Nuevas tecnologas aplicadas a Nuevas tecnologas aplicadas a

la gestin documental
Las microformas en la gestin
del documento electrnico del documento electrnico
Base legal y tcnica
Miguel Vliz Granados
Secretario Tcnico del Comit Especializado de
li i d i f di i l normalizacin de microformas digitales
Mayo 2010
1
OBJETIVO
Conocer los requisitos establecidos en las q
normas legales y tcnicas para la gestin de
documentos electrnicos en la
implementacin de lneas de produccin de
microformas orientadas a obtener valor legal g
2
PROLOGO
E l P l d l t l d d t i En el Per el uso de las tecnologas de avanzada en materia
de archivo de documentos e informacin est regulada por un
conjunto de normas legales orientadas a:
Otorgar facilidades para elaborar microformas tanto por procesos
convencionales como informticos en computadoras
Otorgar reconocimiento de valor legal a los archivos conservados
mediante microformas que permitan ahorro de espacio y costos a las
organizaciones, colaborando a su eficiencia y productividad. g y p
Aprovechar los adelantos de la tecnologa en beneficio de actividades
empresariales, alentando las inversiones y mejorando sus
3
rendimientos.
LOS ARCHIVOS DE LAS ORGANIZACIONES
Constituyen el legajo de la gestin
documental documental.
Son objeto de consulta interna y
externa.
Ti l hi t i l d ti Tienen valor histrico, valor de activo
y/o patrimonial para la organizacin.
Deben ser conservados por periodos
t bl id l i i establecidos por la organizacin o por
orden legal.
4
La gestin de la documentacin y la informacin en las
organizaciones
Adecuado soporte para la gestin y
toma de decisiones
I t l d ti id d l Incrementa la productividad y la
competitividad
Es dependiente de la tecnologa de la
informacin y las comunicaciones informacin y las comunicaciones
Tiene aptitud para el rpido acceso y
difusin a distancia
Facilita el ingreso al contexto de la g
internacionalizacin de los
intercambios comerciales.
5
Normas legales y reglamentarias que enmarcan la Normas legales y reglamentarias que enmarcan la
elaboracin de microformas (MFS)
DL N 681 - 14 de octubre de 1991
Regula el uso de tecnologas de avanzada para el archivo de documentos
DS N 009-92-JUS 27 de junio 1992 j
Reglamento del DL N 681
Ley N 26612 - 21 de mayo de 1996
Modificatoria del DL N 681
DL N 827 05 d j i d 1996 DL N 827 05 de junio de 1996
Amplan alcances del DL N 681 a las entidades pblicas a fin de modernizar el
sistema de archivos oficiales
Resolucin N 070-97/INDECOPI-CRT 16 de enero
1998 1998
Aprueban el reglamento para la certificacin de la idoneidad tcnica del sistema de
produccin y almacenamiento de microformas
DS N 002-98-ITINCI 21 de febrero de 1998
A b i it di i t t i t d tifi d d id id d
6
Aprueban requisitos y procedimiento para otorgamiento de certificado de idoneidad
tcnica para la confeccin de microformas
Normas legales y reglamentarias que enmarcan la Normas legales y reglamentarias que enmarcan la
elaboracin de microformas (MFS)
DS N 001-2000-JUS - 26 de marzo de 2000
Reglamentan la ampliacin del alcance del DL N 827 y se establecen requisitos para Reglamentan la ampliacin del alcance del DL N 827 y se establecen requisitos para
la formacin de los representantes de la fe pblica
Ley N 27269 28 de mayo de 2000
Ley de Firmas y Certificados Digitales
RM N 169-2000-JUS 24 de junio de 2000 RM N 169 2000 JUS 24 de junio de 2000
Reglamento para supervisin de eventos de capacitacin de fedatarios juramentados
con especialidad en informtica
DL N 1030 - 24 de junio de 2008
Ley de los sistemas nacionales de normalizacin y acreditacin- SNA
DS N 052 2008 PCM 19 d j li 2008 DS N 052-2008-PCM 19 de julio 2008
Reglamento de la Ley de Firmas y Certificados Digitales
7
Normas legales y reglamentarias que enmarcan la
DS N 001 98 TR 22 d d 1998
Normas legales y reglamentarias que enmarcan la
elaboracin de microformas (MFS)
DS N 001-98-TR - 22 de enero de 1998
Normas reglamentarias relativas a obligacin de los empleadores de llevar Planillas
de Pago
Ley N 27291 - 24 de junio de 2000
L difi l Cdi Ci il iti d l d l di l t i l Ley que modifica el Cdigo Civil permitiendo el uso de los medios electrnicos para la
comunicacin de la manifestacin de voluntad y la utilizacin de la firma electrnica
Ley N 27419 06 de febrero 2001
Ley sobre notificacin por correo electrnico
Ley N 27658 30 de enero de 2002 Ley N 27658 30 de enero de 2002
Ley marco de modernizacin de la gestin del estado
Ley N 28186 - 05 de marzo de 2004
Ley que establece los alcances del DL N 681 Conservacin de documentos con
contenido tributario contenido tributario
Ley N 27323 - 22 de julio de 2000
Ley que establece funciones de la CONASEV y la SBS para autorizar e inscribir a
empresas e instituciones que recurren a servicios de microarchivos cuando estas no
cuentan con un microarchivo propio
8
Definiciones de orden legal
Art. 5 Ley 26612 (Sustityase el Art. 234 del D. Leg. N 768 ...)
1) MICROFORMA: Imagen reducida y condensada, o compactada, o
di it li d d d t t b d di digitalizada de un documento que se encuentra grabado en un medio
fsico tcnicamente idneo, que le sirve de soporte material portador,
mediante un proceso fotoqumico, informtico, electrnico,
electromagntico o que emplee alguna tecnologa de efectos electromagntico, o que emplee alguna tecnologa de efectos
equivalentes, de modo que tal imagen se conserve y pueda ser vista y
leda con la ayuda de equipos visores o mtodos anlogos; y pueda ser
reproducida en copias impresas esencialmente iguales al documento reproducida en copias impresas, esencialmente iguales al documento
original.
Estn incluidos en el concepto de microforma tanto los documentos Estn incluidos en el concepto de microforma tanto los documentos
producidos por procedimientos informticos o telemticos en
computadoras o medios similares como los producidos por
procedimientos tcnicos de microfilmacin siempre que cumplan los
9
procedimientos tcnicos de microfilmacin siempre que cumplan los
requisitos establecidos en la presente ley.
Definiciones de orden legal
Art. 5 Ley 26612 (Sustityase el Art. 234 del D. Leg. N 768 ...)
2) MICRODUPLICADO: Reproduccin exacta del elemento original que
contiene microformas efectuada sobre un soporte material idneo contiene microformas, efectuada sobre un soporte material idneo
similar, en el mismo o similar formato, configuracin y capacidad de
almacenamiento; y con efectos equivalentes.
3) MICROGRABACIN: Proceso tcnico por el cual se obtienen las
microformas, a partir de los documentos originales en papel o material
similar; o bien directamente de los medios o soportes similar; o bien directamente de los medios o soportes
electromagnticos, digitales u otros en que se almacena informacin
producida por computador u ordenador.
10
Definiciones de orden legal
Art. 5 Ley 26612 (Sustityase el Art. 234 del D. Leg. N 768 ...)
4) MICROARCHIVO: Conjunto
ordenado, codificado y sistematizado
de los elementos materiales de soporte
o almacenamiento portadores de
microformas grabados, provisto de
i d di di d sistemas de ndice y medios de
recuperacin que permiten encontrar,
examinar visualmente y reproducir en
copias exactas los documentos copias exactas los documentos
almacenados como microformas.
11
Definiciones de orden legal
Art. 5 Ley 26612 (Sustityase el Art. 234 del D. Leg. N 768 ...)
Son documentos los escritos pblicos o
privados, los impresos, fotocopias, facsmil o
fax, planos, cuadros, dibujos, fotografas,
di f i i fi radiografas, cintas cinematogrficas,
microformas tanto en la modalidad de
microfilmcomo en la modalidad de soportes
informticos y otras reproducciones de audio informticos y otras reproducciones de audio
o video, la telemtica en general y dems
objetos que recojan, contengan o
representen algn hecho o actividad representen algn hecho, o actividad
humana o su resultado.
12
Definiciones de carcter tcnico
Normalizacin: Actividad encaminada a establecer respecto a
problemas reales o potenciales disposiciones destinadas a un problemas reales o potenciales, disposiciones destinadas a un
uso comn repetido con el fin de conseguir un grado ptimo de
orden en un contexto dado.
Notas Notas
1. En particular, esta actividad consiste en la elaboracin, la difusin
y la aplicacin de normas
2 L li i f i t t b fi i d bid 2. La normalizacin ofrece importantes beneficios, debido
principalmente a una mejor adaptacin de los productos,
procesos y los servicios a los fines a que se destinan, la
prevencin de los obstculos al comercio y la facilitacin de la
13
p y
cooperacin tecnolgica.
Definiciones de carcter tcnico
Norma: Documento establecido por consenso y
aprobado por un organismo reconocido que aprobado por un organismo reconocido, que
establece, para un uso comn y repetido, reglas,
directrices o caractersticas para ciertas actividades o
sus resultados, con el fin de conseguir un grado sus resultados, con el fin de conseguir un grado
ptimo de orden de un contexto dado.
Nota
Las normas deben basarse en los resultados Las normas deben basarse en los resultados
consolidados por la ciencia, la tcnica y la experiencia y
estar dirigidas a la consecucin del ptimo beneficio
para la comunidad.
14
La Norma Tcnica Peruana La Norma Tcnica Peruana
392.030-2:2005
R 0074 2005/INDECOPI*CRT Publicada el 2005 09 22 R.0074-2005/INDECOPI CRT. Publicada el 2005-09-22
15
ASPECTOS INTERNACIONALES QUE ORIENTAN LA
ELABORACIN DE LA NORMA
Adoptar las Normas Internacionales ISO/IEC
aplicables a las materias, procesos y sistemas
que se aplican en micrograbacin firmas que se aplican en micrograbacin, firmas
digitales, intermediacin digital y seguridad
informtica en concordancia con el
reconocimiento de las normas internacionales y
los sistemas internacionales de evaluacin de la los sistemas internacionales de evaluacin de la
conformidad para aumentar la eficacia de la
produccin y facilitar el comercio internacional
WTO
OMC
OMC
16
1 OBJETO
Establecer los requisitos que deben
cumplir las organizaciones que operan
sistemas de produccin de microformas
en medios de archivo electrnico, y
administran su almacenamiento en
condiciones de seguridad y
conservacin.
17
2 REFERENCIAS NORMATIVAS
Normas Tcnicas Peruanas
NTP-ISO 3334:1997 MICROGRAFA. Mira de Resolucin ISO No 2.
Descripcin y uso.
NTP-ISO 6196-5:1997 MICROGRAFA. Vocabulario. Parte 5: Calidad de
imgenes, legibilidad, inspeccin.
NTP ISO/IEC 17799-2004 EDI. Tecnologa de la Informacin. Cdigo de
Buenas Prcticas para la gestin de la seguridad de la informacin.
18
2 REFERENCIAS NORMATIVAS
Normas Tcnicas Internacionales
ISO 10196-2003 Document imaging applications - Recommendations for
th ti f i i l d t the creation of original documents
ISO 18927:2002 Imaging materials - Recordable compact disc systems -
Method for estimating the life expectancy based on the effects of temperature
and relative humidity and relative humidity.
ISO 7498 - 2:1989 Information processing systems Open Systems
Interconnextion Basic Reference Model Part 2: Security Architecture
ISO /IEC 9798 - 1 Information technology - Security techniques - Entity gy y q y
autentication - Part 1- General.
19
2 REFERENCIAS NORMATIVAS
Normas Tcnicas Internacionales
ISO/IEC 10181-4 Information technology Open Systems Interconnection
S it f k f t N di ti f k Security frameworks for open systems: Non-repudiation framework.
ISO/IEC 12119:1994 Information technology. Software packages-
Quality requirements and testing (ISO/IEC 25021:2006, nueva norma que reemplaza a la
ISO/IEC 12119) ISO/IEC 12119)
ISO/IEC 13888-1 Information technology Security techniques Non
Repudiation Part 1: General
ISO/IEC 13888-2 Information technology Security techniques Non gy y q
Repudiation Part 2 Mechanisms using symmetric techniques.
20
2 REFERENCIAS NORMATIVAS
Normas Tcnicas Internacionales
ISO/IEC 13888-3 Information technology Security techniques Non
R di ti P t 3 M h i i t i t h i Repudiation Part 3: Mechanisms using asymmetric techniques.
ISO/IEC 15947 Information technology Security IT intrusion detection
framework
ISO/IEC TR 13335 5 Information Technology Guidelines for the ISO/IEC TR 13335-5 Information Technology. Guidelines for the
management of information technology. Part 5: Management guidance on
networking security.
ISO/IEC TR 14516Information technology Security techniques Gudelines gy y q
for the use and management of trusted Third Party.
21
3 CAMPO DE APLICACIN
Se aplica para la evaluacin de:
Sistemas de produccin y almacenamiento de MFs de organizaciones
i t i d d d i l i t i t di i propietarias y de empresas de produccin, almacenamiento o intermediacin
digital.
Sistemas de produccin de MFs a partir de documentos originales fsicos o
generados electrnicamente identificados por la organizacin propietaria generados electrnicamente, identificados por la organizacin propietaria
La estructura organizativa asociada al sistema de produccin y
almacenamiento de MFs.
Las propiedades que deben cumplir los medios de archivo electrnico. p p q p
22
3 CAMPO DE APLICACIN
Comprende los requisitos que se deben cumplir cuando en el sistema de
elaboracin de MFs se incluyen procesos de transferencia electrnica en
redes privadas y pblicas.
Comprende las condiciones de seguridad y conservacin a cumplir para el
almacenamiento de las MFs.
23
4 DEFINICIONES:
Contiene 27 definiciones generales entre las que destacan
Documento original: Para los propsitos de la presente norma. Documento de
una organizacin que autoriza su migracin a microformas y de cuyo origen y
contenido es responsable.
Documento electrnico: Unidades estructuradas de informacin registrada, Documento electrnico: Unidades estructuradas de informacin registrada,
publicada o no, susceptible de ser generada, clasificada, gestionada,
transmitida, procesadas o conservadas por una persona o una organizacin
de acuerdo a sus requisitos funcionales, utilizando sistemas informticos.
NOTA: El trmino documento electrnico no se refiere nicamente a los documentos de
texto que se suelen crear con procesadores de texto, sino tambin comprende los
mensajes de correo electrnico, las hojas de clculo, los grficos e imgenes, los
documentos HTML o XML y los documentos compuestos multimedia o de otras clases
24
documentos HTML o XML y los documentos compuestos, multimedia o de otras clases,
que incluyen a sus enlaces y accesos automticos.
5 REQUISITOS GENERALES :
Documentar las
ifi i t i especificaciones tcnicas
de sus sistema de
elaboracin y
Manual
del
Sistema
y
almacenamiento de
microformas.
25
5 REQUISITOS GENERALES
La organizacin debe estar legalmente constituida
Manual
del
Normas
Legales y
Manual
del
Normas
Legales y
del
Sistema
g y
Reglamen-
tarias
Aplicables
del
Sistema
g y
Reglamen-
tarias
Aplicables
Manual
d
Manual
d
Manuales
de Lneas
Manual
d
Manual
d
Manuales
de Lneas
de
Procedi-
mientos
de
Organi-
zacin
Manual de
Seguridad de
la
I nformacin
de Lneas
de MFs
de
Procedi-
mientos
de
Organi-
zacin
Manual de
Seguridad de
la
I nformacin
de Lneas
de MFs
26
5 REQUISITOS GENERALES :
La organizacin propietaria debe
Tener un sistema integral de administracin de sus documentos Tener un sistema integral de administracin de sus documentos
Generacin archivo, eliminacin de documentos, adems de la planificacin,
preparacin, elaboracin, control de calidad y almacenamiento de MFs
Designar al responsable del sistema de elaboracin y almacenamiento de MFs
Cumplir la legislacin archivstica vigente
Almacenar las MFs en instalaciones propias o en empresas de servicio
certificadas.
Asegurar la disponibilidad y renovacin de la MFs almacenadas.
27
5 REQUISITOS GENERALES : 5 REQUISITOS GENERALES :
Las empresas especializadas en produccin y almacenamiento deben:
Tener un sistema de elaboracin de MFs que incluya personal, procedimientos
bl d l d di d l i i f ti t l y responsables de los procesos de diseo de soluciones informticas, control
de produccin y evaluacin del sistema.
Designar un responsable ejecutivo del servicio de elaboracin o
almacenamiento almacenamiento
Especificar y documentos la responsabilidad y funciones del personal
Cumplir la legislacin archivstica vigente.
28
5 REQUISITOS GENERALES 5 REQUISITOS GENERALES :
Confidencialidad y calidad de trabajo del personal
Sistema de elaboracin de MFs
La alta direccin debe aprobar el sistema de elaboracin de MFs
Registrar la fecha a partir de la cual se da inicio al sistema de
elaboracin de MFs
C t t i d i i d d i Contratacin de servicios de produccin
Especificar que la empresa de servicios cumpla las
especificaciones establecidas por la organizacin
C t t i d i i d l i t Contratacin de servicio de almacenamiento
La organizacin debe mantener el registro y control de ubicacin de
las MFs originales
29
5 REQUISITOS GENERALES : 5 REQUISITOS GENERALES :
El servicio de intermediacin digital
Debe ser efectuada con la intervencin de un tercero neutral, aplicable en las
t i i d j d d t d t l t i fi transmisin de mensajes de datos o documentos por va electrnica con firma
digital para grabar, almacenar y conservar dichos o mensajes.
El Tercero neutral debe poseer certificado de idoneidad tcnica de El Tercero neutral debe poseer certificado de idoneidad tcnica de
cumplimiento de la NTP 392.030-2:2005, adoptar las especificaciones
aplicables de seguridad establecidos en la NTP ISO /IEC 17799 y efectuar sus
servicios conforme a los lineamientos aplicables de la Norma ISO /IEC TR
14516.
30
5 REQUISITOS GENERALES :
El servicio de intermediacin digital
Debe proporcionar las tcnicas o mecanismos requeridos para la intervencin
de los representantes de la fe pblica cuando se requiera .
Certificar, utilizando su firma digital o electrnica basada en criptografa
asimtrica, la autenticidad e identidad del emisor, titular de la firma
digital q e se adj nta al mensaje de datos o doc mentos digital que se adjunta al mensaje de datos o documentos
transmitidos, la confidencialidad y la integridad de dicho mensaje. El
mecanismo de autenticacin debe adecuarse a las especificaciones
aplicables de la norma ISO /IEC 9798 1 p
31
5 REQUISITOS GENERALES : 5 REQUISITOS GENERALES :
El servicio de intermediacin digital debe:
Certificar la fecha y hora de recepcin, para cuyo efecto el tercero neutral debe contar
con un proveedor de fechado y hora (fecha y hora cierta) referida al Tiempo Universal con un proveedor de fechado y hora (fecha y hora cierta) referida al Tiempo Universal
Coordinado (UTC) el cual debe estar disponible dentro de una red abierta, accesible
desde cualquier plataforma tecnolgica,
C tifi l di d i d i El i d di d b Certificar el no repudio de origen y de recepcin. El mecanismo de no repudio debe
adecuarse a las especificaciones aplicables de la norma ISO/IEC 13888-3.
32
6 REQUISITOS TCNICOS:
Proceso de generacin de documentos
originales
Asegurar y documentar la cantidad y clase
d d t i i l de documentos originales que sern
convertidos en MFs
33
6 REQUISITOS TCNICOS : 6 REQUISITOS TCNICOS :
Para el caso de MFs que incluya como documentos originales,
documentos electrnicos obtenidos directamente de redes pblicas o
locales con firma digital, la organizacin debe establecer una metodologa
de identificacin, (indizacin) y registro nicos que aseguren:
La integridad. basados en el principio que la firma digital asegura al receptor
identificar cuando un documento ha sido modificado sin autorizacin y
Numeracin correlativa, basados en el uso del Tiempo Universal Coordinado
(UTC), (fecha y hora cierta), como indicador de numeracin correlativa en la
recepcin para efectos de cumplir con disposiciones establecidas por la propia
organizacin o por entidades o autoridades competentes organizacin o por entidades o autoridades competentes.
34
6 REQUISITOS TCNICOS
Calidad y legibilidad de los documentos originales
Indicar los caracteres ms pequeos y trazos ms finos que deben ser Indicar los caracteres ms pequeos y trazos ms finos que deben ser
reproducidos en las copias impresas
Asegurar la calidad y legibilidad de firmas, sellos, logos, colores, indicando
patrones de referencia patrones de referencia
En caso de documentos con imgenes en movimiento, sonidos la
organizacin debe proporcionar las especificaciones o requisitos aplicables,
los patrones de referencia y disponer los medios para verificar la calidad de
los mismos.
35
6 REQUISITOS TCNICOS
Lneas de produccin de MFs
Documentar las especificaciones de cada lnea, ubicacin, clases
de originales a procesar. Los medios de soporte elegidos
La arquitectura de las redes internas o externas (LAN MAN La arquitectura de las redes internas o externas (LAN, MAN,
WAN)
Las medidas de seguridad estructuradas conforme a la NTP
ISO/IEC 17999
Documentar la manera en la que la organizacin aplica y cumple
l
Documentar la manera en la que la organizacin aplica y cumple
las disposiciones legales y reglamentarias y contar con los
certificados digitales vigentes.
Para el caso de los servicios de intermediacin digital se debe
identificar las entidades o personas que intervienen, indicando el
Manuales
de Lneas
de MFs
identificar las entidades o personas que intervienen, indicando el
alcance de sus responsabilidades relativas a la clase de
documentos que le corresponde procesar.
La alta direccin o quien est designe debe aprobar las
especificaciones de cada lnea de produccin.
36
p p
6 REQUISITOS TCNICOS
Proceso de preparacin
Proceso de captacin de imgenes
Proceso de indizacin
Manual
de
Procedi-
i
Proceso de indizacin
Proceso de digitalizacin
Sistema de seguridad.
mientos
Periodo de conservacin de las MFs
Requisitos del medio de archivo electrnico
Proceso de grabacin
Manual de
Seguridad de
la
Rotulado de las MFs
la
Informacin
37
6 REQUISITOS TCNICOS
Microformas originales
Microformas duplicadas (microduplicados)
Reproduccin a partir de las MFs
Manual
de
Procedi-
i
Reproduccin a partir de las MFs
Intervencin de los representantes de la fe
pblica
Intermediacin digital
mientos
Intermediacin digital
Almacenamiento
Transmisin telemtica
Manual de
Seguridad de
la
Eliminacin de originales
la
Informacin
38
SISTEMA DE SEGURIDAD
La organizacin debe establecer y mantener niveles adecuados de seguridad,
respecto al personal, las estaciones de acceso, salidas del sistema informtico, el
software y archivos y aplicativos asociados al sistema de elaboracin de
microformas mediante polticas, procedimientos y tcnicas que aseguren la
fid i lid d i t id d di ibilid d lid d d l i f i i d confidencialidad, integridad, disponibilidad y calidad de las microformas, siguiendo
los lineamientos establecidos en la NTP ISO /IEC 17799
39
SISTEMA DE SEGURIDAD
La organizacin debe contar con un programa de auditoria g p g
informtica que asegure el cumplimiento de la evaluacin
de la idoneidad del sistema que incluya:
La responsabilidad y la identificacin del personal encargado
de los procesos claves del sistema de elaboracin de de los procesos claves del sistema de elaboracin de
microformas,
Los intentos o eventuales accesos no autorizados internos o
externos,
El uso no autorizado de estaciones, programas, archivos y
aplicativos del sistema
Los registros de dicho sistema de auditoria informtica
deben estar disponibles para examen o inspeccin y se deben estar disponibles para examen o inspeccin y se
deben conservar un perodo establecido por la
organizacin responsable de la produccin de las
microformas
40
INTERVENCIN DE LOS REPRESENTANTES INTERVENCIN DE LOS REPRESENTANTES
DE LA FE PBLICA
Para cada lnea de produccin y lugar de almacenamiento Para cada lnea de produccin y lugar de almacenamiento
de microformas e intermediacin digital en la elaboracin
de microformas, la organizacin debe especificar el
procedimiento de intervencin de los representantes de la
fe pblica, quienes deben estar facultados para ejercer
sus funciones conforme a lo establecido en la normativa
legal y reglamentaria aplicable.
41
INTERMEDIACIN DIGITAL
En caso se requiera la intervencin de los servicios de
intermediacin digital la organizacin debe establecer los
di i t i i i d l di i i procedimientos necesarios siguiendo las disposiciones
establecidas en las normas legales y reglamentarias
aplicables y los lineamientos de las normas NTP ISO/IEC
17799 e ISO/IEC TR 14516.
La organizacin debe mantener el registro y vigencia de
los certificados de las entidades o personas participantes,
considerando el caso que los documentos, informacin o
datos sean transferidos entre terceros neutrales datos sean transferidos entre terceros neutrales
42
ALMACENAMIENTO
L i i d b di l La organizacin debe disponer el
almacenamiento de las microformas
en las condiciones de seguridad y
conservacin certificadas conforme
a lo establecido en la legislacin y a lo establecido en la legislacin y
reglamentacin aplicable.
43
ALMACENAMIENTO
La organizacin debe describir en un manual las
caractersticas del sistema de almacenamiento empleado
incluyendo: incluyendo:
La organizacin y funciones de los responsables de
administrar el sistema de almacenamiento,
Las especificaciones tcnicas de los materiales de
construccin que deben cumplir con minimizar los construccin, que deben cumplir con minimizar los
riesgos de las posibles amenazas indicadas en la NTP
ISO/IEC 17799, prrafo 7.2.1.d),
Las especificaciones del sistema, los elementos de
control y las medidas de seguridad aprobado por la control y las medidas de seguridad aprobado por la
organizacin para el control del acceso de personas,
para detectar riesgos de incendio, inundacin,
Las especificaciones tcnicas de los equipos de control
del medio ambiente,,
El certificado de calibracin de los medios de medicin
de temperatura y humedad relativa,
Los registros empleados para mantener el ingreso y
retiro de las microformas y las condiciones ambientales
44
y
de temperatura y humedad relativa
TRANSMISIN TELEMTICA
Cuando el sistema de elaboracin de Cuando el sistema de elaboracin de
microformas incluya entre sus procesos la
transmisin electrnica a distancia entre
estaciones o lneas de produccin tanto
en redes privadas o pblicas, los procesos e edes p adas o pb cas, os p ocesos
deben estar protegidos con medidas de
seguridad que aseguren:
La confidencialidad, integridad y
disponibilidad de los archivos disponibilidad de los archivos,
La no modificacin de los formatos
originales,
La transmisin libre de
interceptaciones entre la estacin
emisora y la estacin receptora
Debe asegurar las transmisiones en redes
LAN, MAN y WAN
45
y
ELIMINACIN DE ORIGINALES
La organizacin debe establecer un procedimiento de
retiro del archivo fsico y eliminacin de documentos y
originales, asegurando la intervencin de los
representantes de la autoridad nacional en materia de
archivos y dems representantes que la legislacin
aplicable exija de acuerdo al valor del documento original aplicable exija de acuerdo al valor del documento original.
Se incluye el procedimiento de eliminacin de archivos
electrnicos de la memoria de servidores o discos duros electrnicos de la memoria de servidores o discos duros
que dieron origen a las imgenes correspondientes a los
documentos originales, hayan sido estos originales en
papel o digitalizados.
46
7 FORMATOS DEL SISTEMA
La organizacin debe establecer los formatos requeridos para asegurar el
cumplimiento de los procedimientos propios de su sistema de elaboracin
y almacenamiento de microformas.
Los formatos deben ser impresos o documentos electrnicos en formatos
normalizados
47
8 REGISTROS Y ARCHIVOS
Los registros del sistema de produccin de MFs deben:
Ser definidos, identificados y actualizados para asegurar la efectividad de los
controles acorde con los requisitos de idoneidad tcnica.
En cada lnea de produccin, en la(s) entidad(es) de intermediacin digital y/o
lugar(es) de almacenamiento de MFs deben existir registros de:
Las MFs producidas/almacenadas
Los funcionarios de la fe pblica
48
9 EVALUACIN DEL SISTEMA
Las organizaciones propietarias y las empresas de servicios
especializadas deben:
Evaluar la efectividad del sistema por lo menos una vez al ao. p
Establecer el procedimiento de evaluacin
Evaluar la tecnologa de la informacin y deben ser efectuados por
profesionales o auditores informticos.
Registrar el resultado de la evaluacin.
Evaluar la efectividad del sistema en caso cambios en las tecnologas y
la normatividad legal y tcnica aplicable.
49
CONCLUSIONES
La NTP 392.030-2:2005, establece requisitos de idoneidad tcnica,
calidad y conservacin de las MFs, que contienen documentos,
informacin y datos resultantes del sistema de gestin documental
particular de cada organizacin.
El cumplimiento de las especificaciones contenidas en la NTP y las
normas de referencia, aseguran el logro de niveles de calidad,
confiabilidad y seguridad controlables permitiendo la determinacin,
mantenimiento y mejora de la efectividad del sistema de produccin de
MFs.
50
Norma ISO 17799 Seguridad de la Informacin g
1. Poltica de Seguridad
2. Organizacin de Seguridad
3. Clasificacin y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Fsica y Ambiental
6. Gestin de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
51
Lineamientos de la NTP ISO /IEC 17799
Dominio 1: POLTICA DE SEGURIDAD
La alta direccin o la gerencia general debe:
aprobar y publicar la poltica de seguridad aprobar y publicar la poltica de seguridad
comunicarlo a todos los empleados
52
Lineamientos de la NTP ISO /IEC 17799
Dominio 1: POLTICA DE SEGURIDAD
Debe incluir:
bj ti l l d id d objetivos y alcance generales de seguridad
apoyo expreso de la direccin
breve explicacin de los valores de seguridad de la
organizacin organizacin
definicin de las responsabilidades generales y
especficas en materia de gestin de la seguridad
de la informacin
referencias a documentos que puedan respaldar la
poltica
53
Lineamientos de la NTP ISO /IEC 17799
Autorizacin
Dominio 1: POLTICA DE SEGURIDAD
Proteccin Fsica
Confidencialidad
Confiabilidad
Poltica de Seguridad
Propiedad
Disponibilidad
Co de c a dad
Eficiencia
Legalidad
Eficacia
Exactitud
Integridad
54
Lineamientos de la NTP ISO /IEC 17799
Dominio 2: ORGANIZACION DE LA SEGURIDAD
Foros de Gestin
aprobar la poltica de seguridad de la
informacin,
asignar funciones de seguridad
actualizarse ante cambios
coordinar la implementacin
definir metodologas y procesos especficos de
seguridad
monitorear incidentes de seguridad
lidera el proceso de concientizacin de usuarios
55
Lineamientos de la NTP ISO /IEC 17799
Dominio 2: ORGANIZACION DE LA SEGURIDAD
Seguridad frente al acceso por parte de terceros
El acceso por parte de terceros debe ser
controlado.
Debe llevarse a cabo una evaluacin de
riesgos: determinar las incidencias en la
seguridad y los requerimientos de control.
Los controles deben ser acordados y
definidos en un contrato con la tercera parte.
56
Lineamientos de la NTP ISO /IEC 17799
Dominio 2: ORGANIZACION DE LA SEGURIDAD
Tipos de terceros Tipos de terceros
personal de mantenimiento y soporte de hardware y
software;
limpieza, "catering", guardia de seguridad y otros
servicios de soporte tercerizados;
pasantas de estudiantes y otras designaciones
contingentes de corto plazo;
57
consultores.
Lineamientos de la NTP ISO /IEC 17799
Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS
Inventarios de Informacin e Instalaciones
Designar un propietario para cada uno de ellos Designar un propietario para cada uno de ellos
Clasificacin de la informacin
58
Lineamientos de la NTP ISO /IEC 17799
Dominio 4: SEGURIDAD DEL PERSONAL
Seguridad en la definicin de puestos de trabajo y
la asignacin de recursos
Las responsabilidades en materia de seguridad deben
ser:
explicitadas en la etapa de reclutamiento,
incluidas en los contratos y
monitoreadas durante el desempeo como monitoreadas durante el desempeo como
empleado.
59
Lineamientos de la NTP ISO /IEC 17799
Dominio 4: SEGURIDAD DEL PERSONAL
Capacitacin del usuario
Garantizar que los usuarios estn al corriente de las
amenazas e incumbencias en materia de seguridad
de la informacin, y estn capacitados para
respaldar la poltica de seguridad de la organizacin
en el transcurso de sus tareas normales.
60
Lineamientos de la NTP ISO /IEC 17799
Dominio 4: SEGURIDAD DEL PERSONAL
Respuesta a incidentes y anomalas en Respuesta a incidentes y anomalas en
materia de seguridad
Minimizar el dao producido por incidentes p p
y anomalas en materia de seguridad, y
monitorear dichos incidentes y aprender de
los mismos.
61
Lineamientos de la NTP ISO /IEC 17799
Dominio 4: SEGURIDAD DEL PERSONAL
Proceso disciplinario
Debe existir un proceso disciplinario formal para
l l d i l l lti los empleados que violen las polticas y
procedimientos de seguridad de la organizacin.
62
Lineamientos de la NTP ISO/IEC 17799
Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
Impedir accesos no autorizados daos e Impedir accesos no autorizados, daos e
interferencia a:
sedes sedes
instalaciones
informacin
63
Lineamientos de la NTP ISO/IEC 17799
Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
Permetro de seguridad fsica
Controles de acceso fsico
Seguridad del equipamiento
Suministros de energa
Cableado de energa elctrica y de
comunicaciones
Mantenimiento de equipos
Seguridad del equipamiento fuera del mbito de
la organizacin
Polticas de escritorios y pantallas limpias
Retiro de bienes
64
Lineamientos de la NTP ISO /IEC 17799
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
Garantizar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la informacin. instalaciones de procesamiento de la informacin.
Se deben establecer las responsabilidades y
procedimientos para la gestin y operacin de p p g y p
todas las instalaciones de procesamiento de
informacin.
Se debe implementar la separacin de funciones
d d cuando corresponda.
Se deben documentar los procedimientos de
operacin
65
Lineamientos de la NTP ISO /IEC 17799
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
Separacin entre instalaciones de desarrollo e
instalaciones operativas
Deben separarse las instalaciones de:
Desarrollo
Prueba
Operaciones p
Se deben definir y documentar las reglas para la
transferencia de software desde el estado de
66
desarrollo hacia el estado operativo.
Lineamientos de la NTP ISO /IEC 17799
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
Procesos de:
Planificacin y aprobacin de sistemas
Proteccin contra software malicioso
Mantenimiento back up Mantenimiento back up
Administracin de la red
Administracin y seguridad de los medios
de almacenamiento
Acuerdos de intercambio de informacin y
software
67
Lineamientos de la NTP ISO/IEC 17799
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
Requerimientos de negocio para el control de
accesos
Coherencia entre las polticas de control de
acceso y de clasificacin de informacin de los
diferentes sistemas y redes
Administracin de accesos de usuarios
Se deben implementar procedimientos formales
para controlar la asignacin de derechos de
acceso a los sistemas y servicios de
68
acceso a los sistemas y servicios de
informacin.
Lineamientos de la NTP ISO/IEC 17799
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
Administracin de accesos de usuarios
Ad i i t i d i il i Administracin de privilegios
Responsabilidades del usuario
Control de acceso a la red
C i f d Camino forzado
Autenticacin de usuarios para conexiones
externas
Monitoreo del acceso y uso de los sistemas Monitoreo del acceso y uso de los sistemas
69
Lineamientos de la NTP ISO/IEC 17799 Lineamientos de la NTP ISO/IEC 17799
Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Requerimientos de seguridad de los
sistemas sistemas.
Asegurar que la seguridad es incorporada a
los sistemas de informacin los sistemas de informacin.
Los requerimientos de seguridad deben
ser identificados y aprobados antes del ser identificados y aprobados antes del
desarrollo de los sistemas de
informacin.
70
Lineamientos de la NTP ISO/IEC 17799
Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Seguridad en los sistemas de aplicacin Seguridad en los sistemas de aplicacin
Se deben disear en los sistemas de aplicacin,
incluyendo las aplicaciones realizadas por el y p p
usuario, controles apropiados y pistas de auditoria
o registros de actividad, incluyendo:
la validacin de datos de entrada,
procesamiento interno, y
salidas.
71
Lineamientos de la NTP ISO/IEC 17799
Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO
Contrarrestar las interrupciones de las actividades
comerciales y proteger los procesos crticos de los
negocios de los efectos de fallas significativas o g g
desastres.
Se debe implementar un proceso de
administracin de la continuidad de los
negocios
Se deben analizar las consecuencias de
desastres, fallas de seguridad e interrupciones
del servicio
72
del servicio.
Lineamientos de la NTP ISO/IEC 17799
Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO
Se deben desarrollar e implementar planes de
contingencia para garantizar que los procesos
de negocios puedan restablecerse dentro de de negocios puedan restablecerse dentro de
los plazos requeridos.
Los planes deben mantenerse en vigencia y
transformarse en una parte integral del resto
de los procesos de administracin y gestin.
La administracin de la continuidad de los
negocios debe incluir controles destinados a
identificar y reducir riesgos atenuar las identificar y reducir riesgos, atenuar las
consecuencias de los incidentes perjudiciales y
asegurar la reanudacin oportuna de las
operaciones indispensables.
73
Lineamientos de la NTP ISO/IEC 17799
Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO
Principales etapas
Clasificacin de los distintos escenarios de Clasificacin de los distintos escenarios de
desastres
Evaluacin de impacto en el negocio
Desarrollo de una estrategia de recupero
Implementacin de la estrategia
Documentacin del plan de recupero Documentacin del plan de recupero
Prueba y mantenimiento del plan
74
Lineamientos de la NTP ISO/IEC 17799
Dominio 10 : CUMPLIMIENTO
Impedir infracciones y violaciones de las leyes
del derecho civil y penal; de las obligaciones y g
establecidas por leyes, estatutos, normas,
reglamentos o contratos; y de los requisitos de
seguridad.
G ti l f id d d l i t Garantizar la conformidad de los sistemas con
las polticas y estndares de seguridad de la
organizacin.
Maximizar la efectividad y minimizar las Maximizar la efectividad y minimizar las
interferencias de los procesos de auditora de
sistemas.
75
Lineamientos de la NTP ISO/IEC 17799
Recoleccin de evidencia
Dominio 10 : CUMPLIMIENTO
La evidencia presentada debe cumplir con las pautas establecidas en la
ley pertinente o en las normas especficas del tribunal en el cual se
desarrollar el caso: desarrollar el caso:
validez de la evidencia: si puede o no utilizarse la misma en el
tribunal;
peso de la evidencia: la calidad y totalidad de la misma; peso de la evidencia: la calidad y totalidad de la misma;
adecuada evidencia de que los controles han funcionado en forma
correcta y consistente durante todo el perodo en que la evidencia a
recuperar fue almacenada y procesada por el sistema.
Para lograr la validez de la evidencia, las organizaciones deben
garantizar que sus sistemas de informacin cumplan con los estndares
o cdigos de prctica relativos a la produccin de evidencia vlida
76
o cdigos de prctica relativos a la produccin de evidencia vlida.
Lineamientos de la NTP ISO/IEC 17799
Dominio 10 : CUMPLIMIENTO
Revisiones de la poltica de seguridad y la
compatibilidad tcnica
Garantizar la compatibilidad de los sistemas con
las polticas y estndares (normas) de seguridad
d l i i de la organizacin.
77
Lineamientos de la NTP ISO/IEC 17799
Dominio 10 : CUMPLIMIENTO
Auditoria de sistemas
Optimizar la eficacia del proceso de auditoria de
sistemas y minimizar los problemas que pudiera
ocasionar el mismo, o los obstculos que pudieran ocasionar el mismo, o los obstculos que pudieran
afectarlo.
Deben existir controles que protejan los sistemas de q p j
operaciones y las herramientas de auditoria en el
transcurso de las auditorias de sistemas.
78
Lineamientos de la NTP ISO/IEC 17799
RM 216-2006-MINCETRUR Aprueban documento Lineamientos
General de de Poltica de Seguridad de la informacin del Ministerio
Dominio 10 : CUMPLIMIENTO
General de de Poltica de Seguridad de la informacin del Ministerio
de Comercio Exterior y Turismo 08-08-2006
RM 575-2006/MINSA Aprueban Directiva Administrativa de Gestin de
la Seguridad de la Informacin del Ministerio de Salud -23-06-2006
RM 520-2006/MINSA Aprueban Documento Tcnico Lineamientos de
de Poltica de seguridad de la Informacin del Ministerio de Salud 23
Legislacin en
de Poltica de seguridad de la Informacin del Ministerio de Salud 23-
06-2006
RM 224-2004-PCM Aprueban uso obligatorio de la Norma Tcnica
Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin.
Cdigo de buenas prcticas para la gestin de la seguridad de la
informacin 1 26-07-2004
g
materia de
Seguridad de la
Informacin en
informacin 1 26-07-2004
RM 310-2004-PCM Autorizan ejecucin de la Primera Encuesta de
Seguridad de la Informacin en la Administracin Pblica
RJ 347-2001 INEI Aprueban Directiva Normas y procedimientos
Tcnicos para garantizar la Seguridad de la Informacin publicadas
por las entidades de la Administracin Pblica 08 11 2002
el Per
por las entidades de la Administracin Pblica 08-11-2002
RJ 236-2001-INI Crean el Centro de Consulta e Investigacin sobre
Seguridad de la Informacin CCISI- 21-09-2001
Resolucin N 030-2008 /CRT-INDECOPI Aprueban Guas de
acreditacin de Entidades de Certificacin Digital, Entidades de
Registro o Verificacin de datos y Entidades de Prestacin de
79
Registro o Verificacin de datos y Entidades de Prestacin de
Servicios de Valor Aadido, as como la Gua para la Acreditacin del
Software de Firmas Digitales 19-03-2008
GRACIAS POR SU ATENCIN GRACIAS POR SU ATENCIN
Miguel Vliz Granados
Secretario Tcnico del CTNEMD Secretario Tcnico del CTNEMD
Lder de Certificacin de la Idoneidad Tcnica de
los Sistemas de Produccin y Almacenamiento de
Mi f
80
Microformas
mvelizg@yahoo.com.mx