Transcription of NORMA TÉCNICA NTP-ISO/IEC 17799 PERUANA 2007
1 NORMA T CNICA NTP-ISO/IEC 17799 PERUANA 2007 Comisi n de Reglamentos T cnicos y Comerciales - INDECOPI Calle de La Prosa 138, San Borja (Lima 41) Apartado 145 Lima, Per EDI. Tecnolog a de la informaci n. C digo de buenas pr cticas para la gesti n de la seguridad de la informaci n EDI. Information technology. Code of practice for information security management (EQV. ISO/IEC 17799 :2005 Information technology. Code of practice for information security management) 2007-01-16 2 Edici n Publicada el 2007-01-22 Precio basado en 173 p ginas : ESTA NORMA ES RECOMENDABLE Descriptores: EDI, tecnolog a de la informaci n, informaci n multimedia e hipermedia, t cnicas de seguridad IT, c digo de barras, c digo de buenas practicas i INDICE p gina INDICE I PREFACIO IV INTRODUCCION 1 Qu es la seguridad de la Informaci n?
2 1 Por qu es necesaria la seguridad de informaci n? 1 C mo establecer los requisitos de seguridad? 2 Evaluaci n de los riesgos de seguridad 2 Selecci n de controles 3 Punto de partida de la seguridad de la informaci n 3 Factores cr ticos de xito 4 Desarrollo de directrices propias 5 1. OBJETO Y CAMPO DE APLICACI N 6 2. T RMINOS Y DEFINICIONES 6 3. ESTRUCTURA DE ESTE ESTANDAR 8 Cl usulas 8 Categor as principales de seguridad 9 4. EVALUACION Y TRATAMIENTO DEL RIESGO 10 Evaluando los riesgos de seguridad 10 Tratando riesgos de seguridad 10 5. POL TICA DE SEGURIDAD 12 Pol tica de seguridad de la informaci n 12 6. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD 15 Organizaci n interna 15 Seguridad en los accesos de terceras partes 24 7.
3 CLASIFICACI N Y CONTROL DE ACTIVOS 32 Responsabilidad sobre los activos 32 Clasificaci n de la informaci n 35 8. SEGURIDAD EN RECURSOS HUMANOS 37 ii Seguridad antes del empleo 37 Durante el empleo 41 Finalizaci n o cambio del empleo 44 9. SEGURIDAD F SICA Y DEL ENTORNO 47 reas seguras 47 Seguridad de los equipos 52 10. GESTI N DE COMUNICACIONES Y OPERACIONES 59 Procedimientos y responsabilidades de operaci n 59 Gesti n de servicios externos 64 Planificaci n y aceptaci n del sistema 67 Protecci n contra software malicioso 69 Gesti n de respaldo y recuperaci n 72 Gesti n de seguridad en redes 74 Utilizaci n de los medios de informaci n 76 Intercambio de informaci n 80 Servicios de correo electr nico 87 Monitoreo 91 11.
4 CONTROL DE ACCESOS 98 Requisitos de negocio para el control de accesos 98 Gesti n de acceso de usuarios 100 Responsabilidades de los usuarios 105 Control de acceso a la red 108 Control de acceso al sistema operativo 115 Control de acceso a las aplicaciones y la informaci n 121 Inform tica m vil y teletrabajo 124 12. ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS 128 Requisitos de seguridad de los sistemas 128 Seguridad de las aplicaciones del sistema 130 Controles criptogr ficos 134 Seguridad de los archivos del sistema 138 Seguridad en los procesos de desarrollo y soporte 142 iii Gesti n de la vulnerabilidad t cnica 147 13. GESTI N DE INCIDENTES EN LA SEGURIDAD DE INFORMACI N 149 Reportando eventos y debilidades de la seguridad de informaci n 149 Gesti n de las mejoras e incidentes en la seguridad de informaci n 152 14.
5 GESTI N DE CONTINUIDAD DEL NEGOCIO 156 Aspectos de la gesti n de continuidad del negocio 156 15. CUMPLIMIENTO 164 Cumplimiento con los requisitos legales 164 Revisiones de la pol tica de seguridad y de la conformidad t cnica 170 Consideraciones sobre la auditoria de sistemas 172 16. ANTECEDENTES 174 iv PREFACIO A. RESE A HISTORICA La presente NORMA T cnica PERUANA ha sido elaborada por el Comit T cnico de Normalizaci n de Codificaci n e Intercambio Electr nico de Datos (EDI), mediante el Sistema 1 u Adopci n, durante los meses de junio a julio del 2006, utilizando como antecedente a la NORMA ISO/IEC 17799 :2005 Information technology Code of practice for information security management.
6 El Comit T cnico de Normalizaci n de Codificaci n e Intercambio Electr nico de Datos (EDI) present a la Comisi n de Reglamentos T cnico y Comerciales -CRT-, con fecha 2006-07-21, el PNTP-ISO/IEC 17799 :2006 para su revisi n y aprobaci n; siendo sometido a la etapa de Discusi n P blica el 2006-11-25. No habi ndose presentado observaciones fue oficializada como NORMA T cnica PERUANA NTP-ISO/IEC 17799 :2007 EDI. Tecnolog a de la informaci n. C digo de buenas pr cticas para la gesti n de la seguridad de la informaci n, 2 Edici n, el 22 de enero del 2007. Esta NORMA T cnica PERUANA es una adopci n de la NORMA ISO/IEC 17799 :2005.
7 La presente NORMA T cnica PERUANA presenta cambios editoriales referidos principalmente a terminolog a empleada propia del idioma espa ol y ha sido estructurada de acuerdo a las Gu as Peruanas GP 001:1995 y GP 002:1995. B. INSTITUCIONES QUE PARTICIPARON EN LA ELABORACI N DE LA NORMA T CNICA PERUANA Secretar a EAN PERU Presidente Marco Su rez Secretaria Mary Wong ENTIDAD REPRESENTANTE DISTRIBUIDORA MAYORISTA SYMBOL Deyanira Villanueva v DROKASA PERU Juan Aquije E. WONG Marcela Aparicio FOLIUM Roberto Huby ITS CONSULTANTS Ricardo Dioses IBC SOLUTIONS PERU Daniella Orellana OFICINA DE NORMALIZACION PREVISIONAL Roberto Puy PERU SECURE E-NET Pablo Omonte PONT.
8 UNIV. CATOLICA DEL PERU Viktor Khlebnikov Willy Carrera PRESIDENCIA DEL CONSEJO C sar Vilchez DE MINISTROS Max Lazaro SUPERMERCADOS PERUANOS David Mongrut TECNOLOG A FLEXOGRAFICA Ra l Adriazola TRANSPORTE CONFIDENCIAL DE Renzo Alc ntara INFORMACI N - TCI UNILEVER ANDINA PERU Ursula Toyofuku EAN PERU Milagros D vila Tatiana Pe a ---oooOooo--- 1 INTRODUCCION Qu es la seguridad de la Informaci n? La informaci n es un activo que, como otros activos importantes del negocio, tiene valor para la organizaci n y requiere en consecuencia una protecci n adecuada. Esto es muy importante en el creciente ambiente interconectado de negocios. Como resultado de esta creciente interconectividad, la informaci n esta expuesta a un mayor rango de amenazas y vulnerabilidades.
9 La informaci n adopta diversas formas. Puede estar impresa o escrita en papel, almacenada electr nicamente, transmitida por correo o por medios electr nicos, mostrada en video o hablada en conversaci n. Deber a protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene. La seguridad de la informaci n protege a sta de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los da os a la organizaci n y maximizar el retorno de las inversiones y las oportunidades de negocios. La seguridad de la informaci n se consigue implantando un conjunto adecuado de controles, que pueden ser pol ticas, pr cticas, procedimientos, estructuras organizativas y funciones de software y hardware.
10 Estos controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario, para asegurar que se cumplan los objetivos espec ficos de seguridad y negocios de la organizaci n. Por qu es necesaria la seguridad de informaci n? La informaci n y los procesos que la apoyan, los sistemas y redes son importantes activos de la organizaci n. Definir, realizar, mantener y mejorar la seguridad de informaci n, pueden ser esencial para mantener la competitividad, flujo de liquidez, rentabilidad, cumplimiento de la legalidad e imagen comercial. Las organizaciones y sus sistemas de informaci n se enfrentan, cada vez mas, con riesgos e inseguridades procedentes de una amplia variedad de fuentes, incluyendo fraudes basados en inform tica, espionaje, sabotaje, vandalismo, incendios o inundaciones.
