Norma ISO IRAM 17799

download Norma ISO IRAM 17799

of 84

  • date post

    30-Mar-2016
  • Category

    Documents

  • view

    237
  • download

    0

Embed Size (px)

description

Norma ISO 17799

Transcript of Norma ISO IRAM 17799

NORMA ARGENTINA

Error!No se encuentra el origen de la referencia.IRAM 77013-3

ESQUEMA 1

ISOIEC17799

ISOIEC17799

REF NORMA \* MERGEFORMAT ISOIEC17799 SET NORMA 2002

2002

REF ao \* MERGEFORMAT 2002 SET ao Tecnologa de la informacin

Cdigo de prctica para la administracin de laseguridad de la informacin

Information technology.Code of practice for information security management.Este esquema est sometido a discu-

sin pblica. Las observaciones de-

ben remitirse fundadas y por escri-

to, al Instituto IRAM, Per 552 / 556 -

(C1068AAB) Buenos Aires antes del

2002-06-28

DOCUMENTO EN ESTUDIO

Prefacio

El Instituto Argentino de Normalizacin (IRAM) es una asociacin civil sin fines de lucro cuyas finalidades especficas, en su carcter de Organismo Argentino de Normalizacin, son establecer normas tcnicas, sin limitaciones en los mbitos que abarquen, adems de propender al conocimiento y la aplicacin de la normalizacin como base de la calidad, promoviendo las actividades de certificacin de productos y de sistemas de la calidad en las empresas para brindar seguridad al consumidor.

IRAM es el representante de la Argentina en la International Organization for Standardization (ISO), en la Comisin Panamericana de Normas Tcnicas (COPANT) y en la Asociacin MERCOSUR de Normalizacin (AMN).

Esta norma IRAM es el fruto del consenso tcnico entre los diversos sectores involucrados, los que a travs de sus representantes han intervenido en los Organismos de Estudio de Normas correspondientes.

Esta norma es una adopcin idntica de la norma ISO 17799:2000.

ndice

9INTRODUCCIN

Qu es la seguridad de la informacin ?9Por qu es necesaria la seguridad de la informacin9Cmo establecer los requerimientos de seguridad10Evaluacin de los riesgos en materia de seguridad10Seleccin de controles11Punto de partida para la seguridad de la informacin11Factores crticos del xito12Desarrollo de lineamientos propios121 ALCANCE132 TRMINOS Y DEFINICIONES133 POLTICA DE SEGURIDAD133.1 Poltica de seguridad de la informacin133.1.1 Documentacin de la poltica de seguridad de la informacin143.1.2 Revisin y evaluacin144 ORGANIZACIN DE LA SEGURIDAD154.1 Infraestructura de seguridad de la informacin154.1.1 Foro gerencial sobre seguridad de la informacin154.1.2 Coordinacin de la seguridad de la informacin154.1.3 Asignacin de responsabilidades en materia de seguridad de la informacin164.1.4 Proceso de autorizacin para instalaciones de procesamiento de informacin164.1.5 Asesoramiento especializado en materia de seguridad de la informacin174.1.6 Cooperacin entre organizaciones174.1.7 Revisin independiente de la seguridad de la informacin174.2 Seguridad frente al acceso por parte de terceros184.2.1 Identificacin de riesgos del acceso de terceras partes184.2.2 Requerimientos de seguridad en contratos con terceros194.3 Tercerizacin204.3.1 Requerimientos de seguridad en contratos de tercerizacin205 CLASIFICACIN Y CONTROL DE ACTIVOS215.1 Responsabilidad por rendicin de cuentas de los activos215.1.1 Inventario de activos215.2 Clasificacin de la informacin225.2.1 Pautas de clasificacin225.2.2 Rotulado y manejo de la informacin226 SEGURIDAD DEL PERSONAL236.1 Seguridad en la definicin de puestos de trabajo y la asignacin de recursos236.1.1 Inclusin de la seguridad en las responsabilidades de los puestos de trabajo236.1.2 Seleccin y poltica de personal236.1.3 Acuerdos de confidencialidad246.1.4 Trminos y condiciones de empleo246.2 Capacitacin del usuario246.2.1 Formacin y capacitacin en materia de seguridad de la informacin256.3 Respuesta a incidentes y anomalas en materia de seguridad256.3.1 Comunicacin de incidentes relativos a la seguridad256.3.2 Comunicacin de debilidades en materia de seguridad256.3.3 Comunicacin de anomalas del software266.3.4 Aprendiendo de los incidentes266.3.5 Proceso disciplinario267 SEGURIDAD FSICA Y AMBIENTAL267.1 reas seguras267.1.1 Permetro de seguridad fsica277.1.2 Controles de acceso fsico277.1.3 Proteccin de oficinas, recintos e instalaciones287.1.4 Desarrollo de tareas en reas protegidas287.1.5 Aislamiento de las reas de entrega y carga297.2 Seguridad del equipamiento297.2.1 Ubicacin y proteccin del equipamiento297.2.2 Suministros de energa307.2.3 Seguridad del cableado317.2.4 Mantenimiento de equipos317.2.5 Seguridad del equipamiento fuera del mbito de la organizacin317.2.6 Baja segura o reutilizacin de equipamiento.327.3 Controles generales327.3.1 Polticas de escritorios y pantallas limpias.327.3.2 Retiro de bienes338 GESTIN DE COMUNICACIONES Y OPERACIONES338.1 Procedimientos y responsabilidades operativas338.1.1 Documentacin de los procedimientos operativos338.1.2 Control de cambios en las operaciones348.1.3 Procedimientos de manejo de incidentes348.1.4 Separacin de funciones358.1.5 Separacin entre instalaciones de desarrollo e instalaciones operativas358.1.6 Administracin de instalaciones externas368.2 Planificacin y aprobacin de sistemas378.2.1 Planificacin de la capacidad378.2.2 Aprobacin del sistema378.3 Proteccin contra software malicioso388.3.1 Controles contra software malicioso388.4 Mantenimiento398.4.1 Resguardo de la informacin398.4.2 Registro de actividades del personal operativo398.4.3 Registro de fallas398.5 Administracin de la red408.5.1 Controles de redes408.6 Administracin y seguridad de los medios de almacenamiento408.6.1 Administracin de medios informticos removibles408.6.2 Eliminacin de medios informticos418.6.3 Procedimientos de manejo de la informacin418.6.4 Seguridad de la documentacin del sistema428.7 Intercambios de informacin y software428.7.1 Acuerdos de intercambio de informacin y software428.7.2 Seguridad de los medios en trnsito438.7.3 Seguridad del comercio electrnico438.7.4 Seguridad del correo electrnico448.7.5 Seguridad de los sistemas electrnicos de oficina458.7.6 Sistemas de acceso pblico458.7.7 Otras formas de intercambio de informacin469 CONTROL DE ACCESOS479.1 Requerimientos de negocio para el control de accesos479.1.1 Poltica de control de accesos479.2 Administracin de accesos de usuarios489.2.1 Registracin de usuarios489.2.2 Administracin de privilegios489.2.3 Administracin de contraseas de usuario499.2.4 Revisin de derechos de acceso de usuario499.3 Responsabilidades del usuario509.3.1 Uso de contraseas509.3.2 Equipos desatendidos en reas de usuarios509.4 Control de acceso a la red519.4.1 Poltica de utilizacin de los servicios de red519.4.2 Camino forzado519.4.3 Autenticacin de usuarios para conexiones externas529.4.4 Autenticacin de nodos529.4.5 Proteccin de los puertos (ports) de diagnostico remoto539.4.6 Subdivisin de redes539.4.7 Control de conexin a la red539.4.8 Control de ruteo de red549.4.9 Seguridad de los servicios de red549.5 Control de acceso al sistema operativo549.5.1 Identificacin automtica de terminales549.5.2 Procedimientos de conexin de terminales549.5.3 Identificacin y autenticacin de los usuarios559.5.4 Sistema de administracin de contraseas569.5.5 Uso de utilitarios de sistema569.5.6 Alarmas silenciosas para la proteccin de los usuarios569.5.7 Desconexin de terminales por tiempo muerto579.5.8 Limitacin del horario de conexin579.6 Control de acceso a las aplicaciones579.6.1 Restriccin del acceso a la informacin579.6.2 Aislamiento de sistemas sensibles589.7 Monitoreo del acceso y uso de los sistemas589.7.1 Registro de eventos589.7.2 Monitoreo del uso de los sistemas599.7.3 Sincronizacin de relojes609.8 Computacin mvil y trabajo remoto609.8.1 Computacin mvil609.8.2 Trabajo remoto6110 DESARROLLO Y MANTENIMIENTO DE SISTEMAS.6210.1 Requerimientos de seguridad de los sistemas.6210.1.1 Anlisis y especificaciones de los requerimientos de seguridad.6210.2 Seguridad en los sistemas de aplicacin6310.2.1 Validacin de datos de entrada6310.2.2 Controles de procesamiento interno.6310.2.3 Autenticacin de mensajes6410.2.4 Validacin de los datos de salida6410.3 Controles criptogrficos6510.3.1 Poltica de utilizacin de controles criptogrficos.6510.3.2 Cifrado6510.3.3 Firma digital6610.3.4 Servicios de no repudio6610.3.5 Administracin de claves6610.4 Seguridad de los archivos del sistema6810.4.1 Control del software operativo6810.4.2 Proteccin de los datos de prueba del sistema6810.4.3 Control de acceso a las bibliotecas de programa fuente6910.5 Seguridad de los procesos de desarrollo y soporte6910.5.1 Procedimientos de control de cambios6910.5.2 Revisin tcnica de los cambios en el sistema operativo7010.5.3 Restriccin del cambio en los paquetes de software7010.5.4 Canales ocultos y cdigo troyano7110.5.5 Desarrollo externo de software7111 ADMINISTRACIN DE LA CONTINUIDAD DE LOS NEGOCIOS7111.1 Aspectos de la administracin de la continuidad de los negocios7111.1.1 Proceso de administracin de la continuidad de los negocios7211.1.2 Continuidad del negocio y anlisis del impacto7211.1.3 Elaboracin e implementacin de planes de continuidad de los negocios7211.1.4 Marco para la planificacin de la continuidad de los negocios7311.1.5 Prueba, mantenimiento y reevaluacin de los planes de continuidad de los negocios7312 CUMPLIMIENTO7512.1 Cumplimiento de requisitos legales7512.1.1 Identificacin de la legislacin aplicable7512.1.2 Derechos de propiedad intelectual (dpi)7512.1.3 Proteccin de los registros de la organizacin7612.1.4 Proteccin de datos y privacidad de la informacin personal7712.1.5 Prevencin del uso inadecuado de los recursos de procesamiento de informacin7712.1.6 Regulacin de controles para el uso de criptografa7712.1.7 Recoleccin de evidencia7812.2 Revisiones de la poltica de seguridad y la compatibilidad tcnica7912.2.1 Cumplimiento de la poltica de seguridad7912.2.2 Verificacin de la compatibilidad tcnica7912.3 Consideraciones de auditoria de sistemas8012.3.1 Controles de auditoria de sistemas8012.3.2 Proteccin de las herramientas de auditora de sistemas80Anexo A (Informativo) Bibliografa81Anexo B (Informativo) Integra