedad intelectual. En el momento de la edición de este punto, se está debatiendo una serie de modificaciones en la propia ley, que ya es conocida popularmente como Ley Sinde.
  • Firma electrónica: Método de identificación digital, igual de válido que la firma escrita. Actualmente se ofrece realizar digitalmente todos los trámites con la administración que puedan ser realizados de forma “tradicional”. Es en este ámbito donde la Firma Digital toma una importancia esencial.

Legislación

Disposiciones legales relevantes en materia de seguridad informática: