Transcription of Controles de Seguridad y Privacidad de la Información
1 Controles de Seguridad y Privacidad de la Informaci n Gu a No. 8 HISTORIA VERSI N FECHA CAMBIOS INTRODUCIDOS 15/12/2010 Versi n inicial del documento 30/09/2011 Restructuraci n de forma 30/11/2011 Actualizaci n del documento 08/01/2015 Actualizaci n seg n restructuraci n del modelo 14/03/2016 Revisi n y actualizaci n TABLA DE CONTENIDO P G. 2 TABLA DE CONTENIDO .. 3 1. DERECHOS DE AUTOR .. 4 2. AUDIENCIA .. 5 3. INTRODUCCI N .. 6 4. OBJETIVO .. 7 5. ALCANCE .. 8 6. TABLA DE Controles .. 9 7. DECLARACI N DE APLICABILIDAD .. 18 1. DERECHOS DE AUTOR Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de TI, con derechos reservados por parte del Ministerio de Tecnolog as de la Informaci n y las Comunicaciones, a trav s de la estrategia de Gobierno en L nea.
2 Todas las referencias a las pol ticas, definiciones o contenido relacionado, publicadas en la norma t cnica colombiana NTC ISO/IEC 27001:2013, as como a los anexos con derechos reservados por parte de ISO/ICONTEC. 2. AUDIENCIA Entidades p blicas de orden nacional y entidades p blicas del orden territorial, as como proveedores de servicios de Gobierno en L nea, y terceros que deseen adoptar el Modelo de Seguridad y Privacidad de TI en el marco de la Estrategia de Gobierno en L nea. 3. INTRODUCCI N El Modelo de Seguridad y Privacidad de la Informaci n en la fase de Planificaci n se realiza la selecci n de Controles , y durante la fase Implementaci n se ejecuta la implementaci n de Controles de Seguridad de la informaci n, por lo cual se cuenta con el anexo de Controles del est ndar ISO 27002.
3 El documento presenta los objetivos de control del est ndar ISO 27002. La informaci n es un recurso que, como el resto de los activos, tiene valor para el organismo y por consiguiente debe ser debidamente protegida. Las pol ticas de Seguridad y Privacidad de la informaci n protegen a la misma de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de informaci n, minimizar los riesgos de da o y asegurar el eficiente cumplimiento de los objetivos de las entidades del Estado. Es importante que los principios de la pol tica de Seguridad y Privacidad descritos en el presente documento se entiendan y se asimilen al interior de las entidades como una directriz de Gobierno que ser exitosa en la medida que se cuente con un compromiso manifiesto de la m xima autoridad en cada entidad.
4 4. OBJETIVO Proteger la informaci n de las entidades del Estado, los mecanismos utilizados para el procesamiento de la informaci n, frente a amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad y confiabilidad de la informaci n. OBJETIVO DE LAS ENTIDADES: Establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gesti n de Seguridad de la informaci n dentro de las entidades del Estado, que reporte a nivel central su estado de avance. Fomentar la consulta y cooperaci n con organismos especializados para la obtenci n de asesor a en materia de Seguridad de la informaci n.
5 Garantizar la aplicaci n de medidas de Seguridad adecuadas en los accesos a la informaci n propiedad de las entidades del Estado. 5. ALCANCE Este documento de pol ticas aplica a todas las entidades del Estado que est n vinculadas de alguna manera, como usuarios o prestadores de servicios de la estrategia de Gobierno en l nea, a sus recursos, a sus procesos y al personal interno o externo vinculado a la entidad a trav s de contratos o acuerdos. TERCEROS: Las entidades pueden requerir que terceros accedan a informaci n interna, la copien, la modifiquen, o bien puede ser necesaria la tercerizaci n de ciertas funciones relacionadas con el procesamiento de la informaci n. En estos casos, los terceros deben tener y las entidades les deben exigir, que se establezcan las medidas adecuadas para la protecci n de la informaci n de acuerdo a su clasificaci n y an lisis de riesgo.
6 6. TABLA DE Controles La siguiente tabla, muestra la organizaci n de los Controles detallando los dominios definidos en el componente de Planificaci n. SIEMPRE se deben mencionar los Controles correspondientes al Anexo A de la norma NTC: ISO/IEC 27001, cual trata de los objetivos de control, y se estructurar n tal como lo muestra la Tabla 1: Tabla 1. Estructura de Controles Cada campo se define as : N m.: Este campo identifica cada uno de los Controles correspondientes al Anexo A de la norma NTC: ISO/IEC 27001. Nombre: Este campo hace referencia al nombre del control que se debe aplicar para dar cumplimiento a la pol tica definida. Control: Este campo describe el control que se debe implementar con el fin de dar cumplimiento a la pol tica definida.
7 Dominio: Este campo describe si el control aplica para uno o m ltiples dominios. Seleccionado / Excepci n: El listado de Controles adem s debe ser utilizado para la generaci n de la declaraci n de aplicabilidad, donde cada uno de los Controles es justificado tanto si se implementa como si se excluye de ser implementado, lo cual ayuda a que la entidad tenga documentado y de f cil acceso el inventario de Controles . Descripci n / Justificaci n: El listado de Controles cuenta con la descripci n de cada control en la tabla. Adicionalmente, es posible utilizarlo para la generaci n de la declaraci n de aplicabilidad, donde cada uno de los Controles es justificado tanto si se implementa como si se excluye de ser implementado.
8 Pol tica general N m. Nombre Seleccionado / Excepci n Descripci n / Justificaci n Nombre Control .. Tabla 2 Controles del Anexo A del est ndar ISO/IEC 27001:2013 y dominios a los que pertenece N m. Nombre Selecci n / Excepci n Descripci n / Justificaci n 1 Objeto y campo de aplicaci n Seleccionar los Controles dentro del proceso de implementaci n del Sistema de Gesti n de Seguridad de la Informaci n - SGSI 2 Referencias normativas La ISO/IEC 27000, es referenciada parcial o totalmente en el documento y es indispensable para su aplicaci n. 3 T rminos y definiciones Para los prop sitos de este documento se aplican los t rminos y definiciones presentados en la norma ISO/IEC 27000. 4 Estructura de la norma La norma ISO/IEC 27000, contiene 14 num rales de control de Seguridad de la informaci n que en su conjunto contienen m s de 35 categor as de Seguridad principales y 114 Controles .
9 Pol ticas de Seguridad de la informaci n Directrices establecidas por la direcci n para la Seguridad de la informaci n Objetivo: Brindar orientaci n y apoyo por parte de la direcci n, para la Seguridad de la informaci n de acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes. Pol ticas para la Seguridad de la informaci n Control: Se deber a definir un conjunto de pol ticas para la Seguridad de la informaci n, aprobada por la direcci n, publicada y comunicada a los empleados y partes externas pertinentes. Revisi n de las pol ticas para Seguridad de la informaci n Control: Las pol ticas para Seguridad de la informaci n se deber an revisar a intervalos planificados o si ocurren cambios significativos, para asegurar su conveniencia, adecuaci n y eficacia continuas.
10 Organizaci n de la Seguridad de la informaci n Organizaci n interna Objetivo: Establecer un marco de referencia de gesti n para iniciar y controlar la implementaci n y la operaci n de la Seguridad de la informaci n dentro de la organizaci n. Roles y responsabilidades para la Seguridad de informaci n Control: Se deber an definir y asignar todas las responsabilidades de la Seguridad de la informaci n. Separaci n de deberes Control: Los deberes y reas de responsabilidad en conflicto se deber an separar para reducir las posibilidades de modificaci n no autorizada o no intencional, o el uso indebido de los activos de la organizaci n. Contacto con las autoridades Control: Se deber an mantener los contactos apropiados con las autoridades pertinentes.
