Académique Documents
Professionnel Documents
Culture Documents
IMPLEMENTACIN DE CONTROLES DE LA NORMA TCNICA PERUANA NTP-ISO/IEC 17799: 2007 CLAUSULA N 10 GETION DE COMUNICACIN Y OPERACIONES Integrantes:
INTRODUCCIN
La Norma Tcnica Peruana NTP-ISO/IEC 17799: 2007 EDI. Tecnologa de la informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, fue elaborada por el Comit Tcnico de Normalizacin de Codificacin en Intercambio de Datos (EDI) junto a otras instituciones que participaron en la elaboracin; para la Comisin de Reglamentos Tcnicos y Comerciales de INDECOPI en Enero del 2007, teniendo como antecedente la norma ISO/IEC 17799: 2005, el cual es un estndar internacional para la seguridad de la informacin. Dicha norma es de uso obligatorio para las instituciones del Estado y es recomendable y opcional para las instituciones privadas. En resumen esta norma es una gua para la implementacin de controles de seguridad de la informacin en las organizaciones, esto para una consecuente identificacin, evaluacin y tratamiento de los riesgos de seguridad de la informacin que puedan existir. Ya que se trata a la informacin, en sus diversas formas, como un activo importante que debido a diversos factores est expuesta a amenazas y vulnerabilidades, y por ello se debe salvaguardar su seguridad para asegurar la continuidad del negocio, minimizar los daos a la organizacin, mantener su competitividad, entre otros beneficios. Para conseguir dicha seguridad la norma sugiere la implantacin de un conjunto adecuado de controles, que si bien es cierto en esta norma es tomada de forma general, estos controles pueden ser ms especficos en cada organizacin. Estos controles pueden ser polticas, prcticas, estructuras organizativas y funciones de hardware o software. La estructura de este estndar consta de 11 clusulas de control de seguridad y un total de 39 categoras principales, nuestro equipo de trabajo tom como punto de trabajo la clusula que trata sobre Gestin de Comunicaciones y Operaciones. La Gestin de Comunicaciones y Operaciones asegura la operacin correcta y segura de los recursos de tratamiento de la informacin manteniendo su integridad y disponibilidad; protege la integridad del hardware, software, informacin, e infraestructura de apoyo, evita interrupciones de actividades. Llevar controles sobre este apartado es importante porque permite organizar de manera ptima las actividades y tareas que se llevan a cabo indicando los procedimientos, documentos de referencia, dependencias, personal interviniente, supervisiones, tiempos de duracin, frecuencia, recursos de software y de hardware.
CAPITULO I
1.2. Objetivos
Implementar Controles Adecuados para la Gestin de la Seguridad de la Informacin. Minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades del negocio. Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. Dirigir y dar soporte a la gestin de la informacin en concordancia con los requerimientos del negocio. Gestionar la seguridad de la informacin dentro de la organizacin. Mantener una proteccin adecuada sobre los activos de la organizacin. Asegurar un nivel de proteccin adecuado a los activos de la informacin. Evitar accesos no autorizados. Establecer responsabilidades y procedimientos para la gestin y operacin de todos los recursos de tratamiento de informacin. Implantar la segregacin de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso del sistema deliberado o por negligencia.
1.3. Alcances
Con esta clusula N 10 de la norma NTP-ISO-IEC-17799-2007 contara con las siguientes caractersticas: Procedimientos y responsabilidades de operacin Gestin de servicios externos Planificacin y aceptacin del sistema Proteccin contra software malicioso Gestin de respaldo y recuperacin Gestin de seguridad en redes Utilizacin de los medios de informacin Intercambio de informacin Servicios de correo electrnico Monitoreo
1.4. Metas
Diagrama de actividades. Diagrama de procesos. Formatos auditables. Automatizacin.
1.5. Limitaciones En el desarrollo del presente Proyecto, no se utiliz ningn tipo de bibliografa, por razones de que no existe ningn tipo de gua para el desarrollo de este Proyecto, por lo que todo el desarrollo es creacin propia de nuestros conocimientos.
1.6. Justificacin La necesidad de que la Informacin sea administrada de forma eficiente mediante Controles adecuados para la Gestin de la Seguridad de la Informacin, con la finalidad de que sea coherente, clara y accesible; y suministrada de forma regular y oportuna, con lleva a la necesidad de Implementar Controles que permita manejar los datos de manera rpida y eficiente. Con este Proyecto se pretende mejorar la seguridad de la informacin y agilizar el proceso de registros, facilitando y mejorando con la atencin a beneficio de los clientes.
1.7. Metodologa
Tipo de investigacin: Descriptiva y explicativa. Diseo de la investigacin: Experimental.
CAPITULO II
Procesos del Negocio
2. Identificacin de Controles La clusula N 10 de la NTP 12207 Tecnologa de la Informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, realizara los siguientes controles: Procedimientos y responsabilidades de operacin Gestin de servicios externos Planificacin y aceptacin del sistema Proteccin contra software malicioso Gestin de respaldo y recuperacin Gestin de seguridad en redes Utilizacin de los medios de informacin Intercambio de informacin Servicios de correo electrnico Monitoreo
3. Descripcin y modelamiento de Controles 3.1. Procedimientos y responsabilidades de operacin OBJETIVO: Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. 3.1.1 Documentacin de procedimientos operativos
Documentacin de procedimientos operativos Se debern documentar y mantener los procedimientos de operacin y ponerlos a disposicin de todos los usuarios que lo requieran. Ingrese Responsable y Cargo. Ingrese Supervisor. Seleccione Fecha. Duracin Firma Firma
Gua de Implementacin: Por cada actividad asociado con el procesamiento de informacin y recursos de comunicacin se deben considerar si existen: a) Procedimientos documentados que especifican las instrucciones necesarias para la ejecucin detallada de cada tarea, incluyendo el proceso y utilizacin correcta de la informacin. b) Proceso de Backup. c) Requisitos de planificacin, incluyendo las interdependencias con otros sistemas, con los tiempos de comienzo ms temprano y final ms tardo posibles de cada tarea. d) Instrucciones para manejar errores u otras condiciones excepcionales que puedan ocurrir durante la tarea de ejecucin, incluyendo restricciones en el uso de servicios del sistema. e) Contactos de apoyo en caso de dificultades inesperadas operacionales o tcnicas. f) Instrucciones especiales de utilizacin de resultados, como el uso de papel especial o la gestin de resultados confidenciales, incluyendo procedimientos de destruccin segura de resultados producidos como consecuencia de tareas fallidas. g) Reinicio del sistema y los procedimientos de recuperacin a utilizar en caso de fallo del sistema. h) Gestin de la informacin del rastro de auditoria y del registro de sistema.
Ingrese el Nombre de la Actividad. Ingrese Documento(s) de Referencia. Ingrese la Dependencia. Ingrese Responsable(s). Fecha de iniciacin Fecha de culminacin Haga clic aqu para escribir una fecha. Haga clic aqu para escribir una fecha. Herramientas
Procesos
Intervinientes
Dependencia Interna
Plan de la planificacin
Personal de Apoyo
Gestin de Cambios Se debern controlar los cambios en los sistemas y recursos de tratamiento de informacin. Ingrese Responsable y Cargo. Ingrese Supervisor. Duracin Firma Firma
Los sistemas operacionales y los software de aplicacin deben ser sujetos a un estricto control de la gestin de cambios. En particular se deben considerar los siguientes controles y medidas: a) La identificacin y registro de cambios significativos. b) Planeamiento y prueba de los cambios. c) Evaluacin de los posibles impactos, incluyendo impactos de seguridad de dichos cambios. d) Un procedimiento formal de aprobacin de los cambios propuestos. e) Comunicacin de los detalles de cambio a todas las personas que corresponda. f) Procedimientos que identifiquen las responsabilidades de abortar y recobrarse de los cambios sin xito y de acontecimientos imprevistos.
Nombre del Sistema Detalle de Cambio Dependencia Responsable Documentos de referencia Fecha de iniciacin Registro de procedimientos
Ingrese de Producto(s). Ingrese el Detalle de Cambio. Ingrese la Dependencia. Ingrese Responsable(s). Ingrese Documento(s) de Referencia. Fecha. Modificaciones Oportunidades Amenazas Herramientas Comunicar a:
Fecha
Seleccione Fecha.
Hora:
Ingrese Hora
Resultado:
Ingrese Resultado.
Recomendacin
Responsable
Segregacin de tareas Se deben segregar las tareas y las reas de responsabilidad con el fin de reducir las oportunidades de una modificacin no autorizada o no intencional, o el de un mal uso de los activos de la organizacin. Ingrese Responsable y Cargo. Ingrese Supervisor. Duracin Firma Firma
Se debe tener cuidado de que cualquier persona puede acceder, modificar o utilizar los activos sin autorizacin o sin ser detectado. Se debe considerar si existe: a) Segregacin de tareas. b) Monitorizacin de las actividades. c) Pistas de auditora. d) Supervisin de la gestin.
Ingrese el Nombre de la Tarea. Ingrese Documento(s) de Referencia. Ingrese Supervisor. Ingrese Responsable(s). Pistas Auditables Firma Firma
Monitoreo por Grupos Fecha: Seleccione Fecha. Responsable: Ingrese Responsable(s). Supervisor: Ingrese Supervisor. Calificacin: Elija un elemento. Fecha: Seleccione Fecha. Responsable: Ingrese Responsable(s). Supervisor: Ingrese Supervisor. Fecha: Seleccione Fecha. Responsable: Ingrese Responsable(s). Supervisor: Ingrese Supervisor. Fecha: Seleccione Fecha. Responsable: Ingrese Responsable(s). Supervisor: Ingrese Supervisor.
Calificacin: Elija un elemento. Calificacin: Elija un elemento. Calificacin: Elija un elemento. Observaciones: Ingrese Observaciones: Ingrese
Observaciones.
Observaciones.
Separacin de los recursos para desarrollo y para produccin La separacin de los recursos para desarrollo, prueba y produccin es importante para reducir los riesgos de un acceso no autorizado o de cambios al sistema operacional. Ingrese Responsable y Cargo. Ingrese Supervisor. Seleccione Fecha. Duracin Firma Firma
Gua de Implementacin: Se debe identificar e implementar controles adecuados para el nivel de separacin entre los entornos de desarrollo, prueba y produccin que es necesario para evitar problemas operacionales. Se debe considerar lo siguiente: a) Las reglas de transferencia del software desde un estado de desarrollo al de produccin son definidos y documentados b) El software de desarrollo y el de produccin funcionan en procesadores diferentes, o en dominios o directorios distintos. c) Los compiladores, editores y otros servicios del sistema no son accesibles desde los sistemas de produccin, cuando no se necesiten. d) El entorno de prueba del sistema emula el entorno del sistema operacional lo ms cercano posible. e) Los usuarios utilizan diferentes perfiles de usuario para los sistemas operacionales y de prueba; y los mens exhiben mensajes de identificacin apropiados con el fin de reducir el riesgo por error. f) Los datos sensibles no son copiados en el entorno del sistema de prueba.
Grupos de Usuarios