Norma de seguridad
Páginas: 189 (47193 palabras)
Publicado: 24 de noviembre de 2010
NORMA TÉCNICA NTP-ISO/IEC 17799
PERUANA 2007 EN PARTES
INDICE
INDICE I
PREFACIO IV
INTRODUCCION 1
¿Qué es la seguridad de la Información? 1
¿Por qué es necesaria la seguridad de información? 1
¿Cómo establecer los requisitos de seguridad? 2
Evaluación de los riesgos de seguridad 2
Selección de controles 3
Punto de partida de la seguridad de la información 3
Factores críticos deéxito 4
Desarrollo de directrices propias 5
1. OBJETO Y CAMPO DE APLICACIÓN 6
2. TÉRMINOS Y DEFINICIONES 6
3. ESTRUCTURA DE ESTE ESTANDAR 8
3.1 Cláusulas 8
3.2 Categorías principales de seguridad 9
4. EVALUACION Y TRATAMIENTO DEL RIESGO 10
4.1 Evaluando los riesgos de seguridad 10
4.2 Tratando riesgos de seguridad 10
5. POLÍTICA DE SEGURIDAD 12
5.1 Política de seguridad de la información 126. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD 15
6.1 Organización interna 15
6.2 Seguridad en los accesos de terceras partes 24
7. CLASIFICACIÓN Y CONTROL DE ACTIVOS 32
7.1 Responsabilidad sobre los activos 32
7.2 Clasificación de la información 35
8. SEGURIDAD EN RECURSOS HUMANOS 37
8.1 Seguridad antes del empleo 37
8.2 Durante el empleo 41
8.3 Finalización o cambio del empleo 44
9.SEGURIDAD FÍSICA Y DEL ENTORNO 47
9.1 Áreas seguras 47
9.2 Seguridad de los equipos 52
10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 59
10.1 Procedimientos y responsabilidades de operación 59
10.2 Gestión de servicios externos 64
10.3 Planificación y aceptación del sistema 67
10.4 Protección contra software malicioso 69
10.5 Gestión de respaldo y recuperación 72
10.6 Gestión de seguridad enredes 74
10.7 Utilización de los medios de información 76
10.8 Intercambio de información 80
10.9 Servicios de correo electrónico 87
10.10 Monitoreo 91
11. CONTROL DE ACCESOS 98
11.1 Requisitos de negocio para el control de accesos 98
11.2 Gestión de acceso de usuarios 100
11.3 Responsabilidades de los usuarios 105
11.4 Control de acceso a la red 108
11.5 Control de acceso al sistemaoperativo 115
11.6 Control de acceso a las aplicaciones y la información 121
11.7 Informática móvil y teletrabajo 124
12. ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS 128
12.1 Requisitos de seguridad de los sistemas 128
12.2 Seguridad de las aplicaciones del sistema 130
12.3 Controles criptográficos 134
12.4 Seguridad de los archivos del sistema 138
12.5 Seguridad en los procesos dedesarrollo y soporte 142
12.6 Gestión de la vulnerabilidad técnica 147
13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE INFORMACIÓN 149
13.1 Reportando eventos y debilidades de la seguridad de información 149
13.2 Gestión de las mejoras e incidentes en la seguridad de información 152
14. GESTIÓN DE CONTINUIDAD DEL NEGOCIO 156
14.1 Aspectos de la gestión de continuidad del negocio 156
15.CUMPLIMIENTO 164
15.1 Cumplimiento con los requisitos legales 164
15.2 Revisiones de la política de seguridad y de la conformidad técnica 170
15.3 Consideraciones sobre la auditoria de sistemas 172
16. ANTECEDENTES 174
PREFACIO
A. RESEÑA HISTORICA
A.1 La presente Norma Técnica Peruana ha sido elaborada por el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI),mediante el Sistema 1 u Adopción, durante los meses de junio a julio del 2006, utilizando como antecedente a la Norma ISO/IEC 17799:2005 Information technology – Code of practice for information security management.
A.2 El Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI) presentó a la Comisión de Reglamentos Técnico y Comerciales -CRT-, con fecha 2006-07-21,el PNTP-ISO/IEC 17799:2006 para su revisión y aprobación; siendo sometido a la etapa de Discusión Pública el 2006-11-25.
No habiéndose presentado observaciones fue oficializada como Norma Técnica Peruana
NTP-ISO/IEC 17799:2007 EDI. Tecnología de la información. Código de buenas
prácticas para la gestión de la seguridad de la información, 2ª Edición, el 22 de
enero del 2007.
Esta Norma...
PERUANA 2007 EN PARTES
INDICE
INDICE I
PREFACIO IV
INTRODUCCION 1
¿Qué es la seguridad de la Información? 1
¿Por qué es necesaria la seguridad de información? 1
¿Cómo establecer los requisitos de seguridad? 2
Evaluación de los riesgos de seguridad 2
Selección de controles 3
Punto de partida de la seguridad de la información 3
Factores críticos deéxito 4
Desarrollo de directrices propias 5
1. OBJETO Y CAMPO DE APLICACIÓN 6
2. TÉRMINOS Y DEFINICIONES 6
3. ESTRUCTURA DE ESTE ESTANDAR 8
3.1 Cláusulas 8
3.2 Categorías principales de seguridad 9
4. EVALUACION Y TRATAMIENTO DEL RIESGO 10
4.1 Evaluando los riesgos de seguridad 10
4.2 Tratando riesgos de seguridad 10
5. POLÍTICA DE SEGURIDAD 12
5.1 Política de seguridad de la información 126. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD 15
6.1 Organización interna 15
6.2 Seguridad en los accesos de terceras partes 24
7. CLASIFICACIÓN Y CONTROL DE ACTIVOS 32
7.1 Responsabilidad sobre los activos 32
7.2 Clasificación de la información 35
8. SEGURIDAD EN RECURSOS HUMANOS 37
8.1 Seguridad antes del empleo 37
8.2 Durante el empleo 41
8.3 Finalización o cambio del empleo 44
9.SEGURIDAD FÍSICA Y DEL ENTORNO 47
9.1 Áreas seguras 47
9.2 Seguridad de los equipos 52
10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 59
10.1 Procedimientos y responsabilidades de operación 59
10.2 Gestión de servicios externos 64
10.3 Planificación y aceptación del sistema 67
10.4 Protección contra software malicioso 69
10.5 Gestión de respaldo y recuperación 72
10.6 Gestión de seguridad enredes 74
10.7 Utilización de los medios de información 76
10.8 Intercambio de información 80
10.9 Servicios de correo electrónico 87
10.10 Monitoreo 91
11. CONTROL DE ACCESOS 98
11.1 Requisitos de negocio para el control de accesos 98
11.2 Gestión de acceso de usuarios 100
11.3 Responsabilidades de los usuarios 105
11.4 Control de acceso a la red 108
11.5 Control de acceso al sistemaoperativo 115
11.6 Control de acceso a las aplicaciones y la información 121
11.7 Informática móvil y teletrabajo 124
12. ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS 128
12.1 Requisitos de seguridad de los sistemas 128
12.2 Seguridad de las aplicaciones del sistema 130
12.3 Controles criptográficos 134
12.4 Seguridad de los archivos del sistema 138
12.5 Seguridad en los procesos dedesarrollo y soporte 142
12.6 Gestión de la vulnerabilidad técnica 147
13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE INFORMACIÓN 149
13.1 Reportando eventos y debilidades de la seguridad de información 149
13.2 Gestión de las mejoras e incidentes en la seguridad de información 152
14. GESTIÓN DE CONTINUIDAD DEL NEGOCIO 156
14.1 Aspectos de la gestión de continuidad del negocio 156
15.CUMPLIMIENTO 164
15.1 Cumplimiento con los requisitos legales 164
15.2 Revisiones de la política de seguridad y de la conformidad técnica 170
15.3 Consideraciones sobre la auditoria de sistemas 172
16. ANTECEDENTES 174
PREFACIO
A. RESEÑA HISTORICA
A.1 La presente Norma Técnica Peruana ha sido elaborada por el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI),mediante el Sistema 1 u Adopción, durante los meses de junio a julio del 2006, utilizando como antecedente a la Norma ISO/IEC 17799:2005 Information technology – Code of practice for information security management.
A.2 El Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI) presentó a la Comisión de Reglamentos Técnico y Comerciales -CRT-, con fecha 2006-07-21,el PNTP-ISO/IEC 17799:2006 para su revisión y aprobación; siendo sometido a la etapa de Discusión Pública el 2006-11-25.
No habiéndose presentado observaciones fue oficializada como Norma Técnica Peruana
NTP-ISO/IEC 17799:2007 EDI. Tecnología de la información. Código de buenas
prácticas para la gestión de la seguridad de la información, 2ª Edición, el 22 de
enero del 2007.
Esta Norma...
Leer documento completo
Regístrate para leer el documento completo.