Normas tecnicas peruanas

29
BASADO EN EL ISO 17799 SOBRE SEGURIDAD INFORMATICA

Transcript of Normas tecnicas peruanas

Page 1: Normas tecnicas peruanas

BASADO EN EL ISO 17799

SOBRE SEGURIDAD INFORMATICA

Page 2: Normas tecnicas peruanas

La Normalización es una actividad necesaria, de elevada importancia que según AENOR (1993) "pretende establecer un proceso por el cual se unifican criterios respecto a determinadas materias y se posibilita la utilización de un lenguaje común en un campo de actividad concreto", y que además puede ser creativa y apasionante si se enfoca adecuadamente.

Page 3: Normas tecnicas peruanas

Es la expresión práctica de la normalización mediante la cual el fabricante, consumidores, usuarios y administradores acuerdan las características técnicas que deberá reunir un producto o un servicio. La ISO (1992) la define como: "Especificación técnica accesible al público, establecida con la cooperación y el consenso o la aprobación general de todas las partes interesadas, basadas en los resultados conjuntos de la ciencia y la tecnología y la experiencia, que tiene por objetivo el beneficio óptimo de la comunidad y que ha sido aprobado por un organismo cualificado a nivel nacional, regional o internacional." Es decir que es un documento técnico voluntario que contiene especificaciones de calidad, terminología, métodos de ensayo, información de rotulado, etc.

Page 4: Normas tecnicas peruanas

Fabricantes a través de sus organizaciones sectoriales y en su condición de empresa;

Usuarios y consumidores a través de sus organizaciones y a título personal;

Administración pública, como veladora del bien público y de los intereses de los ciudadanos;

Centros de investigación y laboratorios aportando su experiencia y dictamen técnico;

Profesionales a través de asociaciones y colegios profesionales o empresas;

Expertos en el tema que se normalice, nombrados a título personal"

Page 5: Normas tecnicas peruanas

En Perú, la Normalización como actividad sistemática y organizada es de origen reciente. Como primer intento de unificación, se dio la Ley de Pesas y Medidas el 16 de diciembre de 1862, siendo Presidente el General Miguel San Román, por la que se estableció el Sistema Métrico Decimal, cambiando las unidades de medida usadas hasta ese momento en el país, que se derivaran principalmente de las coloniales e incaicas. Posteriormente, la preocupación por la normalización se plasma en una serie de reglamentos y códigos de construcción.

Page 6: Normas tecnicas peruanas

La normalización tal como se entiende actualmente, se inicia con la creación del Instituto Nacional de Normas Técnicas Industriales y Certificación (INANTIC) con ley de Promoción Industrial Nº 13270 de noviembre de 1959, que continuó sus actividades hasta 1970. La Ley General de Industrias D.L. Nº 18350 y posteriormente, los D.L. 19262 y 19565 crean y fijan objetivos y funciones del Instituto Nacional de Investigación Tecnológica y Normas Técnicas (ITINTEC), que funcionó hasta noviembre de 1992. Actualmente las labores de normalización están a cargo del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI), creado por Ley 25818 del 24 de noviembre de 1992.

Page 7: Normas tecnicas peruanas

La Organización Internacional para la Estandarización (ISO) es una federación de alcance mundial integrada por cuerpos de estandarización nacionales de 130 países, uno por cada país.

La ISO es una organización no gubernamental establecida en 1947. La misión de la ISO es promover el desarrollo de la estandarización y las actividades con ella relacionada en el mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la cooperación en la esfera de lo intelectual, científico, tecnológico y económico.

Todos los trabajos realizados por la ISO resultan en acuerdos internacionales los cuales son publicados como Estándares Internacionales.

Page 8: Normas tecnicas peruanas

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización.

ISO 17799 define la información como un activo que posee valor para organización y requiere por tanto de una protección adecuada.

El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.

Page 9: Normas tecnicas peruanas

La seguridad de la información se define como la preservación de Integridad, Disponibilidad y Confidencialidad de los activos de información.

El objetivo de la norma es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.

La adaptación peruana de la norma es la NORMA TECNICA PERUANA NTP-ISO/IEC 17799

Page 10: Normas tecnicas peruanas

La presente Norma Técnica Peruana fue elaborada por el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI), mediante el Sistema 1 u Adopción, durante los meses de agosto a noviembre del 2003, utilizando como antecedente a la Norma ISO/IEC 17799:2000 Information technology – Code of practice for information security management.

El Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI) presentó a la Comisión de Reglamentos Técnico y Comerciales -CRT, con fecha 2003-12-02, el PNTP-ISO/IEC 17799:2003 para su revisión y aprobación; siendo sometido a la etapa de Discusión Pública el 2004-01-27. No habiéndose presentado ninguna observación, fue oficializada como Norma Técnica Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, 1ª Edición, el 27 marzo del 2004.

Page 11: Normas tecnicas peruanas

En Perú la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde el año 2004, estandarizando de esta forma los diversos proyectos y metodologías en este campo, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales, la supervisión de su cumplimiento esta a cargo de la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI.

ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información.

Page 12: Normas tecnicas peruanas

La seguridad de la Información se define en el estándar como la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran).

Page 13: Normas tecnicas peruanas

Política de seguridad Aspectos organizativos para la seguridad Clasificación y control de activos Seguridad ligada al personal Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Gestión de incidentes de seguridad de la

información Gestión de continuidad de negocio Conformidad

Page 14: Normas tecnicas peruanas

Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.

Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos en el 2007.

Page 15: Normas tecnicas peruanas

Se encarga de dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos del negocio, las leyes y regulaciones.

La gerencia debería establecer de forma clara las líneas de la política de actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una política de seguridad en toda la organización.

Page 16: Normas tecnicas peruanas

Gestionar la seguridad de la información dentro de la organización.

Se deberá tomar una estructura de gestión para iniciar y controlar la implantación de la seguridad de la información dentro de la organización.

Es conveniente organizar foros de gestión adecuadas con las gerencias para aprobar la política de seguridad de la información, asignar roles de seguridad y coordinar la implantación de la seguridad en toda la organización.

Si fuera necesario, se debería facilitarse el acceso dentro de la organización a un equipo de consultores especializados en seguridad de la información. Deberían desarrollarse contactos con especialistas externos de seguridad para mantener al día en las tendencias de la industria. La evolución de las normas y los métodos de evaluación, así como tener un punto de enlace para tratar las incidencias de seguridad. Debería fomentarse un enfoque multidisciplinario de la seguridad de la información.

Page 17: Normas tecnicas peruanas

Mantener una protección adecuada sobre los activos de la organización.

Todos los activos deben ser considerados y tener un propietario asignado.

Deberían identificarse los propietarios para todos los activos importantes. Y se debería asignar la responsabilidad del mantenimiento de los controles apropiados. La responsabilidad de la implantación de controles debería delegarse. Pero la responsabilidad debería mantenerse en el propietario designado al activo.

Page 18: Normas tecnicas peruanas

Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades y que sean adecuados para los roles que han sido considerados, reduciendo el riesgo de hurto, fraude o mal uso de instalaciones.

Las responsabilidades de la seguridad se deben tratar antes del empleo en funciones adecuadas descritas y en términos y condiciones del empleo.

Todos los candidatos para empleo, contratistas y usuarios de terceros deben ser adecuadamente seleccionados, especialmente para trabajos sensibles.

Empleados, contratistas, y terceros que utilizan las instalaciones del procedimiento de la información deben firmar un acuerdo de confidencialidad.

Page 19: Normas tecnicas peruanas

Evitar acceso no autorizados, daños de interferencias contra los locales u la información de la organización.

Los recursos para el tratamiento de información crítica o sensible para la organización deberían ubicarse en áreas seguras protegidas por un perímetro de seguridad definido, con barreras de seguridad y controles de entrada apropiados. Se debería dar protección física contra accesos no autorizados, daños e interferencias.

Dicha proporción debería ser proporcionada a los riesgos identificados.

Page 20: Normas tecnicas peruanas

Asegurar la operación correcta y segura de los recursos de tratamiento informáticos.

Se debería establecer responsabilidades y procedimientos para la gestión y operaciones de todos los recursos de tratamiento de información. Esto incluye el desarrollo de instrucciones apropiadas de operación y procedimientos de la respuesta ante incidencias.

Se impulsará la segregación de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso del sistema deliberado o por negligencia.

 

Page 21: Normas tecnicas peruanas

Controlar los accesos a la información.Se debería controlar el acceso a la

información y los procesos del negocio sobre la base de los requisitos de seguridad y negocios.

Se deberían tener en cuenta para ellos las políticas de distribución de la información y de autorizaciones.

Page 22: Normas tecnicas peruanas

Asegurar que la seguridad esté imbuida dentro de los sistemas de información.

Esto incluirá la infraestructura, las aplicaciones de negocios y las aplicaciones desarrolladas por usuarios. El diseño y la implantación de los procesos de negocios que soportan las aplicaciones o el servicio, pueden ser cruciales para la seguridad. Los requisitos de seguridad deberían ser identificados y consensuados antes de desarrollar los sistemas de información.

Page 23: Normas tecnicas peruanas

Asegurar que los eventos y debilidades en la seguridad de información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva a tiempo.

El reporte formal de eventos y los procedimientos de escalada deben estar implementados.

Todos los empleados, contratistas y terceros deben estar al tanto de los procedimientos para reportar los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad de los activos organizacionales. Se les debe requerir que reporten cualquier evento o debilidad en la seguridad de información, lo más rápido posible, al punto de contacto designado.

Page 24: Normas tecnicas peruanas

Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a grandes fallos de los sistemas de información o desastres.

Page 25: Normas tecnicas peruanas

Evitar los incumplimientos de cualquier ley civil o penal, reglamentario, regulación u oblicacion contractual, y de todo requisito de seguridad.

El diseño, operación, uso y gestión de los sistemas de información puede estar sujeto a requisitos estatuarios, regulatorios y contractuales de seguridad.

Se debería buscar el asesoramiento sobre requisitos legales específicos de los asesores legales de la organización, o de profesionales del derecho calificados. Los requisitos legales varían de un país a otro, al igual que en el caso de las transmisiones internacionales de datos(datos creados en un país y transmitidos a otro).

Page 26: Normas tecnicas peruanas
Page 27: Normas tecnicas peruanas
Page 28: Normas tecnicas peruanas

La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento.

Page 29: Normas tecnicas peruanas