Documentos de Académico
Documentos de Profesional
Documentos de Cultura
VISTOS:
CONSIDERANDO:
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Que, el precitado Reglamento del Decreto Legislativo N° 1412, aprobado por el
Decreto Supremo N° 029-2021-PCM, también dispone, en su artículo 109, que el
Sistema de Gestión de Seguridad (en adelante SGSI) comprende el conjunto de
políticas, lineamientos, procedimientos, recursos y actividades asociadas, que gestiona
una entidad con el propósito de proteger sus activos de información, de manera
independiente del soporte en que estos se encuentren. Asimismo, contempla la gestión
de riesgos e incidentes de seguridad de la información y seguridad digital, la
implementación efectiva de medidas de ciberseguridad, y acciones de colaboración y
cooperación; el diseño, implementación, operación y mejora del SGSI atiende a las
necesidades de todas las partes interesadas de la entidad; asimismo, responde a los
objetivos estratégicos, estructura, tamaño, procesos y servicios de la entidad; las
entidades de la Administración Pública implementan un SGSI en su institución, teniendo
como alcance mínimo sus procesos misionales y aquellos que son relevantes para su
operación; así como se gestiona la implementación de controles y medidas de seguridad
a nivel organizacional, técnico y legal, basadas en riesgos, a fin de garantizar la
disponibilidad, integridad y confidencialidad de los datos personales que sean tratados,
procesados, almacenados y compartidos a una entidad, así como en cualquier otra
forma de actividad que facilite el acceso o intercambio de datos;
Que, el artículo 111 del Reglamento del Decreto Legislativo N° 1412, aprobado
por el Decreto Supremo N° 029-2021-PCM, dispone que el titular de la entidad es
responsable de la implementación del SGSI; así como que el Comité de Gobierno Digital
es responsable de dirigir, mantener y supervisar el SGSI de la entidad, atendiendo las
normas en materia de seguridad digital, confianza y gobierno digital;
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Gestión Documentaria, el Oficial de Seguridad de la Información, la Directora de la
Oficina de Asesoría Jurídica y el Director de la Oficina de Planificación y Presupuesto;
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Edición, señalando que otorgó viabilidad legal para su aprobación y que corresponde la
emisión del acto resolutivo que disponga la publicación del citado documento de técnico;
SE RESUELVE:
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
ANEXO
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
I. OBJETIVO
Establecer los criterios, procesos y metodología para la gestión de los riesgos
de Seguridad de la Información (SGSI) del Programa Nacional de Becas y
Crédito Educativo (Pronabec).
I. FINALIDAD
Identificar, analizar, evaluar y dar tratamiento a los riesgos de seguridad de la
información según el alcance del SGSI, en cumplimiento con la normativa
vigente para garantizar razonablemente el logro de los objetivos estratégicos
y operativos de la organización.
II. ALCANCE
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
g) Control del riesgo: Medio para gestionar el riesgo, incluyendo políticas,
procedimientos, directrices, prácticas o estructuras de la entidad que
pueden ser de naturaleza administrativa, técnica, de gestión o legal.
Control es también utilizado como sinónimo de salvaguarda o
contramedida.
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
s) Inventario de Activos: Lista de todos aquellos recursos (físicos, de
información, software, documentos, servicios, personas, intangibles, etc.)
dentro del alcance del SGSI, que tengan valor para la organización y
necesiten por tanto ser protegidos de potenciales riesgos.
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
27001:2014 EDI Tecnología de la Información. Técnicas de Seguridad.
Sistemas de Gestión de Seguridad de la Información. Requisitos”, 2da
Edición en todas las entidades integrantes del Sistema Nacional de
Informática.
Resolución Ministerial Nº 166-2017-PCM – Modifica el artículo 5 de la RM
N.º 004-2016-PCM referente al Comité de Seguridad de la Información.
Resolución Directoral Ejecutiva N° 263-2019-MINEDU/VMGI-PRONABEC
publicada el 04 de diciembre de 2019, que constituye el Comité de Gobierno
Digital del Programa Nacional de Becas y Crédito Educativo (PRONABEC).
Resolución Directoral Ejecutiva N° 179-2020-MINEDU/VMGI-PRONABEC
publicada el 10 de noviembre de 2020, que aprueba la directiva denominada
“Disposiciones de Seguridad de la Información del PRONABEC”.
Resolución Directoral Ejecutiva N°096-2021-MINEDU/VMGI-PRONABEC
publicada el 04 de junio de 2021, que designa al Oficial de Seguridad de la
Información del PRONABEC.
ISO/IEC 27000:2014 "Tecnología de la información. Técnicas de seguridad
- Sistemas de gestión de seguridad de la información – Visión general y
vocabulario".
NTP-ISO/IEC 27001:2014 "Tecnología de la Información. Técnicas de
Seguridad - Sistemas de Gestión de Seguridad de Información - Requisitos".
NTP-ISO/IEC 27002:2017 “Tecnología de la Información. Técnicas de
Seguridad. Código de prácticas para controles de seguridad de la
información.
NTP-ISO/IEC 27005:2018 “Tecnología de la Información. Técnicas de
seguridad. Gestión de riesgos de la seguridad de la información.
NTP-ISO/IEC 27035:2013 “Tecnología de la Información. Técnicas de
seguridad. Gestión de incidentes de seguridad de la información.
NTP-ISO 31000:2018 “Gestión de Riesgos – Principios y Directrices”.
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
V. RESPONSABLES
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
5.5. Responsables de la Implementación
Figura 01
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
6.1.3. Marco de Trabajo
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
6.1.4. Resumen de la metodología
Figura 02
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
6.1.5. Ciclo de Vida del Riesgo
Figura 03
Figura 04
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
6.2. Contexto y Alcance
6.2.1. Misión
Figura 04
6.2.3. Alcance
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
a. Área: Se registra el nombre del área dueña del proceso a
registrar sus activos de información.
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Tipo Descripción Categoría
Electrónica
Son todos aquellos activos Impresa
intangibles que son gestionados Electrónica e Impresa
Información
por la organización a través de
las tecnologías de la información Otro Tipo
Equipo de procesamiento
Equipo virtual de procesamiento
Son todos los activos tangibles Equipo de Comunicación
Físico relacionados a la información Medio de soporte
gestionada. Instalaciones
Otro equipo
Comercial
Son todos los activos intangibles Terceros
Software de software relacionados a la Desarrollo Propio
información gestionada. Otro
Públicos
Registro del servicio asociado al
Servicios Procesamiento y comunicaciones
activo.
Otros servicios
Responsable de toma de
decisiones (directores o jefes)
Son todos los roles funcionales Usuarios
Personas relacionados a la información
Personal
gestionada.
Operación/mantenimiento
Tercero
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Clasificación Descripción
Uso Interno Son todos aquellos activos que son accedidos exclusivamente
por personal interno de la institución y cuyo acceso
excepcional por parte de personal externo (auditores, entidades
reguladoras, consultores externos) puede realizarse, sin
embargo, se encuentra regulado y sujeto a condiciones
específicas de acceso (acuerdo de confidencialidad) siempre y
cuando su divulgación no afecte al Pronabec.
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Valor Confidencialidad Disponibilidad Integridad
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
6.4. Identificación de Riesgos
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
e. Riesgo: Se registra la narrativa del riesgo.
Como punto adicional podría hacerse una clasificación del riesgo con la
finalidad de establecer con mayor facilidad el análisis del impacto que es
parte del proceso de análisis de riesgos, considerando:
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
6.5. Riesgos de Tecnología: Están relacionados con la capacidad
tecnológica de la Entidad para satisfacer sus necesidades actuales y
futuras y el cumplimiento de la misión.
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
6.6.3. Identificación de Vulnerabilidades
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Impacto Valor Descripción
Bajo 4 No representa un impacto importante. Se cuenta con
controles suficientes que responden a un programa de
mantenimiento (evaluados y mejorados), se evidencia
que han respondido a acontecimientos ocurridos y
ejercicios realizados, se puede prescindir del servicio
por un tiempo limitado.
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Muy 10 40 60 80 100
Alta
(Medio) (Alto) (Muy (Muy
Alto) Alto)
Probabilidad Alta 8 32 48 64 80
Media 6 24 36 48 60
Baja 4 16 24 32 40
NIVEL DE RIESGO 4 6 8 10
Impacto
Bajo: Asumir el riesgo
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
6.8.1. Valoración de Controles Existentes
Los controles se clasifican en:
Probabilidad Impacto
Existe documentación 15
para el manejo de la
herramienta.
Desde su aplicación la 30
herramienta ha
mostrado ser efectiva.
Se tiene una 20
frecuencia definida y
adecuada para la
ejecución del control y
su seguimiento.
TOTAL 100
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Afectación del control y cuadrante a disminuir
Entre 0 – 50 0 0
Entre 51- 75 1 1
Entre 76 - 100 2 2
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Aceptar: La aceptación del riesgo debe ser realizada
formalmente por la organización, ya que su elección implica que
la organización es consciente de las posibles amenazas a las que
se encuentra expuesta y que está optando por no tomar medidas
frente a estas. Para ello deberá completar el Formato de
Aceptación de Riesgos (Anexo 07).
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
6.10. Declaración de Aplicabilidad
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
6.12. Monitoreo de Riesgos
6.13. Anexos
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
METODOLOGÍA DE GESTIÓN DE RIESGOS
DE SEGURIDAD DE LA INFORMACIÓN
Anexo 01
Mapa de Procesos del Pronabec
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
METODOLOGÍA DE GESTIÓN DE RIESGOS
DE SEGURIDAD DE LA INFORMACIÓN
Anexo 02
Inventario de Activos de Información
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Página 34 de 61
Área:
Proceso:
Fecha:
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
METODOLOGÍA DE GESTIÓN DE RIESGOS
DE SEGURIDAD DE LA INFORMACIÓN
Anexo 03
Formato de Identificación de Riesgos
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Página 36 de 61
Área:
Proceso:
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
METODOLOGÍA DE GESTIÓN DE RIESGOS
DE SEGURIDAD DE LA INFORMACIÓN
Anexo 04
Listado de Amenazas
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
AMENAZA TIPO
Incendio
Fenómeno climático
Fenómeno sísmico
Eventos
Fenómeno volcánico
naturales
Fenómeno meteorológico
Inundación
Fallas del sistema de aire acondicionado o del suministro
de agua Pérdida de
Pérdida del suministro de electricidad servicios
esenciales
Falla del equipo de telecomunicaciones
Robo de equipos
Falla de equipo
Abuso de derechos
Compromiso de
Falsificación de derechos
funciones
Negación de acciones
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
AMENAZA TIPO
Hacking
Bomba/Terrorismo
Asalto a un empleado
Gente dentro de
Chantaje
la Institución
Abuso informático (empleados mal
capacitados,
Robo de información resentidos,
maliciosos,
Soborno por información negligentes,
deshonestos o
Ingreso de datos falsificados o corruptos
despedidos)
Códigos maliciosos (ej. Virus, bomba lógica, troyano)
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Cubrimiento de los Penetración en el
medios de sistema
comunicación Manipulación en
el sistema
Espionaje industrial Ventaja Ventaja de defensa
(inteligencia, competitiva Ventaja política
empresas, gobiernos Espionaje Explotación
extranjeros, otros económico económica
intereses) Hurto de información
Intrusión en privacidad
personal
Ingeniería social
Penetración en el
sistema
Acceso no autorizado
al sistema
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
METODOLOGÍA DE GESTIÓN DE RIESGOS
DE SEGURIDAD DE LA INFORMACIÓN
Anexo 05
Listado de Vulnerabilidades
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
VULNERABILIDAD CATEGORÍA
Mantenimiento insuficiente
Almacenamiento no protegido
Falta de documentación
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
VULNERABILIDAD CATEGORÍA
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
VULNERABILIDAD CATEGORÍA
Falta de asignación apropiada de responsabilidades de
seguridad en la información
Falta de planes de continuidad
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
METODOLOGÍA DE GESTIÓN DE RIESGOS
DE SEGURIDAD DE LA INFORMACIÓN
Anexo 06
Formato de Matriz de Riesgos
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Página 46 de 61
Área:
Proceso:
Objetivo:
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
METODOLOGÍA DE GESTIÓN DE RIESGOS
DE SEGURIDAD DE LA INFORMACIÓN
Anexo 07
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Página 48 de 61
Área:
Proceso:
Fecha:
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
METODOLOGÍA DE GESTIÓN DE RIESGOS
DE SEGURIDAD DE LA INFORMACIÓN
Anexo 08
Formato de Plan de Tratamiento de Riesgos
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Página 50 de 61
Área:
Proceso:
Objetivo:
CALIFICACIÓN VALORACIÓN
CÓDIGO Tipo PUNTAJE PUNTAJE Puntaje
DEL RIESGO Probabilidad Impacto CONTROLES Controles Herramientas para Seguimiento Final
RIESGO Probabilidad ejercer el control al Control
/ Impacto
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Página 51 de 61
Área:
Proceso:
Fecha:
RIESGO
FECHA DE INICIO DE
RESPONSABLE DE
IMPLEMENTACIÓN
IMPLEMENTACIÓN
NIVEL DE RIESGO
CALIFICACIÓN RESIDUAL
TRATAMMIENTO
ESTRATEGIA DE
IMPLEMENTACIÓN
FECHA FIN DE LA
EVALUACIÓN
CÓDIGO DEL
CONTROLES
ÁREA DEL
PROBABILIDADD
PROBABILIDADD
RIESGO
RIESGO
ACCIONES
EVALUACIÓN
RIESGO
DEL
LA
LA
IMPACTO
IMPACTO
A ESTADO
REALIZAR
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
METODOLOGÍA DE GESTIÓN DE RIESGOS
DE SEGURIDAD DE LA INFORMACIÓN
Anexo 09
Declaración de la Aplicabilidad
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
Página 1 de 10
Fecha:
JUSTIFICACIÓN
CLÁUSULA OBJETIVOS DE APLICA DOCUMENTO
CONTROL DE LA INCLUSIÓN
N° CONTROL SI/NO RELACIONADO
O EXCLUSIÓN
A.5 POLÍTICAS DE SEGURIDAD DE INFORMACIÓN
A.5.1.1 Políticas de
A.5.1 Dirección de SI
seguridad de información
Gestión para la
A.5.1.2 Revisión de las
Seguridad de
políticas de seguridad de SI
Información
información
A.6
A.6.1.1 Funciones de
seguridad de información SI
y responsabilidades
A.6.1.2 Separación de
SI
deberes
A.6.1
A.6.1.3 Contacto con
Organización SI
autoridades
Interna
A.6.1.4 Contacto con
SI
grupos de interés especial
A.6.1.5 Seguridad de
información en gerencia SI
de proyectos
A.6.2 Dispositivos A.6.2.1 Política de
SI
Móviles y dispositivo móvil
Teletrabajo A.6.2.2 Teletrabajo SI
A.7
A.7.1.1 Evaluación SI
A.7.2.1
A.7.2 Durante el
Responsabilidades de SI
Empleo
gestión
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
JUSTIFICACIÓN
CLÁUSULA OBJETIVOS DE APLICA DOCUMENTO
CONTROL DE LA INCLUSIÓN
N° CONTROL SI/NO RELACIONADO
O EXCLUSIÓN
A.7.2.2 Conciencia de
seguridad de información, SI
educación y capacitación
A.7.2.3 Proceso
SI
disciplinario
A.8
A.8.1.1 Inventario de
SI
activos
A.8.1.2 Propiedad de
SI
activos
A.8.1 A.8.1.3 Uso aceptable de
SI
Responsabilidad activos
por Activos
A.8.1.4 Retorno de
SI
activos
A.8.2.1 Clasificación de
SI
información
A.8.2 Clasificación
de la Información
A.8.2.2 Etiquetado de
SI
información
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
JUSTIFICACIÓN
CLÁUSULA OBJETIVOS DE APLICA DOCUMENTO
CONTROL DE LA INCLUSIÓN
N° CONTROL SI/NO RELACIONADO
O EXCLUSIÓN
A.9.2.1 Registro y
cancelación de registro de SI
usuarios
A.9.2.2 Provisión del
SI
acceso de usuario
A.9.2.3 Gestión de
derechos de acceso SI
privilegiados
A.9.2 Gestión de A.9.2.4 Gestión de la
Acceso de Usuario información de
SI
autenticación secreta de
los usuarios
A.9.2.5 Revisión de
derechos de acceso de SI
usuarios
A.9.2.6 Eliminación o
ajuste de derechos de SI
acceso
A.9.3 A.9.3.1 Uso de
Responsabilidades información de SI
de Usuarios autenticación secreta
A.9.4.1 Restricción de
SI
acceso a la información
A.9.4.2 Procedimientos
A.9.4 Control de seguros de inicio de SI
Acceso de sesión
Aplicación y A.9.4.3 Sistema de
Sistema SI
gestión de contraseña
A.9.4.4 Uso de programas
SI
de utilidad privilegiada
A.9.4.5 Control de acceso
al código fuente del SI
programa
A.10
A.10.1.1 Política sobre el
uso de controles SI
A.10.1 Controles
criptográficos
Criptográficos
A.10.1.2 Gestión de
SI
claves
A.11
A.11.1.1 Perímetro de
SI
seguridad física
A.11.1.2 Controles de
SI
entrada física
A.11.1 Áreas de
Seguridad A.11.1.3 Seguridad de
oficinas, salas e SI
instalaciones
A.11.1.4 Protección
contra amenazas SI
externas y ambientales
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
JUSTIFICACIÓN
CLÁUSULA OBJETIVOS DE APLICA DOCUMENTO
CONTROL DE LA INCLUSIÓN
N° CONTROL SI/NO RELACIONADO
O EXCLUSIÓN
A.11.1.5 Trabajo en
SI
zonas seguras
A.11.1.6 Zonas de
SI
entrega y de carga
A.11.2.1 Situar los
SI
equipos y protección
A.11.2.2 Servicios
SI
públicos de apoyo
A.11.2.4 Mantenimiento
SI
A.11.2 Equipos de los equipos
A.12.3.1 Copia de
A.12.3 Copia SI
información
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
JUSTIFICACIÓN
CLÁUSULA OBJETIVOS DE APLICA DOCUMENTO
CONTROL DE LA INCLUSIÓN
N° CONTROL SI/NO RELACIONADO
O EXCLUSIÓN
A.12.4.2 Protección de
SI
información de registro
A.12.4.3 Registros de
SI
administrador y operador
A.12.4.4 Sincronización
SI
de reloj
A.12.6.1 Gestión de
A.12.6 Gestión de SI
vulnerabilidades técnicas
Vulnerabilidad
A.12.6.2 Restricciones en
Técnica SI
la instalación de software
A.12.7
Consideraciones A.12.7.1 Controles de
de Auditoría de auditoría de sistemas de SI
Sistemas de información
Información
A.13
A.13.1.1 Controles de
SI
redes
A.13.1.3 Separación en
SI
redes
A.13.2.1 Procedimientos y
políticas de transferencia SI
de información
A.13.2.2 Acuerdos sobre
A.13.2 transferencia de SI
Transferencia de información
Información
A.13.2.3 Mensajería
SI
electrónica
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
JUSTIFICACIÓN
CLÁUSULA OBJETIVOS DE APLICA DOCUMENTO
CONTROL DE LA INCLUSIÓN
N° CONTROL SI/NO RELACIONADO
O EXCLUSIÓN
A.13.2.4 Acuerdo de
confidencialidad o de no SI
divulgación
A.14
A.14.1.1 Análisis y
especificaciones de los
SI
requisitos de seguridad
de la información
A.14.1 Requisitos
de Seguridad de
los Sistemas de
Información A.14.1.2 Asegurar los
servicios de aplicaciones SI
en redes públicas
A.14.2.1 Política de
SI
desarrollo de seguridad
A.14.2.2 Procedimientos
de control de cambios de SI
sistema
A.14.2.5 Principios de
ingeniería de sistemas SI
seguros
A.14.2.6 Entorno de
SI
desarrollo seguro
A.14.2.7 Desarrollo de
SI
externalización
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
JUSTIFICACIÓN
CLÁUSULA OBJETIVOS DE APLICA DOCUMENTO
CONTROL DE LA INCLUSIÓN
N° CONTROL SI/NO RELACIONADO
O EXCLUSIÓN
A.14.2.8 Pruebas de
SI
seguridad del sistema
A.14.2.9 Pruebas de
SI
aceptación del sistema
A.15
A.15.1.1 Política de
seguridad de información
SI
para la relación con los
proveedores
A.15.1.3 Cadena de
suministro de tecnología
SI
de información y
comunicaciones
A.15.2.1 Monitoreo y
A.15.2 Gestión de revisión de los servicios SI
la Prestación de de proveedores
Servicios de A.15.2.2 Gestión de
Proveedor cambios de los servicios SI
del proveedor
A.16
A.16.1.1
Responsabilidades y SI
procedimientos
A.16.1 Gestión de
Incidentes de A.16.1.2 Informe de
Seguridad de la eventos de seguridad de SI
Información y información
Mejoras
A.16.1.3 Informes de
debilidades de seguridad SI
de información
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
JUSTIFICACIÓN
CLÁUSULA OBJETIVOS DE APLICA DOCUMENTO
CONTROL DE LA INCLUSIÓN
N° CONTROL SI/NO RELACIONADO
O EXCLUSIÓN
A.16.1.4 Evaluación y
decisión sobre los
SI
eventos de seguridad de
información
A.16.1.6 Aprendiendo de
los incidentes de
SI
seguridad de la
información
A.16.1.7 Recolección de
SI
evidencia
A.17
A.17.1.1 Planeando la
continuidad de seguridad SI
de información
A.17.2.1 Disponibilidad de
A.17.2 instalaciones de
SI
Redundancias procesamiento de
información
A.18
A.18.1.1 Identificación de
la legislación aplicable y
SI
los requisitos
contractuales
A.18.1
Cumplimiento de
los Requisitos
A.18.1.2 Derechos de
Legales y SI
propiedad intelectual
Contractuales
A.18.1.3 Protección de
SI
registros
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533
JUSTIFICACIÓN
CLÁUSULA OBJETIVOS DE APLICA DOCUMENTO
CONTROL DE LA INCLUSIÓN
N° CONTROL SI/NO RELACIONADO
O EXCLUSIÓN
A.18.1.4 Privacidad y
protección de datos SI
personales
A.18.1.5 Regulación de
SI
controles criptográficos
A.18.2.1 Revisión
independiente de
SI
seguridad de la
A.18.2 Revisiones información
de Seguridad de A.18.2.2 Cumplimiento de
Información las políticas y normas de SI
seguridad
A.18.2.3 Revisión de
SI
cumplimiento técnico
Esta es una copia autenticada imprimible de un documento electrónico archivado por el PRONABEC, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013- PCM y la Tercera Disposición Complementaria
Final del D.S. 026-2016-PCM.
Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: "https://mitramite.pronabec.gob.pe/verifica" e ingresar clave: CAIFGEEI código seguridad: 533