Revisin y evaluacin.
3.1.- Poltica de seguridad de la informacin
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
4.- ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
OBJETIVO: Gestionar la seguridad de la informacin
dentro de la organizacin.
Debera establecerse una estructura de gestin para
iniciar y controlar la implantacin de la seguridad de la
informacin dentro de la organizacin, en coordinacin
con las gerencias para aprobar la poltica de seguridad
de la informacin, asignar roles de seguridad y
coordinar la implantacin de la seguridad en toda la
organizacin.
Debera fomentarse un enfoque multidisciplinario de la
seguridad de la informacin.
4.1.- Estructura para la seguridad de la informacin
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
4.1.- Estructura para la seguridad de la informacin
Inventario de activos
5.- CLASIFICACIN Y CONTROL DE ACTIVOS
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
5.2.- Clasificacin de la informacin
OBJETIVO: Asegurar un nivel de proteccin adecuado
a los activos de informacin.
La informacin debera clasificarse para indicar la
necesidad, prioridades y grado de proteccin.
La informacin tiene grados variables de sensibilidad y
criticidad. Algunos elementos de informacin pueden
requerir un nivel adicional de proteccin o un uso
especial.
Guas de clasificacin
Acuerdos de confidencialidad
Procedimiento disciplinario
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
7.- SEGURIDAD FSICA Y DEL ENTORNO
7.1.- reas seguras
OBJETIVO: Evitar accesos no autorizados, daos e
interferencias contra los locales y la informacin de la
organizacin.
Los recursos para el tratamiento de informacin crtica o
sensible para la organizacin deberan ubicarse en reas
seguras protegidas.
Suministro elctrico
Mantenimiento de equipos
Extraccin de pertenencias
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
8.- GESTIN DE COMUNICACIONES Y OPERACIONES
8.1.- Proc. y responsabilidades de operacin
OBJETIVO: Asegurar la operacin correcta y segura de los
recursos de tratamiento de informacin.
Se deberan establecer responsabilidades y procedimientos
para la gestin y operacin de todos los recursos de
tratamiento de informacin.
Segregacin de tareas
Planificacin de la capacidad
Recuperacin de la informacin
Diarios de operacin
Registro de fallos
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
8.- GESTIN DE COMUNICACIONES Y OPERACIONES
8.5.- Gestin de redes
OBJETIVO: Asegurar la salvaguarda de la informacin en
las redes y la proteccin de su infraestructura de apoyo.
La gestin de la seguridad de las redes que cruzan las
fronteras de la organizacin requiere una atencin que se
concreta en controles y medidas adicionales para proteger
los datos sensibles que circulan por las redes pblicas.
Controles de red
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
8.- GESTIN DE COMUNICACIONES Y OPERACIONES
8.6.- Utilizacin y seguridad de los medios de inf.
OBJETIVO: Evitar daos a los activos e interrupciones de
las actividades de la organizacin.
Se deberan establecer los procedimientos operativos
adecuados para proteger los documentos, medios
informticos (discos, cintas, etc.), datos de entrada o
salida y documentacin del sistema, de dao, robo y
acceso no autorizado.
Eliminacin de medios
Registro de usuarios
Gestin de privilegios
Uso de contraseas
Ruta forzosa
Registro de incidencias
Sincronizacin de relojes
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
9.- CONTROL DE ACCESOS
9.8.- Informtica mvil y teletrabajo
OBJETIVO: Garantizar la seguridad de la informacin
cuando se usan dispositivos de informtica mvil y
teletrabajo.
La proteccin requerida debera ser proporcional a los
riesgos que causan estas formas especficas de trabajo.
Informtica mvil
Teletrabajo
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
10.1.- Requisitos de seguridad de los sistemas
OBJETIVO: Asegurar que la seguridad est imbuida
dentro de los sistemas de informacin.
Esto incluir la infraestructura, las aplicaciones de
negocio y las aplicaciones desarrolladas por usuarios. Los
requisitos de seguridad deberan ser identificados y
consensuados antes de desarrollar los sistemas de
informacin.
reas de riesgo
Verificaciones y controles
Autenticacin de mensajes
Cifrado
Firmas digitales
Servicios de no repudio
Gestin de claves
Recopilacin de pruebas
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
12.- CUMPLIMIENTO
12.2.- Revisiones de la poltica de seguridad y de la
conformidad tcnica
OBJETIVO: Asegurar la conformidad de los sistemas con
las polticas y normas de seguridad.
Se deberan hacer revisiones regulares de la seguridad de
los sistemas de informacin. stas se deberan atener a
las polticas de seguridad apropiadas y se auditar el
cumplimiento de las normas de implantacin de la
seguridad en los sistemas de informacin.