AUDI 17799 - Seguridad Informatica

UNIVERSIDAD ANDINA DEL CUSCO

FACULTAD DE INGENIERÍA DE SISTEMAS

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

GUÍA DE IMPLEMENTACIÓN DE CONTROL DE ACCESOS

SEGÚN LA NTP-ISO-IEC 17799-2007”

CURSO:

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

INTEGRANTES:

Omar Pizarro Mendoza.

Marco Antonio Nieves Peñalva.

DOCENTE:

ING. PALOMINO OLIVERA, EMILIO

CUSCO – PERÚ

2014

INDICE

INTRODUCCIÓN……………………………………………………………………………………………………………11.1 PLANTEAMIENTO DEL PROBLEMA………………………………………………………………………….11.2 HIPÓTESIS………………………………………………………………………………………………………..…….11.3 OBJETIVOS GENERALES……………………………………………………………………………………..…..11.4 OBJETIVOS ESPECÍFICOS…………………………………………………………………………………………111 CONTROLE ACCESOS……………………………………………………………………………………………....211.1 Requisitos de negocio para el control de accesos………………………………………….….…..2

11.1.1 Política de control de accesos……………………………………………………….….……311.2 Gestión de acceso de Usuarios…………………………………………………………………….……….6

11.2.1 Registros de Usuarios……………………………………………………………………….……611.2.2 Gestión de privilegios………………………………………………………………………….…911.2.3 Gestión de contraseñas de Usuario…………………………………………………..….1211.2.4 Revisión de los derechos de acceso de los usuarios………………………….…..15

INTRODUCCION

La Norma Técnica Peruana NTP-ISO/IEC 17799: 2007 EDI. Tecnología de la

información. Código de buenas prácticas para la gestión de la seguridad de

la información, fue elaborada por el Comité Técnico de Normalización de

Codificación en Intercambio de Datos (EDI) junto a otras instituciones que

participaron en la elaboración; para la Comisión de Reglamentos Técnicos y

Comerciales de INDECOPI en Enero del 2007, teniendo como antecedente la

norma ISO/IEC 17799: 2007, el cual es un estándar internacional para la

seguridad de la información. Dicha norma es de uso obligatorio para las

instituciones del Estado y es recomendable y opcional para las instituciones

privadas. En resumen esta norma es una guía para la implementación de

controles de seguridad de la información en las organizaciones, esto para una

consecuente identificación, evaluación y tratamiento de los riesgos de seguridad

de la información que puedan existir. Ya que se trata a la información, en sus

diversas formas, como un activo importante que debido a diversos factores está

expuesta a amenazas y vulnerabilidades, y por ello se debe salvaguardar su

seguridad para asegurar la continuidad del negocio, minimizar los daños a la

organización, mantener su competitividad, entre otros beneficios.

Para conseguir dicha seguridad la norma sugiere la implantación de un conjunto

adecuado de controles, que si bien es cierto en esta norma es tomada de forma

general, estos controles pueden ser más específicos en cada organización. Estos

controles pueden ser políticas, prácticas, estructuras organizativas y funciones de

hardware o software.

La estructura de este estándar consta de 11 cláusulas de control de seguridad y

un total de 39 categorías principales, nuestro equipo de trabajo tomó como punto

de trabajo la cláusula que trata sobre Gestión de Comunicaciones y Operaciones.

La Gestión de Comunicaciones y Operaciones asegura la operación correcta y

segura de los recursos de tratamiento de la información manteniendo su integridad

y disponibilidad; protege la integridad del hardware, software, información, e

infraestructura de apoyo, evita interrupciones de actividades.

Llevar controles sobre este apartado es importante porque permite organizar de

manera óptima las actividades y tareas que se llevan a cabo indicando los

procedimientos, documentos de referencia, dependencias, personal interviniente,

supervisiones, tiempos de duración, frecuencia, recursos de software y de

hardware.

El objetivo de este documento es mostrar un prototipo que puede seguirse de

acuerdo a la guía de implementación de controles mostrada en la norma, por cada

control se ha realizado cuatro cuadros, el primero contiene el nombre de la

actividad, del control y la guía de implementación, el segundo es el formato

prototipo, el tercero y cuarto contienen ejemplos de las dos anteriores. El prototipo

precisa el uso de un cuadro por cada tarea, servicio, operación o proceso según

sea el caso en los controles; ya que pretender amontonar todos los detalles en un

solo cuadro solo traería dificultades en su comprensión y organización.

1.1 Planteamiento del Problema

El acceso a la información y los procesos del negocio sobre la base de los

requisitos de seguridad son parte fundamental de la Institución ya que

debería tomarse controles de seguridad para asegurar el acceso autorizado

de usuarios y prevenir accesos no autorizados a los sistemas de

información.

Asegurar el control de los Sistemas de Información de la Institución responde

a la siguiente pregunta: ¿De qué manera un conjunto de procesos propiciara

el mejoramiento en el Control de accesos a la Información dentro de la

Institución?

1.2 Hipótesis

Si el conjunto de procesos de llevase a cabo siguiendo los procedimientos

establecidos de forma secuencial, entonces se tendrá un mejor control de

accesos a los sistemas de información de la institución.

1.3 Objetivos Generales

Plantear un conjunto de procesos para el control de accesos a la

información dentro de una institución basándose en la NTP-ISO-IEC-17799-

2007.

1.4 Objetivos Específicos

Identificar, analizar y seleccionar las clausulas que comprenden al

control de accesos en la NTP-ISO-IEC-17799-2007.

Elaborar los formatos de control de accesos para cada uno de lso

controles establecidos según la NTP-ISO-IEC-17799-2007.

Diseñar e implementar programas que nos permitan automatizar los

controles establecidos en el control de accesos.

“GUIA DE IMPLEMENTACION DE CONTROL DE ACCESOS

SEGÚN LA NTP-ISO-IEC-17799- 2007”

11. CONTROL DE ACCESOS

11.1 REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESOS.

Objetivo: Controlar los accesos a la información.

Se debería controlar el acceso a la información y los procesos del negocio

sobre la base de los requisitos de seguridad y negocio.

Se deberían tener en cuenta para ello las políticas de distribución de la

información y de autorizaciones.

11.1.1 Política de Control de Accesos

CONTROL

Una política de control de acceso debe ser establecida, documentada y

revisada y debe estar basada en los requerimientos de seguridad y del

negocio.

Guía de Implementación

Se deberían establecer claramente en una política de accesos las reglas y los

derechos de cada usuario o grupo de usuarios. Los controles de acceso son

lógicos y físicos, y estos deben ser considerados juntos. Se debería dar a los

usuarios y proveedores de servicios una especificación clara de los requisitos de

negocio cubiertos por los controles de accesos.

Esta política debería contemplar lo siguiente:

a) Requisitos de seguridad de cada aplicación de negocio

individualmente.

b) Identificación de toda la información relativa a las aplicaciones y los

riesgos que la información está enfrentando.

c) Políticas para la distribución de la información y las autorizaciones (por

ejemplo, el principio de suministro sólo de la información que se

necesita conocer y los niveles de seguridad para la clasificación de

dicha información).

d) Coherencia entre las políticas de control de accesos y las políticas de

clasificación de la información en los distintos sistemas y redes.

e) Legislación aplicable y las obligaciones contractuales respecto a la

protección del acceso a los datos o servicios.

f) Perfiles de acceso de usuarios estandarizados según las categorías

comunes de trabajos.

g) Administración delos derechos de acceso en un entorno distribuido en

red que reconozca todos los tipos disponibles de conexión.

h) Segregación de los roles de control de acceso, como el pedido de

acceso, autorización de acceso, administración de accesos.

i) Requerimientos para la autorización formal de los pedidos de acceso.

j) Requerimientos para la revisión periódica de los controles de acceso.

k) Retiro de los derechos de acceso.

Otra Información

Al especificar las reglas de los controles de accesos se tendrá la precaución

de considerar:

a) Distinción entre reglas a cumplir siempre y reglas opcionales o

condicionales.

b) Establecimiento de reglas

c) Cambios en las etiquetas de información iniciadas automáticamente por

los recursos del tratamiento de información y las que inicia el usuario

manualmente.

d) Cambios a las autorizaciones a los usuarios realizados automáticamente

por el sistema de información y los que realiza un administrador.

e) Distinción entre reglas que requieren o no la aprobación del

administrador o de otra autoridad antes de su promulgación.Las reglas de

control de acceso deben ser apoyadas por procedimientos formales y por

responsabilidades claramente definidos (véase, por ejemplo, 6.1.3, 11.3,

10.4.1, 11.6).

SECUENCIA DE ACTIVIDADES:

1.- Área de Informática.-

a) Establece la elaboración de las políticas de control de acceso.

b) Asigna el presupuesto para la elaboración de políticas de control

de accesos.

c) Envía documento de elaboración de políticas de control de acceso

a la comisión de políticas de control de acceso.

2.- Comisión de políticas de control de accesos

a) Elabora propuesta de políticas de control de acceso a los sistemas

de información

3.- Área de Informática

a) Analiza, revisa y establece políticas de control de accesos.

b) Aprueba politicas de control de accesos.

c) Emite informe de politicas de control de accesos.

4.- Dirección de la gerencia general

a) Elabora documento

b) Emite resolución de aproblación de politicas de control de accesos

5.- Comisión de políticas de control de accesos

a) Difunde implantación de cada política de control de accesos

b) Realiza capacitación para el manejo politicas de control accesos

Diagrama de procesos de la Política de Control de AccesosBPEL DISEÑOS 1

EA 10.0 versión de prueba no registrada EA 10.0 versión de prueba no registrada EA 10.0 versión de prueba no registrada EA 10.0 versión de prueba no registrada EA 10.0 versión de prueba no registrada EA 10.0 versión de prueba no registrada EA 10.0 versión de prueba no registrada






































11

.1.1

Po

litica

s d

e C

on

trol d

e A

cc

es

o

Co

mis

ion

de

Po

litica

sd

e C

on

trol d

e a

cc

es

os

Are

a d

e in

form

atic

aD

irec

cio

n d

e la

Ge

ren

cia

Ge

nra

l

Envia documento delaboracion de politicasde control de accesos

Estableceelaboracion de

politicas de acceso

Elabora propuesta dePoliticas de control deacceso a los sistemas

de informacion

Aprueba depoliticas decontrol de

accesos

Cumple con losrequistos deseguridad

Asignapresupuesto

Analiza, revisa yestablece politicas

de control deaccesos

Emite informe depoliticas de control de

accesos

Elaboradocumento

Emite resolucion deaprobacion de politicasde control de accesos

Difundeimplantacion decada politica de

control de accesos

Realiza capacitacionespara el manejo de

politicas de control deaccesos

NO

SI

Formato de cumplimiento de la Política de Control de Accesos

Actividad: 11.1.1Politica de control de accesosResponsable :

Supervisor:

Descripción:Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio

DOCUMENTO

Nombre del Documento 11.1.1 Política de control de accesos

N° Documento

Fecha

Versión

RESPONSABLE AREA INFORMATICA (Unidad)

Nombre Cargo Firma Unidad

RESPONSABLE DE ELABORACIÓN DE POLÍTICAS

FotoNombre y Apellidos:

Código

Área: POLITICAS DE CONTROL DE ACCESOS

Área Sistemas

Políticas de Control de Accesos

Responsable de hacer cumplir la Política

AnálisisComité Evaluador

NombreDescripci

ónRespons

ableFirma Responsable Firma

11.2 GESTIÓN DE ACCESOS DE USUARIOS

Objetivo: Asegurar el acceso autorizado de usuario y prevenir accesos no

autorizados a los sistemas de información.

11.2.1 Registro de Usuarios

CONTROL

Se debería formalizar un procedimiento de registro de altas y bajas de usuarios

para garantizar el acceso a los sistemas y servicios de información multiusuario.


Se debería controlar el acceso a los servicios de información multiusuario

mediante un proceso formal de registro que debería incluir:

La utilización de un identificador único para cada usuario, de esta forma

puedevincularse a los usuarios y responsabilizarles de sus acciones. Se

debería permitir el usode identificadores de grupo cuando sea conveniente

para el desarrollo del trabajo y estosdeben ser aprobados y documentados.

La comprobación de la autorización del usuario por el propietario del

serviciopara utilizar el sistema o el servicio de información. También puede

ser conveniente quela gerencia apruebe por separado los derechos de

acceso.

Verificación de la adecuación del nivel de acceso asignado al propósito

delnegocio y su consistencia con la política de seguridad de laorganización

(por ejemplo, su no contradicción con el principio de segregación de tareas.

La entrega a los usuarios de una relación escrita de sus derechos de

acceso.

La petición a los usuarios para que reconozcan con su firma la comprensión

delas condiciones de acceso.

La garantía de que no se provea acceso al servicio hasta que se

hayancompletado los procedimientos de autorización.

El mantenimiento de un registro formalizado de todos los autorizados para

usarel servicio.

La eliminación inmediata de las autorizaciones de acceso a los usuarios

quedejan la organización o cambien de trabajo en ella.

La revisión periódica y eliminación de identificadores y cuentas de

usuarioredundantes.

La garantía de no reasignación a otros usuarios de los identificadores de

usuario redundantes.

Otra Información

Se debería considerar el establecimiento de roles de acceso a usuarios

basado en requisitos de negocio que resuman un numero de derechos de

acceso en un expediente típico de acceso de usuario. Los pedidos y

revisiones de acceso son manejadas más fácilmente al nivel de dichos roles

que los niveles de derechos particulares.


a) Área de Informática.-

Establecer derechos de acceso del usuario al sistema.

Enviar documentos de derechos de acceso del usuario al

sistema.

b) Dirección de la Gerencia General.-

Evaluar las autorizaciones de acceso de los usuarios al sistema.

Aprobar el derecho de acceso a los sistemas.

c) Área de informática.-

Autorizar el derecho de acceso a los usuarios al sistema.

Enviar un documento a los usuarios con las condiciones de

acceso.

d) Usuario.-

Aceptación de las condiciones de los derechos de acceso al

sistema.

Remitir documento y/o firma de conformidad.

e) Área de Informática.-

Asignar un identificador único a cada usuario.

Revisar identificadores redundantes.

Eliminar o cambiar las autorizaciones de acceso al Sistema.

Mantener un registro de todos los usuarios autorizados.

f) Usuario.-

Usar el servicio de acceso a los sistemas.

Diagrama de procesos de Registro de Usuarios

BPEL DISEÑO 2






































11

.2.1

Re

gis

tro d

e U

su

ario

s

Us

ua

rioA

rea

de

Info

rma

tica

Dire

cc

ion

de

la G

ere

nc

ia G

en

era

l

Establecer derechosde acceso del

usuario al sistema

aprobar el derechode acceso a los

sistemas

Autorizar el derecho deacceso de los usuarios

al sistema

Asignar unIdentificadorunico a cada

usuario

Enviar un documento alos usuarios con las

condiciones de acceso

Mantener unregistro de todos

los Usuariosautorizados

Elimina o cambiarlas autorizaciones de

acceso de losusuarios

Evaluar lasautorizaciones de

acceso de los usuarios

Envia documento dederechos de acceso del

Usuario al sistema

Aceptación de lascondiciones de los

derechos de acceso alsistema

Remitir docmumentoy/o firma deconformidad

Revisar identificadoresredundantes

¿El usuario siguelaborando elorganización?

Usar el servicio deacceso a los sistemas

SI

NO

FORMATO DE CUMPLIMIENTO DE REGISTRO DE USUARIOS

Actividad: 11.2.1 Registro de Usuarios

Responsable :

Supervisor:

Descripción:Se debería formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información multiusuario.

DOCUMENTO

Nombre del Documento 11.2.1 Registro de UsuariosN° Documento

Fecha

Versión

RESPONSABLE (Del AREA)

Nombre Cargo Firma Área

RESPONSALBE DE GERENCIA GENERALNombre Cargo Firma Área

USUARIONombre Cargo Firma Área

N° Área de Cambio Sistema Responsabilidades

Identificador

Temporal

Contraseña

Fecha de

Entrega

Identificador

NuevoContras

eña

Fecha de

modificación

1 Contabilidad SEACEUSUARIO01 123 fecha. - - -

2 Administración SIAF - - -

USUARIO02

123456

07/09/2013

Por el presente documento el Usuario, se compromete a cumplir a cabalidad con sus funciones y responsabilidades, así como también se hace responsable del cuidado y la no difusión del aquellos datos que los miembros de la organización (o en su defecto los miembros de su Unidad) Consideren pertinentes, de la misma forma se hace responsable de la no divulgación de la información del sistema a cargo de dicha organización. (Nota: el Usuario tendrá el derecho de acceder al sistema o a los módulos que este utilice.

……………………….

Firma y DNI

11.2.2 Gestión de Privilegios

CONTROL

Debería restringirse y controlarse el uso y asignación de privilegios


Se debería controlar la asignación de privilegios por un proceso formal de

autorización en los sistemas multiusuario. Se deberían considerar los pasos

siguientes:

a) Identificar los privilegios asociados a cada elemento del sistema, por

ejemplo, el sistema operativo, el sistema gestor de base de datos y cada

aplicación; así como las categorías de empleados que necesitan de ellos.

b) Asignar privilegios a los individuos según los principios de “necesidad de su

uso” y “caso por caso” y en línea con la política de control de acceso, por

ejemplo, el requisito mínimo para cumplir su función sólo cuando se

necesite.

c) Mantener un proceso de autorización y un registro de todos los privilegios

asignados. No se otorgarán privilegios hasta que el proceso de autorización

haya concluido.

d) Promover el desarrollo y uso de rutinas del sistema para evitar la

asignación de privilegios a los usuarios.

e) Promover el desarrollo y uso de programas que evitan la necesidad de

correr con privilegios.

f) Asignar los privilegios a un identificador de usuario distinto al asignado para

un uso normal.

Otra Información

Un uso inapropiado de los privilegios de la administración del sistema

(cualquier característica o facilidad de un sistema de información que

habilite al usuario sobrescribir los controles del sistema y de la aplicación)

pueden ser un gran factor contribuir de fallas o aberturas en los sistemas.


a) Dirección de la oficina general de administración

a. Asignar privilegios a los usuarios según la necesidad

b) Área de Informática

a. Identificar privilegios asociados a cada elemento del sistema

b. Autoriza los privilegios asignados

c. Registra los privilegios asignados

d. Asignar los privilegios a un identificador de usuario

BPEL DISEÑO 3

EA 10.0 versión de prueba no registrada EA 10.0 versión de prueba no registrada EA 10.0 versión de prueba no registrada EA 10.0 versión de prueba no registrada EA 10.0 versión de prueba no registrada EA 10.0 versión de prueba no registrada


































11

.2.2

Ge

stio

n d

e p

rivile

gio

s

Are

a d

e in

form

atic

aD

irec

cio

n d

e la

Ofic

ina

Ge

ne

ral

de

Ad

min

istra

cio

n

Asignar privilegios a losusuarios segun la

necesidad

Autoriza losprivilegiosasignados

Identificar privilegiosasociados a cada

elemnto del sistema

Registrar losprivilegiosasignados

Asignar privilegiosa un identificador

de usuario

Termino elproceso deautorizacion?

SINO

Diagrama de procesos de Gestion de Privilegios

FORMATO DE CUMPLIMIENTO DE GESTION DE PRIVILEGIOSActividad: Ingrese en este campo la Actividad.Responsable :

Supervisor:

Descripción: Debería restringirse y controlarse el uso y asignación de privilegiosDOCUMENTO

Nombre del Documento 11.2.2 Gestión de privilegios

N° Documento

Fecha

Versión RESPONSABLE (Del AREA)


USUARIO


Privilegios

Privilegios Asociados al Sistema

Áreas

Gerencia Contabilidad Informática Almacén Otros

Sistema Operativo ☐ ☐ ☐ ☐ ☐

SIAF ☐ ☐ ☐ ☐ ☐

SEACE ☐ ☐ ☐ ☐ ☐

Sistema de Base de Datos ☐ ☐ ☐ ☐ ☐

Microsoft Office ☐ ☐ ☐ ☐ ☐

Servicio de impresora ☐ ☐ ☐ ☐ ☐

11.2.3 Gestión de Contraseñas de Usuario

CONTROL

Se debería controlar la asignación de contraseñas por medio de un proceso de

gestión formal.


El proceso debe incluir los siguientes requisitos:

Requerir que los usuarios firmen un compromiso para mantener en secreto

sus contraseñas personales y las compartidas por un grupo sólo entre los

miembros de ese grupo (compromiso que podría incluirse en los términos y

condiciones del contrato de empleo.

Proporcionar inicialmente una contraseña temporal segura que

forzosamente deben cambiar inmediatamente después.

Establecer procedimientos para verificar la identidad de un usuario antes de

proveer una contraseña nueva, de reemplazo o temporal.

Establecer un conducto seguro para hacer llegar las contraseñas

temporales a los usuarios. Se debería evitar su envío por terceros o por

mensajes no cifrados de correo electrónico.

Las contraseñas temporales deben ser únicas para cada individuo y no

deben ser obvias.

Los usuarios deberían remitir acuse de recibo de sus contraseñas.

Las contraseñas nunca deben ser almacenadas en sistemas de cómputo

sin ser protegidos.

Las contraseñas por defecto de los vendedores deben ser alteradas

después de la instalación de los sistemas o software.

Otra Información

Las contraseñas son un medio común de verificar la identidad del usuario

antes de que el acceso a un sistema de información o servicio sea dado de

acuerdo a la autorización del usuario. Se deben considerar, si son

apropiadas, otras tecnologías para identificación y

Autentificación de usuario como las biométricas (como la verificación de

huellas, la

Verificación de la firma) o el uso de dispositivos hardware (como las tarjetas

inteligentes).


a) Jefe del área de informática

a. Documento de compromiso para mantener en secreto sus

contraseñas temporales.

b. Verificar identidad de usuario antes de proveer una contraseña

nueva.

c. Enviar documento a los usuarios con contraseñas temporales mas

políticas de cumplimiento.

b) Usuario

a. Aceptación de políticas de cumplimiento y registro de nuevas

contraseñas.

b. Firmar compromiso de confidencialidad de su contraseña.

Diagrama de procesos de Gestion de contraseñas de Usuario

BPEL DISEÑO 4




































11

.2.3

Ge

stio

n d

e C

on

tras

eñ

as

de

Us

ua

rio

Us

ua

rioJ

efe

de

l Are

a d

e In

form

atic

a

Verificar identidadde Usuario antesde proveer una

contraseña nueva

Firmarcompromiso de

confidencialidadde su contraseña

Documento decompromiso para

mantener en secreto suscontraseñas personales

Enviar documento a losususarios con contraseñastemporales mas politicas

de cumplimiento

Aceptacion de politicasde cumplimiento yregistro de nuevas

contraseñas

«ConversationLink»

Actividad: 11.2.3 Gestión de contraseñas de Usuario

Responsable :

Supervisor:

Descripción:Se debería controlar la asignación de contraseñas por medio de un proceso de gestión formal

DOCUMENTO

Nombre del Documento 11.2.3 Gestión de contraseñas de Usuario

N° Documento

Fecha

Versión RESPONSABLE (Del AREA)


USUARIO


N° Responsabilidades Contraseñas EstablecidasContraseña Temporal Contraseña Nueva

ContraseñaFecha de Entrega Contraseña

Fecha de Modificación

Ingrese Contraseña Temporal.

Seleccione fecha

Ingrese contraseña Nueva.

Seleccione fecha

FORMATOS DE CUMPLIMIENTO DE GESTION DE CONTRASEÑAS DE

USUARIO

11.2.4 Revisión de los derechos de acceso de usuarios

Control

La gerencia debería establecer un proceso formal de revisión periódica de los

derechos de acceso de los usuarios

Guía de implementación

La revisión de los derechos de acceso de usuario debería considerar las

siguientes pautas:

a) Revisar los derechos de acceso de los usuario s a intervalos de tiempo

regulares (se recomienda cada seis meses) y después de cualquier cambio

como promoción degradación o termino del empleo

b) Los derechos de acceso de los usuarios debe ser revidados y reasignados

y después de cualquier cambio como promoción degradación o termino del

empleo

c) Revisar más frecuentemente (se recomienda cada tres meses) las

autorizaciones de derecho de acceso con privilegios especiales

d) Comprobar las asignaciones de privilegios a intervalos de tiempo regulares

para asegurar que no se han obtenido privilegios no autorizados

e) Los cambios en las cuentas privilegiadas deber ser registradas para una

revisión periódica

Otra Información

Es necesario revisar regularmente los derechos de los accesos de los usuario

para mantener un control efectivo del acceso a los datos y los sistemas de

información

Diagrama de los derechos de acceso de usuarios

BPEL DISEÑO 5






































11

.2.4

Re

vis

ion

de

los

de

rec

ho

s d

e a

cc

es

o d

e lo

s u

su

ario

s

Us

ua

rioA

rea

de

Info

rma

tica

Dire

cc

ion

de

la G

ere

nc

ia G

en

era

l

Solicita revisionde derechos de

acceso de losusuarios

Revisa losderechos de

acceso del usuario

Verifica si elusuario trabaja en

la institucion

Reestablecer lacuentas de

usuario

Reasignanueva cuenta

al usuario

Se traslado de Area?

Aceptacion dePoliticas de NuevaCuenta de Usuario

SI

NO

FORMATOS DE CUMPLIMIENTO DE REVISION DE LOS DERECHOS DE ACCESO DE USUARIOS

Actividad: 11.2.4 Revisión de los derechos de acceso de los usuarios

Responsable :

Supervisor:

Descripción:La Gerencia debería establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios

DOCUMENTO

Nombre del Documento 11.2.4 Revisión de los derechos de acceso de los usuariosN° Documento

Fecha

Versión

RESPONSABLE (GERENCIA GENERAL)

Nombre Y Apellidos Cargo Firma

RESPONSABLE (AREA)Nombre y Apellidos Cargo Firma

USUARIONombre y Apellidos ID del Usuario Fecha de Revisión

Seleccione Fecha.

Motivo de la revisión Elija un elemento.

ITEMS REVISADOS OBSERVACIONES

Autorizaciones de derechos de acceso ☐ Observación 1

Asignaciones de privilegios ☐ Observación 2.

Otros… ☐ Observación 3.

Otros… ☐ Observación 4.

DISEÑO DE FORMATOS DEL CONTROL DE ACCESOS SEGÚN LA NTP-ISO IEC 17799 - 2007

AUDI 17799 - Seguridad Informatica

Documents

Transcript of AUDI 17799 - Seguridad Informatica