Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NTP-ISO/IEC 17799
NTP-ISO/IEC 17799
NTP - Norma Tcnica Peruana ISO - International Standard Organization IEC - International Electrotechnical Commission 17799:2007 - es un estndar para la seguridad de la informacin
Nota: El estndar ISO/IEC 17799 se origina por 1ra vez en 1995 en el British Standard BS 7799-1
NTP-ISO/IEC 17799
IEC son los mayores proveedores de electricidad que promueven el desarrollo de la energa mediante la electricidad en el mundo. Berlin, Alemania Mayo 2012 CEOs y altos ejecutivos de las compaas ms grandesy poderosas responsables de la produccin, transmisin y distribucin de energa en el campo de la electricidad. Se reunieron para analizar y tomar decisiones sobre: Sustentabilidad Costos Accesibilidad - asegurar el cuidado de este recurso. - es un producto de primera necesidad. - no importa que tan pobre, o que tan lejos. un producto necesario para todos.
NTP-ISO/IEC 17799
International Organization for Standardization (ISO) La mayor organizacin de estandarizacin en el mundo. Promueve las buenas prcticas en diferentes reas. Se publica por 1ra vez en el 2000: ISO/IEC 17799:2000
Information Technology Security Techniques Code of Practice for Information Security Management
NTP-ISO/IEC 17799
NTP-ISO/IEC 17799
El cambio de nombre ha sido iniciado por la mismo ISO con el objetivo de mantenerla bajo la misma estructura de la serie: ISO 27000.
NTP-ISO/IEC 17799
La Norma especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin. Esta metodologa es una estrategia de mejora continua que pone en prctica el Crculo de Deming (de Edward Deming):
NTP-ISO/IEC 17799
NTP-ISO/IEC 17799
La Norma Tcnica Peruana ha sido elaborada por el Comit Tcnico de Normalizacin de Codificacin e Intercambio Electrnico de Datos (EDI):
Aprobada en 2007: NTP-ISO/IEC 17799:2007 Publicada en El Peruano Resolucin Ministerial N247-2007-PCM (Presidencia del Consejo de Ministros) Uso obligatorio en todas las entidades que son parte del Sistema Nacional de Informtica. La Norma es una adopcion de la 17799:2005. Los cambios hechos responden a las Guias Peruanas (GP 001:1995 y GP 002:1995) para adaptarlos el idioma espaol.
NTP-ISO/IEC 17799
1. Como aplicarla en el Per? Ofrece recomendaciones para implementar la Gestin de la Seguridad de la Informacin.
Sirve como una Gua Prctica para desarrollar Estndares Organizacionales de Seguridad y Prcticas Efectivas. Proporciona confianza en las relaciones entre organizaciones.
NTP-ISO/IEC 17799
Como empezar?
Establecer polticas Implementar cambios Monitorear procesos Revisar reportes Mejorar procesos continuamente
Para que?
Asegurar la continuidad de la empresa. Minimizar daos. Maximizar inversiones. Asegurar la eficiencia.
NTP-ISO/IEC 17799
INFORMACIN SGSI
AMENAZAS
ACTIVOS
La informacin adopta diversas formas, puede estar impresa, escrita, almacenada,transmitida por correo, video o hablada. Es necesario proteger todos los medios por los cuales se comparte.
NTP-ISO/IEC 17799
NTP-ISO/IEC 17799
El SGSI protege un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de la inversin.
Hoy las empresas enfrentan ms riesgos que aparecen de diferentes sitios, que traen diferentes daos, ataques inesperados, que son cada vez ms comunes, ambiciosos y sofisticados.
NTP-ISO/IEC 17799
Identificar las amenazas a los activos. Evaluar la vulnerabilidad y la Probabilidad de que ocurra, y medir cual seria el impacto. Analizar la vigencia y el detalle de los contratos con los proveedores, con los socios comerciales, contratistas,etc.
Los requisitos se identifican mediante una evaluacin metdica de los riesgos. El gasto debe equilibrarse con el posible impacto econmico. Los resultados de la evaluacin determinarn la accin y las prioridades para gerenciar los riesgos y decidir cuales son los controles a implementar.
Norma Tcnica Peruana 2. Vocabulario Qu es un activo? Algo que tenga valor para lo organizacin. Qu quiere decir una Pauta? Descripcin que aclara que es lo que se debe hacer y como se hace, con el fin de alcanzar los objetivos planteados en las polticas. Qu quiere decir un Evento?
NTP-ISO/IEC 17799
Ocurrencia identificada en un sistema, servicio, o red. Indica una posible brecha de la poltica de seguridad de informacin o fallas de las salvaguardias, o una situacin desconocida que puede ser relevante para la seguridad.
Qu quiere decir un Incidente? Uno o varias series de eventos inesperados, no deseados que tienen una gran probabilidad de comprometer las operaciones de negocios y de amenazar la seguridad de informacin.
Norma Tcnica Peruana 2. Vocabulario POLITICA Ha sido aprobada y comunicada por la Direccin General. Representa una obligacin de la empresa. POLITICA-RIESGO Combinacin de la probabilidad de un evento y sus consecuencias.
NTP-ISO/IEC 17799
ANALISIS DE RIESGO Uso sistemtico de la informacin para identificar fuentes y estimar el riesgo. EVALUACION DE RIESGO Proceso general de anlisis y evaluacin del riesgo. VALORACION DEL RIESGO Proceso de comparacin del riesgo estimado contra el criterio del riesgo dado para determinar el significado de este.
NTP-ISO/IEC 17799
GESTIN DEL RIESGO: Actividades coordinadas para dirigir y controlar una organizacin considerando el riesgo.
TRATAMIENTO DEL RIESGO: Actividades coordinadas para dirigir y controlar una organizacin considerando el riesgo. TERCEROS: Persona independiente reconocida por las partes involucradas concerniente al tema en cuestin. AMENAZA: Causa potencial de un incidente no deseado que puede resultar en dao al sistema u organizacin. VULNERABILIDAD: Debilidad de un activo que puede ser explotados por una amenaza.
NTP-ISO/IEC 17799
01
Cada clasula, tiene objetivos especficos, y por consiguiente tiene controles especficos para cada area. Cada control tiene una Gua que especifca como implantarla.
02
02 03 02 10
07 06 02 01 03
Norma Tcnica Peruana 3. Estructura del Estndar Cules controles de la ISO 27002 son los ms importantes? Depende de la empresa. Sin embargo, las areas legales siempre son las ms importantes, y estn consideradas entre las mejores prcticas. 12.1.2 12.1.3 12.1.4 3.1.1 4.1.3 6.2.1 6.3.1 11.1 - intellectual property rights - safeguarding of organizational records - data protection and privacy of personal information - information security policy document - allocation of information security responsibilities - information security education and training - reporting security incidents - business continuity management
NTP-ISO/IEC 17799
NTP-ISO/IEC 17799
NTP-ISO/IEC 17799
GUIAR Y DETERMINAR LA APROPIADA ACCIN DE GESTIN LAS PRIORIDADES PARA MANEJAR LA INFORMACIN DE LOS RIESGOS DE SEGURIDAD IMPLEMENTAR CONTROLES SELECCIONADOS PARA PROTEGER ESTOS RIESGOS
NTP-ISO/IEC 17799
NTP-ISO/IEC 17799
LA ALTA DIRECCION DEBE APROBAR, APOYAR, DIRIGIR, COMUNICAR, Y HACERLA VISIBLE PARA QUE LA EMPRESA SEPA DE LA IMPORTANCIA DEL SISTEMA.
La poltica es la base de todo el Sistema de Seguridad de la Informacin. Es necesario el apoyo de la alta direccin. Este apoyo debe ser visible a toda la organizacin.
NTP-ISO/IEC 17799
NTP-ISO/IEC 17799
Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad de los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin que son accedidos por terceros. Mantener la seguridad de la informacin cuando la responsabilidad de su tratamiento se ha externalizado a otra organizacin. Debe disearse una estructura organizativa dentro de la compaa que defina las responsabilidades en seguridad que tiene cada usuario o rea de trabajo relacionada con los sistemas de informacin. Dicha estructura debe poseer un enfoque multidisciplinario, los problemas de seguridad no son exclusivamente tcnicos.
NTP-ISO/IEC 17799
7.1 Responsabilidad sobre los activos 7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 7.1.3 Uso adecuado de los activos 7.2 Clasificacin de la informacin 7.2.1 Guas de clasificacin 7.2.2 Mercado y tratamiento de la informacin
NTP-ISO/IEC 17799
Mantener una proteccin adecuada sobre los activos de la organizacin. Asegurar un nivel de proteccin adecuado a los activos de informacin.
Debe definirse una clasificacin de los activos relacionados con los sistemas de informacin, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de proteccin adecuado a su criticidad en la organizacin.
NTP-ISO/IEC 17799
Asegurar que los empleados, contratistas y terceros entiendas sus responsabilidades y que tengan el perfil adecuado. As se reduce el riesgo de hurto, fraude o mal uso de las instalaciones. Las responsabilidades y funciones deben estar descritas en trminos y condiciones antes de emplear a personas. Los candidatos deben ser adecuadamente seleccionados, especialmente para trabajos sensibles.
NTP-ISO/IEC 17799
Las responsabilidades de la gerencia deben ser definidas para asegurar la seguridad dentro de la organizacin. Empleados deben estar consientes de las amenazas y riesgos. Deben estar preparados para sostener la poltica de seguridad de la empresa. Parte del trabajo debe incluir reducir el riesgo de error humano.
Los empleados deben tener un nivel adecuado de conocimiento y educacin de los procedimientos de seguridad y el correcto uso de las instalaciones .
NTP-ISO/IEC 17799
Asegurar que los empleados no eticos salgan de una forma ordenada. Las salida debe ser manejada ordenadamente. Asegurar el retorno de los equipos El retiro de los derechos de acceso se complete ordenamente. Cambios de responsabilidad deben ser manejados con la respectiva responsabilidad.
NTP-ISO/IEC 17799
Evitar accesos no autorizados. Evitar daos o interferencias contra los locales y contra la informacin. La informacin crtica o sensible debe ubicarse en reas protegidas por un permetro de seguridad definido, con barreras de seguridad y controles de entrada apropiados. Dicha proteccin debera ser proporcional a los riesgos.
NTP-ISO/IEC 17799
Los equipos deben estar fsicamente protegidos de las amenazas. Deben tomarse medidas o controles especiales contra riesgos de accesos no autorizados para evitar prdidas, daos o comprometer los activos as como la interrupcin de las actividades. Tambin se debera considerar su instalacin (incluyendo su uso fuera del local) y disponibilidad.
NTP-ISO/IEC 17799
Asegurar una correcta seguridad de los recursos. Establecer responsabilidades y procedimientos para la gestin y operacin de todos los recursos de tratamiento de informacin. Desarrollar instrucciones y procedimientos de respuesta a incidencias. Implantar la segregacin de tareas. Reducir el riesgo de un mal uso del sistema deliberado o por negligencia.
NTP-ISO/IEC 17799
Mantener un nivel apropiado de seguridad. Mantener una entrega de servicio en lnea con los acuerdos con terceros. Verificar la conformidad con los acuerdos. Asegurar que los cambios a los acuerdos gestionados se cumplen.
NTP-ISO/IEC 17799
Minimizar el riesgo de fallos de los sistemas. Son necesarios una planificacin y preparacin para asegurar la disponibilidad de capacidad y de recursos adecuados para entregar el sistema de funcionamiento requerido. Deberan realizarse proyecciones de los requisitos futuros de capacidad para reducir el riesgo de sobrecarga del sistema. Se debera establecer, documentar y probar, antes de su aceptacin, los requisitos operacionales de los sistemas nuevos.
NTP-ISO/IEC 17799
NTP-ISO/IEC 17799
NTP-ISO/IEC 17799
NTP-ISO/IEC 17799
Prevenir acceso no autorizado, modificaciones, evitar daos a los activos e interrupciones de las actividades de la organizacin.
NTP-ISO/IEC 17799
NTP-ISO/IEC 17799
NTP-ISO/IEC 17799
10.10 Monitoreo.
10.10.1 10.10.2 10.10.3 10.10.4 10.10.5 10.10.6 Registro de la auditoria Monitoreando el uso del sistema. Proteccin de la informacin de registro. Registro de administradores y operadores. Registro de la avera. Sincronizacin del reloj.
NTP-ISO/IEC 17799
Controlar los accesos a la informacin. Se debera controlar el acceso a la informacin y los procesos del negocio sobre la base de los requisitos de seguridad y negocio.
Se deberan tener en cuenta para ello las polticas de distribucin de la informacin y de autorizaciones.
NTP-ISO/IEC 17799
CONTROL: Debe ser establecida documentada y revisada. GUIA DE IMPLEMENTACION: Establecer polticas de acceso, reglas y derechos de cada usuario. Contemplar:
Requisitos
de seguridad. Polticas de distribucin. Autorizaciones. Perfiles de acceso de usuario. Requerimientos para la autorizacin formal de los pedidos de acceso. Revision peridica de los controles de acceso.
NTP-ISO/IEC 17799
Asegurar el acceso autorizado del usuario y prevenir accesos no autorizados a la informacin. Establecer procedimientos formales para controlar la asignacin de los derechos de acceso a los sistemas y servicios. Estos procedimientos deberan cubrir todas las etapas del ciclo de vida del acceso de los usuarios, desde el registro inicial de los nuevos hasta la baja del registro de los usuarios que ya no requieran dicho acceso a los sistemas y servicios.
NTP-ISO/IEC 17799
CONTROL: Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. GUIA DE IMPLEMENTACION deberia contemplar:
Identificador nico para cada usuario. Permitir identificador de grupo cuando sea conveniente. Verificacion del Nivel de Acceso con las polticas de seguridad. Entrega al usuario por escrito de sus derechos de acceso. Reconocimiento del usuario mediante firma de la comprensin de las condiciones de acceso
Nota: Considerar la inclusin de clusulas en los contratos laborales y de servicio que especifiquen sanciones si sus signatarios realizan accesos no autorizados.
NTP-ISO/IEC 17799
Establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
NTP-ISO/IEC 17799
Evitar el acceso de usuarios no autorizados y el compromiso o hurto de la informacin y de las instalaciones del procesamiento de informacin.
NTP-ISO/IEC 17799
Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas
11.3.2 Equipo informtico de usuario desatendido.
Los usuarios deberan asegurar que los equipos informticos desatendidos estn debidamente protegidos.
Adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin.
NTP-ISO/IEC 17799
Prevenir el acceso no autorizado de los servicios de la red. Debera controlarse el acceso a los servicios a las redes internas y externas. Asegurar que el acceso de los usuarios a las redes y sus servicios no comprometan la seguridad de dichos servicios mediante: a) interfaces adecuadas entre la red de la organizacin y las redes pblicas o las privadas de otras organizaciones; b) mecanismos adecuados de autenticacin para los usuarios y los equipos; c) control de los accesos de los usuarios a los servicios de informacin.
NTP-ISO/IEC 17799
Los usuarios slo deben tener acceso directo a los servicios para los que estn autorizados de una forma especfica.
11.4.2 Autenticacin de usuario para conecciones externas.
Las identificaciones automticas de equipo deben ser consideradas como medios para autentificar conexiones desde locales y equipos especficos.
NTP-ISO/IEC 17799
Los grupos de servicios de informacin, usuarios y sistemas de informacin deben ser segregados en las redes.
11.4.6 Control de conecciones a las redes.
Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones del negocio.
NTP-ISO/IEC 17799
Se deberan implementar controles de enrutamiento que garanticen que las conexiones entre computadores y los flujos de informacin no incumplan la poltica de control de acceso a las aplicaciones.
NTP-ISO/IEC 17799
Evitar accesos no autorizados a los computadores. Las prestaciones de seguridad a nivel de sistema operativo se deberan utilizar para restringir el acceso a los recursos del computador. Estos servicios deberan ser capaces de: a) identificar y verificar la identidad de cada usuario autorizado en concordancia con una poltica definida de control de acceso; b) registrar los accesos satisfactorios y fallidos al sistema; c) registrar el uso de privilegios especiales del sistema; d) alarmas para cuando la poltica del sistema de seguridad sea abierta; e) suministrar mecanismos, adecuados de autenticacin; f) cuando proceda, restringir los tiempos de conexin de usuarios
NTP-ISO/IEC 17799
El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro.
11.5.2 Identificacin y autentificacin del usuario.
Todos los usuarios deberan disponer de un identificador nico para su uso personal y debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos.
11.5.3 Sistema de gestin de contraseas.
Debern proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas.
NTP-ISO/IEC 17799
11.5.4 Utilizacin de las facilidades del sistema. La mayora de las instalaciones informticas disponen de programas del sistema capaces de eludir las medidas de control del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado. 11.5.5 Desconeccin automtica de sesiones.
Las restricciones en los tiempos de conexin ofrecen seguridad adicional para aplicaciones de alto riesgo..
NTP-ISO/IEC 17799
11.6 Control de acceso a las aplicaciones y la informacin. Prevenir el acceso no autorizado a la informacin contenida en los sistemas. Controlar el acceso de los usuarios a la informacin y las funciones del sistema de acuerdo a las politicas de control de accesos. Protegerse de acceso no autorizados desde otras facilidades o software capaces de eludir los controles del sistema o aplicaciones. No comprometer la seguridad de otros sistema con los que se compartan recursos de informacin.
NTP-ISO/IEC 17799
Garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil y teletrabajo. La proteccin requerida debera ser proporcional a los riesgos que causan estas formas especficas de trabajo. Se deberan considerar los riesgos de trabajar en un entorno desprotegido cuando se usa informtica mvil y aplicar la proteccin adecuada. En el caso del teletrabajo la organizacin debera implantar proteccin en el lugar del teletrabajo y asegurar que existen los acuerdos adecuados para este tipo de trabajo.
NTP-ISO/IEC 17799
Reportar eventos y debilidades de la seguridad de informacin lo ms rpido posible a travs de una gestin de canales apropiada.
Asegurar que los eventos y debilidades en la seguridad de informacin sean comunicados de una manera que permita que se realice una accin correctiva a tiempo. Establecer un punto de contacto para el reporte De incidencias y o eventos.
Lugar de reporte debe ser conocido a travs de la organizacin, que este siempre disponible y que sea capaz de proveer una respuestas adecuada y a tiempo.
NTP-ISO/IEC 17799
Ejemplos de eventos e incidentes en la seguridad de informacin son: a) perdida de servicio, equipo o instalaciones. b) sobrecargo o mal funcionamiento del sistema. c) errores humanos. d) no conformidades con polticas o pautas. e) aberturas en los arreglos de seguridad fsica. f) cambios incontrolables en el sistema. g) mal funcionamiento del software o hardware. h) violacin de acceso.
NTP-ISO/IEC 17799
Asegurar un alcance consistente y efectivo aplicado a la gestin de incidentes en la seguridad de informacin. Las responsabilidades y procedimientos deben establecerse para maniobrar los eventos y debilidades en la seguridad de informacin de una manera efectiva una vez que hayan sido reportados. Un proceso de mejora continua debe ser aplicado en respuesta al monitoreo, evaluacin y gestin general de los incidentes en la seguridad de informacin.
NTP-ISO/IEC 17799
Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente a grandes fallos de los sistemas de informacin o desastres. Se debera implantar un proceso de gestin de continuidad del negocio para reducir, a niveles aceptables, la interrupcin causada por los desastres y fallas de seguridad (que, por ejemplo, puedan resultar de desastres naturales, accidentes, fallas de equipos o acciones deliberadas) mediante una combinacin de controles preventivos y de recuperacin.
NTP-ISO/IEC 17799
Se deben analizar las consecuencias de los desastres, fallas de seguridad, prdidas de servicio y la disponibilidad del servicio.
Se deberan desarrollar e implantar planes de contingencia para asegurar que los procesos del negocio se puedan restaurar en los plazos requeridos.
La seguridad de informacin debe ser una parte integral del plan general de continuidad del negocio y de los dems procesos de gestin dentro de la organizacin.
NTP-ISO/IEC 17799
15. Cumplimiento.
OBJETIVO: Evitar los incumplimientos de cualquier ley civil o penal, requisito reglamentario, regulacin u obligacin contractual, y de todo requisito de seguridad.
Se debera buscar el asesoramiento sobre requisitos legales especficos de los asesores legales de la organizacin, o de profesionales de derecho calificados.
NTP-ISO/IEC 17799
15. Cumplimiento.
Asegurar la conformidad de los sistemas con las polticas y normas de seguridad. Se deberan hacer revisiones regulares de la seguridad de los sistemas de informacin. stas se deberan atener a las polticas de seguridad apropiadas y se auditar el cumplimiento de las normas de implantacin de la seguridad en los sistemas de informacin y en los controles de seguridad implementados.
NTP-ISO/IEC 17799
15. Cumplimiento.
Maximizar la efectividad y minimizar las interferencias en el proceso de auditoria del sistema. Se deberan establecer controles para salvaguardar los sistemas operativos y las herramientas de auditoria durante las auditorias del sistema. Tambin se requiere proteccin para salvaguardar la integridad y evitar el mal uso de las herramientas de auditoria.