BASADO EN EL ISO 17799SOBRE SEGURIDAD INFORMATICA
La Normalización es una actividad necesaria, deelevada importancia que según AENOR (1993)"pretende establecer un proceso ...
Es la expresión práctica de la normalización mediante lacual el fabricante, consumidores, usuarios yadministradores acuer...
Fabricantes a través de sus organizaciones sectoriales y ensu condición de empresa;Usuarios y consumidores a través de s...
En Perú, la Normalización como actividad sistemáticay organizada es de origen reciente. Como primerintento de unificación...
La normalización tal como se entiende actualmente,se inicia con la creación del Instituto Nacional deNormas Técnicas Indu...
 La Organización Internacional para la Estandarización (ISO) es unafederación de alcance mundial integrada por cuerpos de...
ISO 17799 es una norma internacional que ofrecerecomendaciones para realizar la gestión de la seguridadde la información ...
La seguridad de la información se define como lapreservación de Integridad, Disponibilidad yConfidencialidad de los activ...
 La presente Norma Técnica Peruana fue elaborada por el ComitéTécnico de Normalización de Codificación e IntercambioElect...
En Perú la ISO/IEC 17799:2000 es de uso obligatorio entodas las instituciones públicas desde el año 2004,estandarizando d...
La seguridad de la Información se define en el estándarcomo la preservación de la confidencialidad (asegurandoque sólo qu...
Política de seguridadAspectos organizativos para la seguridadClasificación y control de activosSeguridad ligada al per...
Dentro de cada sección, se especifican los objetivos delos distintos controles para la seguridad de lainformación. Para c...
Se encarga de dirigir y dar soporte a la gestión de la seguridadde la información en concordancia con los requerimientos ...
 Gestionar la seguridad de la información dentro de laorganización. Se deberá tomar una estructura de gestión para inici...
Mantener una protección adecuada sobre los activos dela organización.Todos los activos deben ser considerados y tener un...
Asegurar que los empleados, contratistas y tercerosentiendan sus responsabilidades y que sean adecuadospara los roles que...
Evitar acceso no autorizados, daños de interferenciascontra los locales u la información de la organización.Los recursos...
Asegurar la operación correcta y segura de losrecursos de tratamiento informáticos.Se debería establecer responsabilidad...
Controlar los accesos a la información.Se debería controlar el acceso a la información y losprocesos del negocio sobre l...
Asegurar que la seguridad esté imbuida dentro de lossistemas de información.Esto incluirá la infraestructura, las aplica...
Asegurar que los eventos y debilidades en la seguridad deinformación asociados con los sistemas de informaciónsean comuni...
Reaccionar a la interrupción de actividades delnegocio y proteger sus procesos críticos frente agrandes fallos de los sis...
Evitar los incumplimientos de cualquier ley civil o penal,reglamentario, regulación u oblicacion contractual, y detodo re...
La norma ISO/IEC 17799 es una guía de buenas prácticas y noespecifica los requisitos necesarios que puedan permitir elest...
Normas tecnicas peruanas
Normas tecnicas peruanas
Normas tecnicas peruanas
Upcoming SlideShare
Loading in...5
×

Normas tecnicas peruanas

1,217

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,217
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
70
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Normas tecnicas peruanas

  1. 1. BASADO EN EL ISO 17799SOBRE SEGURIDAD INFORMATICA
  2. 2. La Normalización es una actividad necesaria, deelevada importancia que según AENOR (1993)"pretende establecer un proceso por el cual seunifican criterios respecto a determinadas materias yse posibilita la utilización de un lenguaje común enun campo de actividad concreto", y que además puedeser creativa y apasionante si se enfocaadecuadamente.
  3. 3. Es la expresión práctica de la normalización mediante lacual el fabricante, consumidores, usuarios yadministradores acuerdan las características técnicas quedeberá reunir un producto o un servicio. La ISO (1992) ladefine como: "Especificación técnica accesible al público,establecida con la cooperación y el consenso o laaprobación general de todas las partes interesadas, basadasen los resultados conjuntos de la ciencia y la tecnología y laexperiencia, que tiene por objetivo el beneficio óptimo de lacomunidad y que ha sido aprobado por un organismocualificado a nivel nacional, regional o internacional." Esdecir que es un documento técnico voluntario que contieneespecificaciones de calidad, terminología, métodos deensayo, información de rotulado, etc.
  4. 4. Fabricantes a través de sus organizaciones sectoriales y ensu condición de empresa;Usuarios y consumidores a través de sus organizaciones ya título personal;Administración pública, como veladora del bien público yde los intereses de los ciudadanos;Centros de investigación y laboratorios aportando suexperiencia y dictamen técnico;Profesionales a través de asociaciones y colegiosprofesionales o empresas;Expertos en el tema que se normalice, nombrados a títulopersonal"
  5. 5. En Perú, la Normalización como actividad sistemáticay organizada es de origen reciente. Como primerintento de unificación, se dio la Ley de Pesas yMedidas el 16 de diciembre de 1862, siendo Presidenteel General Miguel San Román, por la que se establecióel Sistema Métrico Decimal, cambiando las unidadesde medida usadas hasta ese momento en el país, quese derivaran principalmente de las coloniales eincaicas. Posteriormente, la preocupación por lanormalización se plasma en una serie de reglamentosy códigos de construcción.
  6. 6. La normalización tal como se entiende actualmente,se inicia con la creación del Instituto Nacional deNormas Técnicas Industriales y Certificación(INANTIC) con ley de Promoción Industrial Nº 13270de noviembre de 1959, que continuó sus actividadeshasta 1970. La Ley General de Industrias D.L. Nº 18350y posteriormente, los D.L. 19262 y 19565 crean y fijanobjetivos y funciones del Instituto Nacional deInvestigación Tecnológica y Normas Técnicas(ITINTEC), que funcionó hasta noviembre de 1992.Actualmente las labores de normalización están acargo del Instituto Nacional de Defensa de laCompetencia y de la Protección de la PropiedadIntelectual (INDECOPI), creado por Ley 25818 del 24de noviembre de 1992.
  7. 7.  La Organización Internacional para la Estandarización (ISO) es unafederación de alcance mundial integrada por cuerpos deestandarización nacionales de 130 países, uno por cada país.La ISO es una organización no gubernamental establecida en 1947. Lamisión de la ISO es promover el desarrollo de la estandarización y lasactividades con ella relacionada en el mundo con la mira en facilitar elintercambio de servicios y bienes, y para promover la cooperación enla esfera de lo intelectual, científico, tecnológico y económico.Todos los trabajos realizados por la ISO resultan en acuerdosinternacionales los cuales son publicados como EstándaresInternacionales.
  8. 8. ISO 17799 es una norma internacional que ofrecerecomendaciones para realizar la gestión de la seguridadde la información dirigidas a los responsables de iniciar,implantar o mantener la seguridad de una organización.ISO 17799 define la información como un activo queposee valor para organización y requiere por tanto de unaprotección adecuada.El objetivo de la seguridad de la información esproteger adecuadamente este activo para asegurar lacontinuidad del negocio, minimizar los daños a laorganización y maximizar el retorno de las inversiones ylas oportunidades de negocio.
  9. 9. La seguridad de la información se define como lapreservación de Integridad, Disponibilidad yConfidencialidad de los activos de información.El objetivo de la norma es proporcionar una basecomún para desarrollar normas de seguridad dentrode las organizaciones y ser una práctica eficaz de lagestión de la seguridad.La adaptación peruana de la norma es la NORMATECNICA PERUANA NTP-ISO/IEC 17799
  10. 10.  La presente Norma Técnica Peruana fue elaborada por el ComitéTécnico de Normalización de Codificación e IntercambioElectrónico de Datos (EDI), mediante el Sistema 1 u Adopción,durante los meses de agosto a noviembre del 2003, utilizandocomo antecedente a la Norma ISO/IEC 17799:2000 Informationtechnology – Code of practice for information securitymanagement. El Comité Técnico de Normalización de Codificación eIntercambio Electrónico de Datos (EDI) presentó a la Comisión deReglamentos Técnico y Comerciales -CRT, con fecha 2003-12-02, elPNTP-ISO/IEC 17799:2003 para su revisión y aprobación; siendosometido a la etapa de Discusión Pública el 2004-01-27. Nohabiéndose presentado ninguna observación, fue oficializada comoNorma Técnica Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnologíade la información. Código de buenas prácticas para la gestión de laseguridad de la información, 1ª Edición, el 27 marzo del 2004.
  11. 11. En Perú la ISO/IEC 17799:2000 es de uso obligatorio entodas las instituciones públicas desde el año 2004,estandarizando de esta forma los diversos proyectos ymetodologías en este campo, respondiendo a la necesidadde seguridad por el uso intensivo de Internet y redes dedatos institucionales, la supervisión de su cumplimientoesta a cargo de la Oficina Nacional de GobiernoElectrónico e Informática – ONGEI.ISO/IEC 17799 proporciona recomendaciones de lasmejores prácticas en la gestión de la seguridad de lainformación a todos los interesados y responsables eniniciar, implantar o mantener sistemas de gestión de laseguridad de la información.
  12. 12. La seguridad de la Información se define en el estándarcomo la preservación de la confidencialidad (asegurandoque sólo quienes estén autorizados pueden acceder a lainformación), integridad (asegurando que la información ysus métodos de proceso son exactos y completos) ydisponibilidad (asegurando que los usuarios autorizadostienen acceso a la información y a sus activos asociadoscuando lo requieran).
  13. 13. Política de seguridadAspectos organizativos para la seguridadClasificación y control de activosSeguridad ligada al personalSeguridad física y del entornoGestión de comunicaciones y operacionesControl de accesosDesarrollo y mantenimiento de sistemasGestión de incidentes de seguridad de la informaciónGestión de continuidad de negocioConformidad
  14. 14. Dentro de cada sección, se especifican los objetivos delos distintos controles para la seguridad de lainformación. Para cada uno de los controles se indicaasimismo una guía para su implantación. El númerototal de controles suma 133 entre todas las seccionesaunque cada organización debe considerarpreviamente cuántos serán realmente los aplicablessegún sus propias necesidades.Con la aprobación de la norma ISO/IEC 27001 enoctubre de 2005 y la reserva de la numeración 27.000para la seguridad de la información, se espera queISO/IEC 17799:2005 pase a ser renombrado comoISO/IEC 27002 en la revisión y actualización de suscontenidos en el 2007.
  15. 15. Se encarga de dirigir y dar soporte a la gestión de la seguridadde la información en concordancia con los requerimientos delnegocio, las leyes y regulaciones.La gerencia debería establecer de forma clara las líneas de lapolítica de actuación y manifestar su apoyo y compromiso a laseguridad de la información, publicando y manteniendo unapolítica de seguridad en toda la organización.
  16. 16.  Gestionar la seguridad de la información dentro de laorganización. Se deberá tomar una estructura de gestión para iniciar y controlarla implantación de la seguridad de la información dentro de laorganización. Es conveniente organizar foros de gestión adecuadas con lasgerencias para aprobar la política de seguridad de la información,asignar roles de seguridad y coordinar la implantación de laseguridad en toda la organización. Si fuera necesario, se debería facilitarse el acceso dentro de laorganización a un equipo de consultores especializados enseguridad de la información. Deberían desarrollarse contactos conespecialistas externos de seguridad para mantener al día en lastendencias de la industria. La evolución de las normas y losmétodos de evaluación, así como tener un punto de enlace paratratar las incidencias de seguridad. Debería fomentarse un enfoquemultidisciplinario de la seguridad de la información.
  17. 17. Mantener una protección adecuada sobre los activos dela organización.Todos los activos deben ser considerados y tener unpropietario asignado.Deberían identificarse los propietarios para todos losactivos importantes. Y se debería asignar laresponsabilidad del mantenimiento de los controlesapropiados. La responsabilidad de la implantación decontroles debería delegarse. Pero la responsabilidaddebería mantenerse en el propietario designado alactivo.
  18. 18. Asegurar que los empleados, contratistas y tercerosentiendan sus responsabilidades y que sean adecuadospara los roles que han sido considerados, reduciendo elriesgo de hurto, fraude o mal uso de instalaciones.Las responsabilidades de la seguridad se deben tratarantes del empleo en funciones adecuadas descritas y entérminos y condiciones del empleo.Todos los candidatos para empleo, contratistas y usuariosde terceros deben ser adecuadamente seleccionados,especialmente para trabajos sensibles.Empleados, contratistas, y terceros que utilizan lasinstalaciones del procedimiento de la información debenfirmar un acuerdo de confidencialidad.
  19. 19. Evitar acceso no autorizados, daños de interferenciascontra los locales u la información de la organización.Los recursos para el tratamiento de informacióncrítica o sensible para la organización deberíanubicarse en áreas seguras protegidas por un perímetrode seguridad definido, con barreras de seguridad ycontroles de entrada apropiados. Se debería darprotección física contra accesos no autorizados, dañose interferencias.Dicha proporción debería ser proporcionada a losriesgos identificados.
  20. 20. Asegurar la operación correcta y segura de losrecursos de tratamiento informáticos.Se debería establecer responsabilidades yprocedimientos para la gestión y operaciones de todoslos recursos de tratamiento de información. Estoincluye el desarrollo de instrucciones apropiadas deoperación y procedimientos de la respuesta anteincidencias.Se impulsará la segregación de tareas, cuando seaadecuado, para reducir el riesgo de un mal uso delsistema deliberado o por negligencia.
  21. 21. Controlar los accesos a la información.Se debería controlar el acceso a la información y losprocesos del negocio sobre la base de los requisitos deseguridad y negocios.Se deberían tener en cuenta para ellos las políticas dedistribución de la información y de autorizaciones.
  22. 22. Asegurar que la seguridad esté imbuida dentro de lossistemas de información.Esto incluirá la infraestructura, las aplicaciones denegocios y las aplicaciones desarrolladas por usuarios.El diseño y la implantación de los procesos denegocios que soportan las aplicaciones o el servicio,pueden ser cruciales para la seguridad. Los requisitosde seguridad deberían ser identificados yconsensuados antes de desarrollar los sistemas deinformación.
  23. 23. Asegurar que los eventos y debilidades en la seguridad deinformación asociados con los sistemas de informaciónsean comunicados de una manera que permita que serealice una acción correctiva a tiempo.El reporte formal de eventos y los procedimientos deescalada deben estar implementados.Todos los empleados, contratistas y terceros deben estar altanto de los procedimientos para reportar los diferentestipos de eventos y debilidades que puedan tener impactoen la seguridad de los activos organizacionales. Se les deberequerir que reporten cualquier evento o debilidad en laseguridad de información, lo más rápido posible, al puntode contacto designado.
  24. 24. Reaccionar a la interrupción de actividades delnegocio y proteger sus procesos críticos frente agrandes fallos de los sistemas de información odesastres.
  25. 25. Evitar los incumplimientos de cualquier ley civil o penal,reglamentario, regulación u oblicacion contractual, y detodo requisito de seguridad.El diseño, operación, uso y gestión de los sistemas deinformación puede estar sujeto a requisitos estatuarios,regulatorios y contractuales de seguridad.Se debería buscar el asesoramiento sobre requisitos legalesespecíficos de los asesores legales de la organización, o deprofesionales del derecho calificados. Los requisitoslegales varían de un país a otro, al igual que en el caso delas transmisiones internacionales de datos(datos creadosen un país y transmitidos a otro).
  26. 26. La norma ISO/IEC 17799 es una guía de buenas prácticas y noespecifica los requisitos necesarios que puedan permitir elestablecimiento de un sistema de certificación adecuado paraeste documento.
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×