DEFINICIÓN ISO/IEC 17799 es un estándar internacional publicado por: la Organización...
54
-
Upload
antonio-navarro-ortiz -
Category
Documents
-
view
238 -
download
3
Transcript of DEFINICIÓN ISO/IEC 17799 es un estándar internacional publicado por: la Organización...
DEFINICIÓN
ISO/IEC 17799 es un estándar internacional publicado por:
la Organización Internacional de Estándares
la Comisión Internacional Electrotécnica
con el fin de proveer un esquema estándar y un conjunto de recomendaciones que sirvan de guía a los responsables de la iniciación, implementación, mantenimiento y mejora de la gestión de la seguridad de la información
Es la normativa técnica de seguridad de la información más
reconocida a nivel internacional.
Su objetivo principal es proteger adecuadamente los
activos de información de una organización
PUBLICACIÓN DE LA NORMA EN DIVERSOS
PAÍSES
En España
En Chile"Norma técnica sobre
seguridad y confidencialidad del documento electrónico".
“Código de buenas prácticas para la Gestión de la
Seguridad de la Información”
En Bolivia “NB ISO/IEC
17799:2005.”
En Perú
la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde agosto del 2004
NORMA TECNICA PERUANA
Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana “NTP – ISO/IEC 17799:2004 EDI.
Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana “NTP – ISO/IEC 17799:2007 EDI.
Marco de las recomendaciones
La NTP-ISO 17799 es una compilación derecomendaciones para las prácticas exitosas deseguridad, que toda organización puede aplicarindependientemente de su tamaño o sector.
La NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al piede la letra, se deja a estas dar una solución deseguridad de acuerdo a sus necesidades.
Las recomendaciones de la NTP-ISO 17799 son neutrales en cuanto a la tecnología. La norma discute la necesidad de contar con Firewalls, perono profundiza sobre los tipos de Firewalls y cómo se utilizan.
Acciones de la ONGEIActualmente la ONGEI apoya a las entidades públicas en los siguientes principales servicios:
Análisis de vulnerabilidades de los servidores Web de las Entidades Publicas.
Boletines de Seguridad de la información
Boletines de Alertas de Antivirus.
Presentaciones técnicas sobre seguridad.Consultorías y apoyo en recomendaciones técnicas.
La NTP NO exige la certificación, pero si la consideración y evaluación de los principales dominios de acuerdo a la realidad de cada organización.
En este sentido La Norma Técnica Peruana ISO– 17799, se emite para ser considerada en la implementación de estrategias y planes deseguridad de la información de las Entidades Públicas.
¿Cómo establecer los requerimientos de
seguridad?
Evaluar los riesgos que enfrenta la organización
Se estima el impacto potencial
Se identifican las amenazas a los activos
Se evalúan las vulnerabilidades y probabilidades de ocurrencia
Tener en cuenta los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir:
Establecer un conjunto específico de principios, objetivos y requisitos para el procesamiento de la información
La organización
Sus socios comerciales
Los contratistas
Los prestadores de servicios
Dominios a considerar dentro
de NTP
POLÍTICA DE SEGURIDAD
La gerencia debería establecer de forma clara las líneas de la política de actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una política de seguridad en toda la organización
Política de seguridad de la información
Documento de política de seguridad de la
información
• Aprobar, publicar y comunicar a todos los empleados un documento de política de seguridad de la información
• El documento debería contener
a) una definición de seguridad de la información y sus objetivos globales
b) gerencia como soporte de los objetivos y principios de la seguridad de la información
c) Un marco para colocar los objetivos de control y mandos, evaluación de riesgo y gestión del riesgo.
d) explicación de las políticas, principios, normas y requisitos importantes para la organización
Revisión y evaluación
La política de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuación y efectividad.
• La política debería tener un propietario que sea responsable del desarrollo, revisión y evaluación de la política de seguridad
• La revisión debe incluir oportunidades de evaluación para mejorar la política de seguridad de información
ASPECTOS ORGANIZATIVOS PARA
LA SEGURIDAD
Organización interna
• organizar foros de gestión adecuados con las gerencias para aprobar la política de seguridad de la información
• asignar roles de seguridad y coordinar la implantación de la seguridad en toda la organización.
• acceso dentro de la organización a un equipo de consultores especializados en seguridad de la información
• contactos con especialistas externos en seguridad para mantenerse al día en las tendencias de la industria, la evolución de las normas y los métodos de evaluación
Comité de gestión de seguridad de la
información
La gerencia debe apoyar activamente en la seguridad demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades
Este comité debería realizar las siguientes funciones:
a) asegurar que las metas de la seguridad de información sean identificadas, relacionarlas con las exigencias organizacionales y que sean integradas en procesos relevantesb) formular, revisar y aprobar la política de seguridad de informaciónc) revisión de la efectividad en la implementación de la política de información
Coordinación de la seguridad de la
informaciónLa información de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes de la organización con roles relevantes y funciones de trabajo.
la coordinación de la seguridad de información debe implicar la cooperación y la colaboración de gerentes, usuarios, administradores, diseñadores de la aplicación, personal de auditoria y seguridad, y habilidades especiales en áreas como seguros, trámites legales, recursos humanos, tecnología de la información o gestión del riesgo.
Asignación de responsabilidades sobre seguridad de la información
Esta asignación, debería completarse, dónde sea necesario, con una guía más detallada para ubicaciones, sistemas o
servicios específicos. Deberían definirse claramente las responsabilidades locales
para activos físicos y de información individualizada y los procesos de seguridad
como, por ejemplo, el plan de continuidad del negocio.
Es esencial que se establezcan claramente las áreas de las que cada directivo es responsable; en particular deberían establecerse las siguientes:
a) deberían identificarse claramente los activos y los procesos de seguridad asociados con cada sistema específico;b) debería nombrarse al responsable de cada activo o proceso de seguridad, y deberían documentarse los detalles de esta responsabilidadc) deberían definirse y documentarse claramente los niveles de autorización
Proceso de autorización de recursos para el tratamiento
de la información
deberían tener la aprobación adecuada de la gerencia de usuario,
autorizando su propósito y uso. También debería obtenerse la
aprobación del directivo responsable del mantenimiento del entorno de
seguridad del sistema de información local, asegurando que cumple con todas las políticas y requisitos de
seguridad correspondientes
• dónde sea necesario, se debería comprobar que el hardware y el software son compatibles con los demás dispositivos del sistema
• debería autorizarse y evaluarse el uso de medios informáticos personales, como laptops o aparatos móviles, para el tratamiento de la información de la organización así como los controles necesarios, ya que pueden introducir nuevas vulnerabilidades.
Acuerdos de confidencialidad
Confidencialidad o acuerdos de no divulgación deben anexar los requerimientos para proteger información confidencial usando términos ejecutables legales. Para identificar requerimientos de confidencialidad o acuerdos de no divulgación, se deben considerar los siguientes elementos:
a) una definición de la información a ser protegida;b) duración esperada del acuerdo, incluyendo casos donde la confidencialidad pueda necesitar ser mantenida indefinidamente;c) acciones requeridas cuando un acuerdo sea finalizado;d) responsabilidades y acciones de los signatarios para evitar acceso desautorizado a la información
Contacto con autoridades
Las organizaciones deben de tener procedimientos instalados que especifiquen cuando y porque autoridades deben ser contactadas y como los incidentes identificados en la seguridad de información deben ser reportados de una manera oportuna si se sospecha que las leyes han sido rotas.
Contacto con grupos de interés especial
Deben mantenerse contactos apropiados con grupos de interés
especial u otros especialistas en foros de seguridad y asociaciones
profesionales
a) mejorar el conocimiento sobre mejores prácticas y estar actualizado con información relevante de seguridadb) asegurar que el entendimiento del ambiente de seguridad de información es actual y completoc) recibir alertas de detección temprana, advertencias y parches que para los ataques y a las vulnerabilidades
d) ganar acceso a consejos especializados de seguridad de información;e) compartir e intercambiar información sobre nuevas tecnologías, productos, amenazas o vulnerabilidades;f) proveer puntos de enlaces convenientes cuando se trata con información de incidentes de seguridad
Revisión independiente de la seguridad de la
información.
El alcance de la organización para gestionar la seguridad de
información y su implementación (objetivos de control, controles, políticas, procesos y procedimientos
para seguridad de información) deben ser
revisados independientemente en intervalos planificados o
cuando cambios significativos a la puesta en marcha de la
seguridad ocurran.
• Esta revisión debe ser llevada a cabo por individuos independientemente del área bajo revisión. Los individuos que llevan a cabo estas revisiones deben de tener las habilidades y la experiencia apropiada.
• Los resultados de la revisión independiente deben ser registrados y reportados a la gerencia que inicio la revisión. Estos registros deben mantenerse.
CONTACTO CON AUTORIDADES
Las organizaciones deben de tener
procedimientos que especifiquen cuando y
porque autoridades deben ser
contactadas y como los incidentes
identificados en la seguridad de
información deben ser reportados.
Contactos con otras autoridades incluyen
utilidades, servicios de emergencia, seguridad y salud.
Los contactos con cuerpos regulatorios son útiles para anticiparse y prepararse a
próximos cambios en la ley o en las regulaciones, que deben ser seguidos por la organización.
CONTACTO CON GRUPOS DE INTERÉS ESPECIAL
Los contactos con grupos de interés especial u otros especialistas en foros de seguridad y
asociaciones profesionales deben ser considerados debido a que:
Los contactos con grupos de interés especial u otros especialistas en foros de seguridad y
asociaciones profesionales deben ser considerados debido a que:
a) Mejorar el conocimiento sobre mejores prácticas y estar actualizado. b) Ganar acceso a consejos especializados de seguridad de información.c) Compartir e intercambiar información sobre nuevas tecnologías, productos, amenazas o vulnerabilidades.
REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA
INFORMACIÓN
Esta revisión independiente es necesaria para asegurar la continua conveniencia, suficiencia y eficacia del alcance de la organización hacia la gestión de información de seguridad.
Los resultados de la revisión independiente deben ser registrados y reportados a la gerencia que inicio la revisión.
Las técnicas de revisión pueden incluir entrevistas
a la gerencia, comprobación de
expedientes o revisión de los documentos de la política de seguridad.
SEGURIDAD EN LOS ACCESOS DE TERCERAS
PARTES
Los acuerdos que permiten el acceso de terceros a recursos de tratamiento de información de la organización deberían estar basados en un contrato formal que contenga todos los requisitos de seguridad que cumplan las políticas y normas de seguridad de la organización.
Los acuerdos que permiten el acceso de terceros a recursos de tratamiento de información de la organización deberían estar basados en un contrato formal que contenga todos los requisitos de seguridad que cumplan las políticas y normas de seguridad de la organización.
IDENTIFICACIÓN DE RIESGOS POR EL ACCESO DE
TERCEROS
La identificación de los riesgos relacionados con el acceso a terceros debe de tomar en cuenta los siguientes puntos:
a) El tipo de acceso que terceros tendrán a la información y a las instalaciones del procesamiento de información.
b) Los controles necesarios para proteger la información que no debe ser accesible a terceros.
e) Requisitos legales y regulatorios u otras obligaciones contractuales relevantes a terceros que deben ser tomadas en cuenta.
REQUISITOS DE SEGURIDAD CUANDO SE TRATA CON
CLIENTES
Los siguientes términos deben ser considerados para ser
anexados a la seguridad antes de dar a los clientes acceso a los
activos de seguridad:
a) Protección de activos.b) La descripción del servicio o producto
disponible.c) Acuerdos sobre control de accesos.
a) Protección de activos.b) La descripción del servicio o producto
disponible.c) Acuerdos sobre control de accesos.
d) Arreglos para reportar, notificar e investigar inexactitudes de información (como detalles personales), incidentes y aberturas en la seguridad de información.
e) Las respectivas responsabilidades de la organización y de los clientes.
g) Los derechos de propiedad intelectual, protección contra copias y protección en tareas de colaboración.
g) Los derechos de propiedad intelectual, protección contra copias y protección en tareas de colaboración.
f) Las responsabilidades en materia de legislación.
OUTSOURCING
El objetivo de un contrato Outsourcing es mantener la Seguridad de la Información, cuando la responsabilidad de su tratamiento sea externalizado a otra organización.
El acuerdo debe asegurar que no exista desentendimiento entre la organización y las terceras partes.
Términos que se deben considerar en el acuerdo :
a) Los controles que aseguren la protección del activo.
b) Responsabilidades con respecto a la instalación y el mantenimiento del hardware y software
c) Una clara estructura y formatos de reportes.
d) El derecho para auditar responsabilidades definidas en el acuerdo, para que dichas auditorias sean llevadas a cabo por terceros y para enumerar los derechos estatutarios de los auditores.
d) El derecho para auditar responsabilidades definidas en el acuerdo, para que dichas auditorias sean llevadas a cabo por terceros y para enumerar los derechos estatutarios de los auditores.
e) Definir las responsabilidades de las partes del acuerdo.
f) Responsabilidades con respecto a temas legales.
g) Derechos de propiedad intelectual y de asignación de copyright y protección de cualquier otro trabajo de colaboración.
En el caso de que las terceras partes sean incapaces de suministrar sus servicios, necesitan ser considerados en el acuerdo con el fin de evitar cualquier retraso en hallar servicios de reemplazo.
En el caso de que las terceras partes sean incapaces de suministrar sus servicios, necesitan ser considerados en el acuerdo con el fin de evitar cualquier retraso en hallar servicios de reemplazo.
