Norma Tcnica Peruana

NTP-ISO/IEC 17799

NORMA TCNICA PERUANA NTP-ISO/IEC 17799:2007

Norma Tcnica Peruana

NTP-ISO/IEC 17799

NORMA TCNICA PERUANA NTP-ISO/IEC 17799:2007

NTP - Norma Tcnica Peruana ISO - International Standard Organization IEC - International Electrotechnical Commission 17799:2007 - es un estndar para la seguridad de la informacin

Nota: El estndar ISO/IEC 17799 se origina por 1ra vez en 1995 en el British Standard BS 7799-1

Norma Tcnica Peruana

NTP-ISO/IEC 17799

IEC son los mayores proveedores de electricidad que promueven el desarrollo de la energa mediante la electricidad en el mundo. Berlin, Alemania Mayo 2012 CEOs y altos ejecutivos de las compaas ms grandesy poderosas responsables de la produccin, transmisin y distribucin de energa en el campo de la electricidad. Se reunieron para analizar y tomar decisiones sobre: Sustentabilidad Costos Accesibilidad - asegurar el cuidado de este recurso. - es un producto de primera necesidad. - no importa que tan pobre, o que tan lejos. un producto necesario para todos.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

International Organization for Standardization (ISO) La mayor organizacin de estandarizacin en el mundo. Promueve las buenas prcticas en diferentes reas. Se publica por 1ra vez en el 2000: ISO/IEC 17799:2000

Information Technology Security Techniques Code of Practice for Information Security Management

Norma Tcnica Peruana

NTP-ISO/IEC 17799

NORMA PUBLICADA EN VARIOS PAISES

Norma Tcnica Peruana

NTP-ISO/IEC 17799

ISO / IEC 17799:2007 (denominada tambin como ISO 27002)

Porqu la norma ISO 17799 ha sido renombrada ISO 27002?

El cambio de nombre ha sido iniciado por la mismo ISO con el objetivo de mantenerla bajo la misma estructura de la serie: ISO 27000.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

La Norma especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin. Esta metodologa es una estrategia de mejora continua que pone en prctica el Crculo de Deming (de Edward Deming):

Plan - planificar Do - hacer Check - validar Act - actuar

Norma Tcnica Peruana

NTP-ISO/IEC 17799

Quin quines son los que acreditan?

Entidades terceras que comprueban que la empresa ha implementado controles de seguridad dentro de sus procesos. Como lo comprueban?

Comparndolo contra el estndar BS7799-2 / ISO 27001

Entre las ms importantes: SGS BSI Certification Europe DNV JACO IS KEMA KPMG SFS-Sertifiointi Oy STQC SAI Global Limited UIMCert GmbH

Norma Tcnica Peruana

NTP-ISO/IEC 17799

La Norma Tcnica Peruana ha sido elaborada por el Comit Tcnico de Normalizacin de Codificacin e Intercambio Electrnico de Datos (EDI):
Aprobada en 2007: NTP-ISO/IEC 17799:2007 Publicada en El Peruano Resolucin Ministerial N247-2007-PCM (Presidencia del Consejo de Ministros) Uso obligatorio en todas las entidades que son parte del Sistema Nacional de Informtica. La Norma es una adopcion de la 17799:2005. Los cambios hechos responden a las Guias Peruanas (GP 001:1995 y GP 002:1995) para adaptarlos el idioma espaol.

Comisin de Reglamentos Tcnicos y Comerciales

Norma Tcnica Peruana

NTP-ISO/IEC 17799

1. Como aplicarla en el Per? Ofrece recomendaciones para implementar la Gestin de la Seguridad de la Informacin.

Proporciona una base comn para desarrollar Normas de Seguridad.

Sirve como una Gua Prctica para desarrollar Estndares Organizacionales de Seguridad y Prcticas Efectivas. Proporciona confianza en las relaciones entre organizaciones.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

Qu significa Seguridad en la Informacin?

Implantar un conjunto de herramientas adecuado que protega los activos de la empresa: Polticas Prcticas Procedimientos Pautas Estructuras Organizativas Funciones de S/H

Como empezar?
Establecer polticas Implementar cambios Monitorear procesos Revisar reportes Mejorar procesos continuamente

Para que?
Asegurar la continuidad de la empresa. Minimizar daos. Maximizar inversiones. Asegurar la eficiencia.

En que reas? Administracin Tcnica Gerencial Legal

Norma Tcnica Peruana

NTP-ISO/IEC 17799

Cul es uno de los activos ms importantes de una empresa?

De qu manera se puede perder la informacin?

INFORMACIN SGSI
AMENAZAS

ACTIVOS

La informacin adopta diversas formas, puede estar impresa, escrita, almacenada,transmitida por correo, video o hablada. Es necesario proteger todos los medios por los cuales se comparte.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

Por qu es necesaria la Seguridad de la Informacin?

Mantener competitividad. Flujo de liquidez. Rentabilidad. Cumplimiento de la legalidad. Imagen comercial.

Nombra algunas maneras como se puede daar la informacin en los SI:

Norma Tcnica Peruana

NTP-ISO/IEC 17799

Por qu es necesaria la Seguridad de la Informacin ?

STOCKHOLDERS

El SGSI protege un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de la inversin.
Hoy las empresas enfrentan ms riesgos que aparecen de diferentes sitios, que traen diferentes daos, ataques inesperados, que son cada vez ms comunes, ambiciosos y sofisticados.

Cmo se implementan los controles para una eficiente Seguridad de la Informacin ?

SGSI: Sistema de Gestin de Seguridad de la Informacin.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

Cmo establecer los requisitos de Seguridad de la Informacin?

La empresa debe identificar los requisitos para su seguridad. Existen 3 fuentes principales:
VALORIZAR LOS RIESGOS DE LA ORGANIZACIN

Identificar las amenazas a los activos. Evaluar la vulnerabilidad y la Probabilidad de que ocurra, y medir cual seria el impacto. Analizar la vigencia y el detalle de los contratos con los proveedores, con los socios comerciales, contratistas,etc.

Identificar los requisitos de seguridad

REQUISITOS LEGALES, ESTATUTOS, REGULACIONES Y CONTRATOS

PRINCIPIOS, OBJETIVOS Y REQUISITOS

Esto es lo que dicta como trata la informacin la empresa.

Los requisitos se identifican mediante una evaluacin metdica de los riesgos. El gasto debe equilibrarse con el posible impacto econmico. Los resultados de la evaluacin determinarn la accin y las prioridades para gerenciar los riesgos y decidir cuales son los controles a implementar.

Norma Tcnica Peruana 2. Vocabulario Qu es un activo? Algo que tenga valor para lo organizacin. Qu quiere decir una Pauta? Descripcin que aclara que es lo que se debe hacer y como se hace, con el fin de alcanzar los objetivos planteados en las polticas. Qu quiere decir un Evento?

NTP-ISO/IEC 17799

Ocurrencia identificada en un sistema, servicio, o red. Indica una posible brecha de la poltica de seguridad de informacin o fallas de las salvaguardias, o una situacin desconocida que puede ser relevante para la seguridad.

Qu quiere decir un Incidente? Uno o varias series de eventos inesperados, no deseados que tienen una gran probabilidad de comprometer las operaciones de negocios y de amenazar la seguridad de informacin.

Norma Tcnica Peruana 2. Vocabulario POLITICA Ha sido aprobada y comunicada por la Direccin General. Representa una obligacin de la empresa. POLITICA-RIESGO Combinacin de la probabilidad de un evento y sus consecuencias.

NTP-ISO/IEC 17799

ANALISIS DE RIESGO Uso sistemtico de la informacin para identificar fuentes y estimar el riesgo. EVALUACION DE RIESGO Proceso general de anlisis y evaluacin del riesgo. VALORACION DEL RIESGO Proceso de comparacin del riesgo estimado contra el criterio del riesgo dado para determinar el significado de este.

Norma Tcnica Peruana 2. Vocabulario

NTP-ISO/IEC 17799

GESTIN DEL RIESGO: Actividades coordinadas para dirigir y controlar una organizacin considerando el riesgo.
TRATAMIENTO DEL RIESGO: Actividades coordinadas para dirigir y controlar una organizacin considerando el riesgo. TERCEROS: Persona independiente reconocida por las partes involucradas concerniente al tema en cuestin. AMENAZA: Causa potencial de un incidente no deseado que puede resultar en dao al sistema u organizacin. VULNERABILIDAD: Debilidad de un activo que puede ser explotados por una amenaza.

Norma Tcnica Peruana 3. Estructura del Estndar

NTP-ISO/IEC 17799

11 Clusulas de Control de Seguridad

1. Poltica de Seguridad 2. Organizacin de la SI 3. Gestin de Activos 4. Seguridad en Recursos Humanos 5. Seguridad Fsica y Ambiental 6. Gestin de las Comunicaciones y Operaciones 7. Control de Accesos 8. Adquisicin, Desarrollo y Mantenimiento de SI 9. Gestin de Incidentes en la SI 10. Gestin de Continuidad del Negocio 11. Cumplimiento

01

Cada clasula, tiene objetivos especficos, y por consiguiente tiene controles especficos para cada area. Cada control tiene una Gua que especifca como implantarla.

02
02 03 02 10

En total existen 133 controles.

Cada empresa debe identificar los controles apropiados para proteger su informacin. Debe planificarlo cuidadosamente prestando atencin a los detalles.

07 06 02 01 03

Total de 39 Categoras Principales

Norma Tcnica Peruana 3. Estructura del Estndar Cules controles de la ISO 27002 son los ms importantes? Depende de la empresa. Sin embargo, las areas legales siempre son las ms importantes, y estn consideradas entre las mejores prcticas. 12.1.2 12.1.3 12.1.4 3.1.1 4.1.3 6.2.1 6.3.1 11.1 - intellectual property rights - safeguarding of organizational records - data protection and privacy of personal information - information security policy document - allocation of information security responsibilities - information security education and training - reporting security incidents - business continuity management

NTP-ISO/IEC 17799

Norma Tcnica Peruana 3. Estructura del Estndar

NTP-ISO/IEC 17799

Norma Tcnica Peruana

NTP-ISO/IEC 17799

4. Evaluacin y Tratamiento del Riesgo

4.1 Evaluar los Riesgos de Seguridad

IDENTIFICAR CUANTIFICAR PRIORIZAR

RIESGOS

ACEPTAR EL RIESGO OBJETIVOS RELEVANTES

GUIAR Y DETERMINAR LA APROPIADA ACCIN DE GESTIN LAS PRIORIDADES PARA MANEJAR LA INFORMACIN DE LOS RIESGOS DE SEGURIDAD IMPLEMENTAR CONTROLES SELECCIONADOS PARA PROTEGER ESTOS RIESGOS

Norma Tcnica Peruana

NTP-ISO/IEC 17799

4. Evaluacin y Tratamiento del Riesgo

4.2 Tratar los Riesgos de Seguridad

Cmo tratar cada uno de los riesgos identificados?

POSIBLES OPCIONES:
APLICAR CONTROLES APROPIADOS PARA REDUCIR LOS RIESGOS IDENTIFICADOS ACEPTAR LOS RIESGOS OBJETIVAMENTE Y CON CONOCIMIENTO

NO REALIZAR ACCIONES QUE PUEDAN CAUSAR QUE RIESGOS OCURRAN

TRANSFERIR LOS RIESGOS ASOCIADOS A TERCEROS

Norma Tcnica Peruana 5. Polticas de Seguridad

5.1.1 Documento de Poltica de Seguridad de la Informacin
5.1.2 Revisin y Evaluacin

NTP-ISO/IEC 17799

LA ALTA DIRECCION DEBE APROBAR, APOYAR, DIRIGIR, COMUNICAR, Y HACERLA VISIBLE PARA QUE LA EMPRESA SEPA DE LA IMPORTANCIA DEL SISTEMA.

La poltica es la base de todo el Sistema de Seguridad de la Informacin. Es necesario el apoyo de la alta direccin. Este apoyo debe ser visible a toda la organizacin.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

6. Aspectos Organizativos para la Seguridad

6.1 Organizacin interna 6.1.1 Comit de gestin de seguridad de la informacin 6.1.2 Coordinacin de la seguridad de la informacin 6.1.3 Asignacin de responsabilidades sobre seguridad de la informacin 6.1.4 Proceso de autorizacin de recursos para el tratamiento de la informacin 6.1.5 Acuerdos de confidencialidad 6.1.6 Contacto con autoridades 6.1.7 Contacto con grupos de inters especial 6.1.8 Revisin independiente de la seguridad de la informacin 6.2 Seguridad en los accesos de terceras partes 6.2.1 Identificacin de riesgos por el acceso de terceros 6.2.2 Requisitos de seguridad cuando se trata con clientes 6.2.3 Requisitos de seguridad en contratos de outsourcing

Norma Tcnica Peruana

NTP-ISO/IEC 17799

6. Aspectos Organizativos para la Seguridad

Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad de los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin que son accedidos por terceros. Mantener la seguridad de la informacin cuando la responsabilidad de su tratamiento se ha externalizado a otra organizacin. Debe disearse una estructura organizativa dentro de la compaa que defina las responsabilidades en seguridad que tiene cada usuario o rea de trabajo relacionada con los sistemas de informacin. Dicha estructura debe poseer un enfoque multidisciplinario, los problemas de seguridad no son exclusivamente tcnicos.

Norma Tcnica Peruana 7. Clasificacin y Control de Activos

NTP-ISO/IEC 17799

7.1 Responsabilidad sobre los activos 7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 7.1.3 Uso adecuado de los activos 7.2 Clasificacin de la informacin 7.2.1 Guas de clasificacin 7.2.2 Mercado y tratamiento de la informacin

Norma Tcnica Peruana 7. Clasificacin y Control de Activos

NTP-ISO/IEC 17799

Mantener una proteccin adecuada sobre los activos de la organizacin. Asegurar un nivel de proteccin adecuado a los activos de informacin.
Debe definirse una clasificacin de los activos relacionados con los sistemas de informacin, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de proteccin adecuado a su criticidad en la organizacin.

Norma Tcnica Peruana 8. Seguridad de Recursos Humanos

NTP-ISO/IEC 17799

8.1 Seguridad antes del empleo

8.1.1 Inclusin de la Seguridad en las Responsabilidades y Funciones Laborales. 8.1.2 Seleccin y Poltica Personal. 8.1.3 Acuerdo de Confidencialidad

Asegurar que los empleados, contratistas y terceros entiendas sus responsabilidades y que tengan el perfil adecuado. As se reduce el riesgo de hurto, fraude o mal uso de las instalaciones. Las responsabilidades y funciones deben estar descritas en trminos y condiciones antes de emplear a personas. Los candidatos deben ser adecuadamente seleccionados, especialmente para trabajos sensibles.

Deben firmar un acuerdo de confiabilidad.

Norma Tcnica Peruana 8. Seguridad de Recursos Humanos

.8.2

NTP-ISO/IEC 17799

Objetivo durante el empleo

8.2.1 8.2.2 8.2.3 Responsabilidades de la gerencia. Conocimiento, educacin y entrenamiento de la seguridad de informacin. Proceso disciplinario.

Las responsabilidades de la gerencia deben ser definidas para asegurar la seguridad dentro de la organizacin. Empleados deben estar consientes de las amenazas y riesgos. Deben estar preparados para sostener la poltica de seguridad de la empresa. Parte del trabajo debe incluir reducir el riesgo de error humano.

Los empleados deben tener un nivel adecuado de conocimiento y educacin de los procedimientos de seguridad y el correcto uso de las instalaciones .

Norma Tcnica Peruana 8. Seguridad de Recursos Humanos

NTP-ISO/IEC 17799

8.3 Finalizacion o cambio del empleo

8.3.1 8.3.2 8.3.3 Responsabilidades de finalizacin Retorno de activos. Retiro de los derechos de acceso

Asegurar que los empleados no eticos salgan de una forma ordenada. Las salida debe ser manejada ordenadamente. Asegurar el retorno de los equipos El retiro de los derechos de acceso se complete ordenamente. Cambios de responsabilidad deben ser manejados con la respectiva responsabilidad.

Norma Tcnica Peruana 9. Seguridad Fsica del Entorno

NTP-ISO/IEC 17799

9.1 Areas Seguras

9.1.1 9.1.2 9.1.3 9.1.4 9.1.5 9.1.6 Permetro de seguridad fsica. Controles fsicos de entradas. Seguridad de oficinas, despachos y recursos. Proteccin contra amenazas externas y ambientales. El trabajo en las reas seguras. Acceso publico, reas de carga y descarga.

Evitar accesos no autorizados. Evitar daos o interferencias contra los locales y contra la informacin. La informacin crtica o sensible debe ubicarse en reas protegidas por un permetro de seguridad definido, con barreras de seguridad y controles de entrada apropiados. Dicha proteccin debera ser proporcional a los riesgos.

Norma Tcnica Peruana 9. Seguridad Fsica del Entorno

NTP-ISO/IEC 17799

9.2 Seguridad de los Equipos

9.2.1 9.2.2 9.2.3 9.2.4 9.2.5 9.2.6 9.2.7 Instalacin y proteccin de equipos. Suministro elctrico. Seguridad del cableado. Mantenimiento de equipos. Seguridad de equipos fuera de los locales de la de la organizacin. Seguridad en el rehso o eliminacin de equipos. Retiro de la propiedad.

Los equipos deben estar fsicamente protegidos de las amenazas. Deben tomarse medidas o controles especiales contra riesgos de accesos no autorizados para evitar prdidas, daos o comprometer los activos as como la interrupcin de las actividades. Tambin se debera considerar su instalacin (incluyendo su uso fuera del local) y disponibilidad.

Norma Tcnica Peruana 10. Gestin de Comunicaciones y Operaciones

NTP-ISO/IEC 17799

10.1 Procedimientos y responsablidades de operacion.

10.1.1 10.1.2 10.1.3 10.1.4 Documentacin de procedimientos operativos. Gestin de Cambios. Segregacin de tareas. Separacin de los recursos para desarrollo y para produccin.

Asegurar una correcta seguridad de los recursos. Establecer responsabilidades y procedimientos para la gestin y operacin de todos los recursos de tratamiento de informacin. Desarrollar instrucciones y procedimientos de respuesta a incidencias. Implantar la segregacin de tareas. Reducir el riesgo de un mal uso del sistema deliberado o por negligencia.

Norma Tcnica Peruana 10. Gestin de Comunicaciones y Operaciones

NTP-ISO/IEC 17799

10.2 Gestion de servicios externos.

10.2.1 10.2.2 10.2.3 Servicio de entrega. Monitoreo y revisin de los servicios externos. Gestionando cambios para los servicios externos.

Mantener un nivel apropiado de seguridad. Mantener una entrega de servicio en lnea con los acuerdos con terceros. Verificar la conformidad con los acuerdos. Asegurar que los cambios a los acuerdos gestionados se cumplen.

Norma Tcnica Peruana 10. Gestin de Comunicaciones y Operaciones

NTP-ISO/IEC 17799

10.3 Planificacion y aceptacion del sistema

10.3.1 10.3.2 Planificacin de la capacidad. Aceptacin del sistema.

Minimizar el riesgo de fallos de los sistemas. Son necesarios una planificacin y preparacin para asegurar la disponibilidad de capacidad y de recursos adecuados para entregar el sistema de funcionamiento requerido. Deberan realizarse proyecciones de los requisitos futuros de capacidad para reducir el riesgo de sobrecarga del sistema. Se debera establecer, documentar y probar, antes de su aceptacin, los requisitos operacionales de los sistemas nuevos.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

10. Gestin de Comunicaciones y Operaciones

10.4 Proteccin contra software malicioso.

10.4.1 Medidas y controles contra software malicioso. 10.4.2 Medidas y controles contra cdigo mvil.

Proteger la integridad del software y de la informacin.

Tomar precauciones para prevenir y detectar la introduccin de software malicioso.

Informar a los usuarios los peligros que puede ocasionar el software malicioso o no autorizado. Introducir controles y medidas especiales para detectar o evitar introduccin de todo tipo de software.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

10. Gestin de Comunicaciones y Operaciones

10.5 Gestin de respaldo y recuperacin.

Mantener la integridad y la disponibilidad de los servicios de tratamiento de informacin y comunicacin. Planificar como recuperar la informacion.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

10. Gestin de Comunicaciones y Operaciones

10.6 Gestin de seguridad de redes.

10.6.1 10.6.2 Controles de red Seguridad en los servicios de redes.

Asegurar la salvaguarda de la informacin en las redes y la proteccin de su infraestructura de apoyo

Norma Tcnica Peruana

NTP-ISO/IEC 17799

10. Gestin de Comunicaciones y Operaciones

10.7 Utilizacin de los medios de informacin.

10.7.1 10.7.2 10.7.3 10.7.4 sistemas. Gestin de medios removibles. Eliminacin de medios. Procedimientos de manipulacin de la informacin Seguridad de la documentacin de

Prevenir acceso no autorizado, modificaciones, evitar daos a los activos e interrupciones de las actividades de la organizacin.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

10. Gestin de Comunicaciones y Operaciones

10.8 Uintercambio de informacin.

10.8.1 10.8.2 10.8.3 10.8.4 10.8.5 Polticas y procedimientos para el intercambio de informacin y software Acuerdos de Intercambio. Medios fsicos en trnsito. Seguridad en la mensajera electrnica. Sistemas de Informacin de Negocios.

Evitar la prdida, modificacin o mal uso de la informacin intercambiada entre organizaciones.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

10. Gestin de Comunicaciones y Operaciones

10.9 Servicio de correo electrnico.

10.9.1 10.9.2 10.9.3 Comercio Electrnico. Transacciones en lnea. Informacin publica disponible.

Asegurar la seguridad de los servicios de comercio electrnico y de su uso seguro.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

10. Gestin de Comunicaciones y Operaciones

10.10 Monitoreo.
10.10.1 10.10.2 10.10.3 10.10.4 10.10.5 10.10.6 Registro de la auditoria Monitoreando el uso del sistema. Proteccin de la informacin de registro. Registro de administradores y operadores. Registro de la avera. Sincronizacin del reloj.

Detectar las actividades de procesamiento de informacin no autorizadas.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Accesos

11.1 Requisito de negocio para el control de acceso.

Controlar los accesos a la informacin. Se debera controlar el acceso a la informacin y los procesos del negocio sobre la base de los requisitos de seguridad y negocio.

Se deberan tener en cuenta para ello las polticas de distribucin de la informacin y de autorizaciones.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Accesos

11.1.1 Poltica del control de acceso.

CONTROL: Debe ser establecida documentada y revisada. GUIA DE IMPLEMENTACION: Establecer polticas de acceso, reglas y derechos de cada usuario. Contemplar:
Requisitos

de seguridad. Polticas de distribucin. Autorizaciones. Perfiles de acceso de usuario. Requerimientos para la autorizacin formal de los pedidos de acceso. Revision peridica de los controles de acceso.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Accesos

11.2 Gestin de acceso de usuarios.

Asegurar el acceso autorizado del usuario y prevenir accesos no autorizados a la informacin. Establecer procedimientos formales para controlar la asignacin de los derechos de acceso a los sistemas y servicios. Estos procedimientos deberan cubrir todas las etapas del ciclo de vida del acceso de los usuarios, desde el registro inicial de los nuevos hasta la baja del registro de los usuarios que ya no requieran dicho acceso a los sistemas y servicios.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Accesos

11.2.1 Registro de usuarios.

CONTROL: Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. GUIA DE IMPLEMENTACION deberia contemplar:
Identificador nico para cada usuario. Permitir identificador de grupo cuando sea conveniente. Verificacion del Nivel de Acceso con las polticas de seguridad. Entrega al usuario por escrito de sus derechos de acceso. Reconocimiento del usuario mediante firma de la comprensin de las condiciones de acceso

Nota: Considerar la inclusin de clusulas en los contratos laborales y de servicio que especifiquen sanciones si sus signatarios realizan accesos no autorizados.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Accesos

11.2.2 Gestin de privilegios.

Restringir y controlar el uso de asignacin de privilegios

11.2.3 Gestin de contraseas de usuario.

Controlar la asignacin de contraseas por medio de un proceso de gestin formal.

11.2.4 Revisin de los derechos de acceso de los usuarios.

Establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Acceso

11.3 Responsabilidad de los usuarios.

Evitar el acceso de usuarios no autorizados y el compromiso o hurto de la informacin y de las instalaciones del procesamiento de informacin.

Una proteccin eficaz necesita la cooperacin de los usuarios autorizados.

Usuarios deben ser conscientes de sus responsabilidades en el mantenimiento de la eficacia de las medidas de control de acceso, en particular respecto al uso de contraseas y a la seguridad del material puesto a su disposicin.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Acceso

11.3 .1 Uso de constrasenas.

Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas
11.3.2 Equipo informtico de usuario desatendido.

Los usuarios deberan asegurar que los equipos informticos desatendidos estn debidamente protegidos.

11.3.3 Politica de pantalla y escritorio limpio.

Adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Accesos

11.4 Control de acceso a la red.

Prevenir el acceso no autorizado de los servicios de la red. Debera controlarse el acceso a los servicios a las redes internas y externas. Asegurar que el acceso de los usuarios a las redes y sus servicios no comprometan la seguridad de dichos servicios mediante: a) interfaces adecuadas entre la red de la organizacin y las redes pblicas o las privadas de otras organizaciones; b) mecanismos adecuados de autenticacin para los usuarios y los equipos; c) control de los accesos de los usuarios a los servicios de informacin.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Accesos

11.4.1 Poltica de uso de los servicios de la red.

Los usuarios slo deben tener acceso directo a los servicios para los que estn autorizados de una forma especfica.
11.4.2 Autenticacin de usuario para conecciones externas.

Utilizar mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos.

11.4.3 Identificacin de equipos en las redes

Las identificaciones automticas de equipo deben ser consideradas como medios para autentificar conexiones desde locales y equipos especficos.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Accesos

11.4.4 Diagnstico remoto y configuracin de proteccin de puertos.

Se debera controlar el acceso fsico y logstico para diagnosticar y configurar puertos.

11.4.5 Segregaciones en las redes.

Los grupos de servicios de informacin, usuarios y sistemas de informacin deben ser segregados en las redes.
11.4.6 Control de conecciones a las redes.

Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones del negocio.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Accesos

11.4.7 Control de rutas en la red

Se deberan implementar controles de enrutamiento que garanticen que las conexiones entre computadores y los flujos de informacin no incumplan la poltica de control de acceso a las aplicaciones.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Accesos

11.5 Control de cceso al sistema operativo.

Evitar accesos no autorizados a los computadores. Las prestaciones de seguridad a nivel de sistema operativo se deberan utilizar para restringir el acceso a los recursos del computador. Estos servicios deberan ser capaces de: a) identificar y verificar la identidad de cada usuario autorizado en concordancia con una poltica definida de control de acceso; b) registrar los accesos satisfactorios y fallidos al sistema; c) registrar el uso de privilegios especiales del sistema; d) alarmas para cuando la poltica del sistema de seguridad sea abierta; e) suministrar mecanismos, adecuados de autenticacin; f) cuando proceda, restringir los tiempos de conexin de usuarios

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Acceso

11.5.1 Procedimientos de conexin de terminales.

El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro.
11.5.2 Identificacin y autentificacin del usuario.

Todos los usuarios deberan disponer de un identificador nico para su uso personal y debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos.
11.5.3 Sistema de gestin de contraseas.

Debern proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Acceso

11.5.4 Utilizacin de las facilidades del sistema. La mayora de las instalaciones informticas disponen de programas del sistema capaces de eludir las medidas de control del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado. 11.5.5 Desconeccin automtica de sesiones.

Las sesiones se deberan desactivar tras un periodo definido de inactividad.

11.5.6 Limitacin del tiempo de coneccin.

Las restricciones en los tiempos de conexin ofrecen seguridad adicional para aplicaciones de alto riesgo..

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Acceso

11.6 Control de acceso a las aplicaciones y la informacin. Prevenir el acceso no autorizado a la informacin contenida en los sistemas. Controlar el acceso de los usuarios a la informacin y las funciones del sistema de acuerdo a las politicas de control de accesos. Protegerse de acceso no autorizados desde otras facilidades o software capaces de eludir los controles del sistema o aplicaciones. No comprometer la seguridad de otros sistema con los que se compartan recursos de informacin.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

11. Control de Acceso

11.7 Informtica movil y teletrabajo

Garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil y teletrabajo. La proteccin requerida debera ser proporcional a los riesgos que causan estas formas especficas de trabajo. Se deberan considerar los riesgos de trabajar en un entorno desprotegido cuando se usa informtica mvil y aplicar la proteccin adecuada. En el caso del teletrabajo la organizacin debera implantar proteccin en el lugar del teletrabajo y asegurar que existen los acuerdos adecuados para este tipo de trabajo.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

13. Gestin de incidentes

Reportar eventos y debilidades de la seguridad de informacin lo ms rpido posible a travs de una gestin de canales apropiada.

Asegurar que los eventos y debilidades en la seguridad de informacin sean comunicados de una manera que permita que se realice una accin correctiva a tiempo. Establecer un punto de contacto para el reporte De incidencias y o eventos.
Lugar de reporte debe ser conocido a travs de la organizacin, que este siempre disponible y que sea capaz de proveer una respuestas adecuada y a tiempo.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

13. Gestin de incidentes

Ejemplos de eventos e incidentes en la seguridad de informacin son: a) perdida de servicio, equipo o instalaciones. b) sobrecargo o mal funcionamiento del sistema. c) errores humanos. d) no conformidades con polticas o pautas. e) aberturas en los arreglos de seguridad fsica. f) cambios incontrolables en el sistema. g) mal funcionamiento del software o hardware. h) violacin de acceso.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

13. Gestin de incidentes

13.2 Gestin de incidentes en la seguridad en le informacin

Asegurar un alcance consistente y efectivo aplicado a la gestin de incidentes en la seguridad de informacin. Las responsabilidades y procedimientos deben establecerse para maniobrar los eventos y debilidades en la seguridad de informacin de una manera efectiva una vez que hayan sido reportados. Un proceso de mejora continua debe ser aplicado en respuesta al monitoreo, evaluacin y gestin general de los incidentes en la seguridad de informacin.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

14. Gestin de continuidad del negocio

Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente a grandes fallos de los sistemas de informacin o desastres. Se debera implantar un proceso de gestin de continuidad del negocio para reducir, a niveles aceptables, la interrupcin causada por los desastres y fallas de seguridad (que, por ejemplo, puedan resultar de desastres naturales, accidentes, fallas de equipos o acciones deliberadas) mediante una combinacin de controles preventivos y de recuperacin.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

14. Gestin de continuidad del negocio

Se deben analizar las consecuencias de los desastres, fallas de seguridad, prdidas de servicio y la disponibilidad del servicio.

Se deberan desarrollar e implantar planes de contingencia para asegurar que los procesos del negocio se puedan restaurar en los plazos requeridos.
La seguridad de informacin debe ser una parte integral del plan general de continuidad del negocio y de los dems procesos de gestin dentro de la organizacin.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

15. Cumplimiento.

15.1 Cumplimiento con los requisitos legales

OBJETIVO: Evitar los incumplimientos de cualquier ley civil o penal, requisito reglamentario, regulacin u obligacin contractual, y de todo requisito de seguridad.

Se debera buscar el asesoramiento sobre requisitos legales especficos de los asesores legales de la organizacin, o de profesionales de derecho calificados.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

15. Cumplimiento.

15.2 Revisiones de la poltica de seguridad y de la conformidad tcnica

Asegurar la conformidad de los sistemas con las polticas y normas de seguridad. Se deberan hacer revisiones regulares de la seguridad de los sistemas de informacin. stas se deberan atener a las polticas de seguridad apropiadas y se auditar el cumplimiento de las normas de implantacin de la seguridad en los sistemas de informacin y en los controles de seguridad implementados.

Norma Tcnica Peruana

NTP-ISO/IEC 17799

15. Cumplimiento.

15.3 Consideraciones sobr la auditoria de sistemas.

Maximizar la efectividad y minimizar las interferencias en el proceso de auditoria del sistema. Se deberan establecer controles para salvaguardar los sistemas operativos y las herramientas de auditoria durante las auditorias del sistema. Tambin se requiere proteccin para salvaguardar la integridad y evitar el mal uso de las herramientas de auditoria.