Tareas
Páginas: 31 (7511 palabras)
Publicado: 10 de febrero de 2013
11. CONTROL DE ACCESOS11.1 Requisitos de negocio para el control de accesos
OBJETIVO: Controlar los accesos a la información. Se debería controlar el acceso a la información y los procesos del negocio sobre la base de los requisitos de seguridad y negocio.
Se deberían tener en cuenta para ello las políticas de distribución de la información y de autorizaciones.11.1.1 Política de control de accesos Control
Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.
Guía de implementación
Se deberían establecer claramente en una política de accesos las reglas y los derechos de cada usuario o grupo de usuarios. Los controles de acceso son lógicos y físicos. Se debería dar a los usuarios yproveedores de servicios una especificación clara de los requisitos de negocio cubiertos por los controles de accesos. Esta política debería contemplar lo siguiente:
a) requisitos de seguridad de cada aplicación de negocio individualmente;
b) identificación de toda la información relativa a las aplicaciones y los riesgosque la información esta enfrentando;c) políticas para la distribución de la información y las autorizaciones (porejemplo, el principio de suministro sólo de la información que se necesita conocer y los niveles de seguridad para la clasificación de dicha información;
d) coherencia entre las políticas de control de accesos y las políticas declasificación de la información en los distintos sistemas y redes;e) legislación aplicable y las obligaciones contractuales respecto a la proteccióndel acceso a los datos o servicios ;
f) Perfiles de acceso de usuarios estandarizados según las categorías comunes detrabajos;
g) administración de los derechos de acceso en un entorno distribuido en red quereconozca todos los tipos disponibles de conexión;
h) segregación de los roles de control de acceso, como el pedido de acceso, autorización de acceso, administración de accesos;i) Requerimientos para la autorización formal de los pedidos de acceso;
j) Requerimientos para la revisión periódica de los controles de acceso;
k) Retiro de los derechos de acceso.
Otra Información
Al especificar las reglas de los controles de accesos se tendrá la precaución de considerar:
a) La distinción entre reglas a cumplir siempre y reglas opcionales o condicionales;b) el establecimiento de las reglas basándose en la premisa “está prohibido todo loque no esté permitido explícitamente”, premisa que es contraria a la regla “está permitido todo lo que no esté prohibido explícitamente”, considerada más débil o más permisiva.
c) los cambios en las etiquetas de información. Iniciadas automáticamente por los recursos del tratamiento de la información y las que inicia elusuario manualmente;
d) los cambios en las autorizaciones al usuario realizados automáticamente por elsistema de información y los que realiza un administrador;
e) la distinción entre reglas que requieren o no la aprobación del administrador ode otra autoridad antes de su promulgación. Las reglas de control de acceso deben ser apoyadas por procedimientos formales y por responsabilidadesclaramente definidos por ejemplo, 6.1.3, 11.3, 10.4.1, 11.6).
11.2 Gestión de acceso de usuarios
OBJETIVO: Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de información. Se debería establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios. Estos procedimientos deberían cubrir todas las etapas delciclo de vida del acceso de los usuarios, desde el registro inicial de los nuevos hasta la baja del registro de los usuarios que ya no requieran dicho acceso a los sistemas y servicios. Se debería prestar especial atención, donde sea apropiado, al necesario control de la asignación de derechos de acceso privilegiados que permitan a ciertos usuarios evitar los controles...
OBJETIVO: Controlar los accesos a la información. Se debería controlar el acceso a la información y los procesos del negocio sobre la base de los requisitos de seguridad y negocio.
Se deberían tener en cuenta para ello las políticas de distribución de la información y de autorizaciones.11.1.1 Política de control de accesos Control
Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.
Guía de implementación
Se deberían establecer claramente en una política de accesos las reglas y los derechos de cada usuario o grupo de usuarios. Los controles de acceso son lógicos y físicos. Se debería dar a los usuarios yproveedores de servicios una especificación clara de los requisitos de negocio cubiertos por los controles de accesos. Esta política debería contemplar lo siguiente:
a) requisitos de seguridad de cada aplicación de negocio individualmente;
b) identificación de toda la información relativa a las aplicaciones y los riesgosque la información esta enfrentando;c) políticas para la distribución de la información y las autorizaciones (porejemplo, el principio de suministro sólo de la información que se necesita conocer y los niveles de seguridad para la clasificación de dicha información;
d) coherencia entre las políticas de control de accesos y las políticas declasificación de la información en los distintos sistemas y redes;e) legislación aplicable y las obligaciones contractuales respecto a la proteccióndel acceso a los datos o servicios ;
f) Perfiles de acceso de usuarios estandarizados según las categorías comunes detrabajos;
g) administración de los derechos de acceso en un entorno distribuido en red quereconozca todos los tipos disponibles de conexión;
h) segregación de los roles de control de acceso, como el pedido de acceso, autorización de acceso, administración de accesos;i) Requerimientos para la autorización formal de los pedidos de acceso;
j) Requerimientos para la revisión periódica de los controles de acceso;
k) Retiro de los derechos de acceso.
Otra Información
Al especificar las reglas de los controles de accesos se tendrá la precaución de considerar:
a) La distinción entre reglas a cumplir siempre y reglas opcionales o condicionales;b) el establecimiento de las reglas basándose en la premisa “está prohibido todo loque no esté permitido explícitamente”, premisa que es contraria a la regla “está permitido todo lo que no esté prohibido explícitamente”, considerada más débil o más permisiva.
c) los cambios en las etiquetas de información. Iniciadas automáticamente por los recursos del tratamiento de la información y las que inicia elusuario manualmente;
d) los cambios en las autorizaciones al usuario realizados automáticamente por elsistema de información y los que realiza un administrador;
e) la distinción entre reglas que requieren o no la aprobación del administrador ode otra autoridad antes de su promulgación. Las reglas de control de acceso deben ser apoyadas por procedimientos formales y por responsabilidadesclaramente definidos por ejemplo, 6.1.3, 11.3, 10.4.1, 11.6).
11.2 Gestión de acceso de usuarios
OBJETIVO: Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de información. Se debería establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios. Estos procedimientos deberían cubrir todas las etapas delciclo de vida del acceso de los usuarios, desde el registro inicial de los nuevos hasta la baja del registro de los usuarios que ya no requieran dicho acceso a los sistemas y servicios. Se debería prestar especial atención, donde sea apropiado, al necesario control de la asignación de derechos de acceso privilegiados que permitan a ciertos usuarios evitar los controles...
Leer documento completo
Regístrate para leer el documento completo.