Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FORMATO
Este formato refleja los requisitos establecidos en el Subsistema de seguridad de la Información como protocolo de
requisitos dili
Aplica
REQUERIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN Justificación
SI NO
No. Análisis y especificación de requisitos de seguridad de la
Requerimiento información
1 El sistema debe permitir la Gestión de Seguridad de
Usuarios, grupos de usuarios y asignación de Roles y perfiles
de usuarios, permitiendo asociar las acciones disponibles en
el sistema a roles de usuario, permitiendo parametrizar las
funcionalidades que cada actor puede usar en el sistema, los
permisos de acceso al sistema para los usuarios podrán ser
cambiados solamente por el administrador de acceso a
datos.
Pruebas de
aceptación y
seguridad de
sistemas34 Los implementadores de sistemas de información deben
35 usar herramientas
Programa detalladopara el análisis de
de actividades código y escáner
y entradas de
de las pruebas
vulnerabilidades
yLas
salidas y
esperadas deben
enhacer corregir
una variedad los defectos encontrados
de condiciones
36 pruebas
antes se deben
de entregar el sistema en uninstacias
a las ambiente dedepruebas
pruebasy
realista,
producciónpara asegurar que las pruebas son confiables.
37 Se debe evitar el uso de datos operacionales que contengan
información de datos personales o cualquier otra
información confidencial para propósitos de prueba. Si esta
información de datos personales u otra información
confidencial se usa para propósitos de las pruebas, todos los
detalles y contenido sensibles se deberían proteger
eliminándolos o modificándolos, la información operacional
se debe borrar del ambiente de pruebas inmediatamente
después de finalizar las pruebas.
OWASP - Se
deben cumplir
con los controles
relativos a
OWASP 41 A1– Inyección: Las fallas de inyección, tales como SQL, OS, y
42 LDAP, ocurren
A2–Pérdida de cuando datos no
Autenticación confiables
y Gestión son enviados
de Sesiones: Las a un
intérprete
funciones de la aplicación relacionadas a autenticacióndatos
como parte de un comando o consulta. Los y
hostiles delsesiones
gestión de atacanteson
pueden engañar al intérprete
frecuentemente y
implementadas
ejecutar comandos
incorrectamente, no intencionados
permitiendo o accedercomprometer
a los atacantes datos no
autorizados.
contraseñas, claves, token de sesiones, o explotar otras
fallas de implementación para asumir la identidad de otros
usuarios.
Diseño
56 Las aplicaciones deben poder ejecutarse sobre las dos
57 versiones más recientes
Se debe establecer en todos
un control sus componentes
de versiones para cualquier
(software base, bases de datos,
tipo de aplicaciones. (DevOps). frameworks de desarrollo,
etc) y se debe garantizar dentro de los acuerdos de niveles
58 del servicio de
Asegurarse conque
los el
proveedores el soporte
almacenamiento para
de los al menos
detalles de lalas
dos versiones de software siguientes a su salida a
transacción esté afuera de cualquier entorno accesible
producción.
públicamente, por ejemplo, en una plataforma de
almacenamiento existente en la intranet de la organización,
y no retenido ni expuesto en un medio de almacenamiento
accesible directamente desde Internet.
ación como protocolo de seguridad en el desarrollo de las aplicaciones en la Superintendencia Nacional de Salud, favor leer ca
requisitos diligenciar el campo no aplica con una "x" y hacer la justificación de la exclusión
VERSIÓN 2
Nacional de Salud, favor leer cada uno de los requisitos y en caso de que no vayan a incluir algunos de los
usión