Vous êtes sur la page 1sur 50

NTP-ISO/IEC 17799:2004 EDI.

TECNOLOGIA DE LA INFORMACIN. CODIGO DE


BUENAS PRACTICAS PARA LA GESTION DE LA
SEGURIDAD DE LA INFORMACION. 1 EDICIN
Norma Tcnica Peruana:

De conformidad con el Decreto Supremo N 066-2003-
PCM y el ROF de la PCM aprobado por el Decreto
Supremo N 067-2003-PCM, la Presidencia del Consejo
de Ministros se encarga de normar, coordinar, integrar y
promover el desarrollo de la actividad informtica en la
Administracin Pblica, impulsando y fomentando el uso
de las nuevas tecnologas de la informacin para la
modernizacin y desarrollo del Estado, acta como ente
rector del Sistema Nacional de Informtica, y dirige y
supervisa la poltica nacional de informtica y gobierno
electrnico.
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
ANTECEDENTES

Mediante Resolucin de la Comisin de Reglamentos
Tcnicos y Comerciales N 0026-2004/CRT-INDECOPI
se aprob como Norma Tcnica Peruana la NTP-
ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin.
Cdigo de buenas prcticas para la gestin de la
seguridad de la informacin. 1 Edicin
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
Mediante Resolucin Ministerial N 224-2004-PCM con
fecha 23 de Julio de 2004 se aprob su uso obligatorio en
todas las Entidades integrantes del Sistema Nacional de
Informtica, sealndose que a partir del da siguiente de
la publicacin de la presente Resolucin se deber aplicar
en las Entidades antes mencionadas en un plazo de
dieciocho (18) meses para su implantacin.
ANTECEDENTES

ISO/IEC 17799:2000 Information technology


Code of practice for information security management

UNE-ISO/IEC 17799:2002 Tecnologa de la


informacin.
Cdigo de buenas prcticas para la Gestin de la
Seguridad de la Informacin.
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
ANTECEDENTES

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
Esta norma ofrece recomendaciones para realizar la
gestin de la seguridad de la informacin que
pueden utilizarse por los responsables de iniciar,
implantar o mantener la seguridad en una
organizacin. Persigue proporcionar una base
comn para desarrollar normas de seguridad dentro
de las organizaciones y ser una prctica eficaz de la
gestin de la seguridad, as como proporcionar
confianza en las relaciones entre organizaciones.
1.- OBJETO Y CAMPO DE APLICACIN

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
2.1.- Seguridad de la Informacin
2.- TERMINOS Y DEFINICIONES
Preservacin de:

Confidencialidad.- Aseguramiento de que la


informacin es accesible solo para aquellos autorizados a
tener acceso.

Integridad.- Garanta de la exactitud y el contenido


completo de la informacin y los mtodos de su
procesamiento.

Disponibilidad.- Aseguramiento de que los usuarios


autorizados tienen acceso cuando lo requieran a la
informacin y sus activos asociados.

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
2.2.- Evaluacin del Riesgo
2.- TERMINOS Y DEFINICIONES
Proceso de evaluacin de las amenazas, impactos y
vulnerabilidades de la informacin y de los medios de
tratamiento de la informacin y de su probable
ocurrencia.
2.3.- Gestin del Riesgo
Proceso de identificacin, control y minimizacin o
eliminacin, a un costo aceptable, de los riesgos que
afecten a los sistemas de informacin.

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
3.- POLTICA DE SEGURIDAD
OBJETIVO: Dirigir y dar soporte a la gestin de la
seguridad de la informacin.
La gerencia debera establecer de forma clara las lneas
de la poltica de actuacin y manifestar su apoyo y
compromiso a la seguridad de la informacin, publicando
y manteniendo una poltica de seguridad en toda la
organizacin.

Documento de poltica de seguridad de la informacin.

Revisin y evaluacin.
3.1.- Poltica de seguridad de la informacin

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
4.- ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
OBJETIVO: Gestionar la seguridad de la informacin
dentro de la organizacin.
Debera establecerse una estructura de gestin para
iniciar y controlar la implantacin de la seguridad de la
informacin dentro de la organizacin, en coordinacin
con las gerencias para aprobar la poltica de seguridad
de la informacin, asignar roles de seguridad y
coordinar la implantacin de la seguridad en toda la
organizacin.
Debera fomentarse un enfoque multidisciplinario de la
seguridad de la informacin.
4.1.- Estructura para la seguridad de la informacin

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
4.1.- Estructura para la seguridad de la informacin

Comit de gestin de seguridad de la informacin.

Coordinacin de la seguridad de la informacin.

Asignacin de responsabilidades sobre seguridad de


la
informacin.

Proceso de autorizacin de recursos para el


tratamiento de la informacin.

Asesoramiento de especialistas en seguridad de la


informacin.

Cooperacin entre organizaciones.

Revisin independiente de la seguridad de la


informacin.
4.- ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
4.2.- Seguridad en los accesos de terceras partes
OBJETIVO: Mantener la seguridad de que los recursos
de tratamiento de la informacin y de los activos de
informacin de la organizacin sean accesibles por
terceros.
Debera controlarse el acceso de terceros a los
dispositivos de tratamiento de informacin de la
organizacin.
4.- ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
4.2.- Seguridad en los accesos de terceras partes

Identificacin de riesgos por parte de terceros


Tipos de acceso
Motivos de acceso
Subcontratados trabajando en la organizacin

Requisitos de seguridad en contratos con terceros


4.- ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
4.3.- Outsourcing
OBJETIVO: Mantener la seguridad de la informacin
cuando la responsabilidad de su tratamiento se ha
externalizado a otra organizacin.
Los acuerdos de outsourcing deberan incluir en el
contrato entre las partes, los riesgos, controles y
procedimientos de seguridad para sistemas de
informacin, entornos de redes y terminales.

Requisitos de seguridad en contratos de outsourcing


4.- ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
5.1.- Responsabilidad sobre los activos
OBJETIVO: Mantener una proteccin adecuada sobre
los activos de la organizacin.
Se debera adjudicar la responsabilidad de todos los
activos de informacin importantes y se debera
asignar un propietario. La responsabilidad sobre los
activos ayuda a asegurar que se mantiene la
proteccin adecuada. Deberan identificarse los
propietarios para todos los activos importantes, y se
debera asignar la responsabilidad del mantenimiento
de los controles apropiados.

Inventario de activos
5.- CLASIFICACIN Y CONTROL DE ACTIVOS

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
5.2.- Clasificacin de la informacin
OBJETIVO: Asegurar un nivel de proteccin adecuado
a los activos de informacin.
La informacin debera clasificarse para indicar la
necesidad, prioridades y grado de proteccin.
La informacin tiene grados variables de sensibilidad y
criticidad. Algunos elementos de informacin pueden
requerir un nivel adicional de proteccin o un uso
especial.

Guas de clasificacin

Marcado y tratamiento de la informacin


5.- CLASIFICACIN Y CONTROL DE ACTIVOS

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
6.- SEGURIDAD LIGADA AL PERSONAL
6.1.- Seguridad en la definicin del trabajo y los
recursos
OBJETIVO: Reducir los riesgos de errores humanos,
robos, fraudes o mal uso de las instalaciones y los
servicios.
La seguridad debera contemplarse desde las etapas
de seleccin de personal, incluirse en los contratos y
seguirse durante el desarrollo de la relacin laboral.

Inclusin de la seguridad en las responsabilidades



laborales

Seleccin y poltica de personal

Acuerdos de confidencialidad

Trminos y condiciones de la relacin laboral



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
6.- SEGURIDAD LIGADA AL PERSONAL
6.2.- Formacin de usuarios
OBJETIVO: Asegurar que los usuarios son consientes
de las amenazas y riesgos en el mbito de la seguridad
de la informacin, y que estn preparados para
sostener la poltica de seguridad de la organizacin en
el curso normal de su trabajo.
Los usuarios deberan recibir formacin en
procedimientos de seguridad y en el uso correcto
de los recursos de tratamiento de informacin para
minimizar los posibles riesgos en la seguridad.

Formacin y capacitacin en seguridad de la


informacin

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
6.- SEGURIDAD LIGADA AL PERSONAL
6.3.- Respuesta ante incidencias y malos
funcionamientos de la seguridad
OBJETIVO: Minimizar los daos provocados por
incidencias de seguridad y por el mal funcionamiento,
controlndolos y aprendiendo de ellos.
Debera informarse de las incidencias que afecten a la
seguridad de la informacin por los canales de la
organizacin adecuados, lo ms rpidamente posible.

Comunicacin de las incidencias de seguridad

Comunicacin de las debilidades de seguridad

Comunicacin de los fallos del software

Aprendiendo de las incidencias

Procedimiento disciplinario

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
7.- SEGURIDAD FSICA Y DEL ENTORNO
7.1.- reas seguras
OBJETIVO: Evitar accesos no autorizados, daos e
interferencias contra los locales y la informacin de la
organizacin.
Los recursos para el tratamiento de informacin crtica o
sensible para la organizacin deberan ubicarse en reas
seguras protegidas.

Permetro de seguridad fsica

Controles fsicos de entradas

Seguridad de oficinas, despachos y recursos

El trabajo en las reas seguras

reas aisladas de carga y descarga



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
7.- SEGURIDAD FSICA Y DEL ENTORNO
7.2.- Seguridad de los equipos
OBJETIVO: Evitar prdidas, daos o comprometer los
activos as como la interrupcin de las actividades de la
organizacin.

Instalacin y proteccin de equipos

Suministro elctrico

Seguridad del cableado

Mantenimiento de equipos

Seguridad de equipos fuera de los locales de la


organizacin

Seguridad en el reuso o eliminacin de equipos



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
7.- SEGURIDAD FSICA Y DEL ENTORNO
7.3.- Controles generales
OBJETIVO: Prevenir las exposiciones a riesgo o robos de
informacin y de recursos de tratamiento de informacin.
La informacin y los recursos de tratamiento de
informacin deberan estar protegidos de su difusin,
modificacin no autorizada o robo; se deberan instalar
medidas y controles para minimizar las prdidas y los
daos.

Poltica de puesto de trabajo despejado y bloqueo de


pantalla

Extraccin de pertenencias

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
8.- GESTIN DE COMUNICACIONES Y OPERACIONES
8.1.- Proc. y responsabilidades de operacin
OBJETIVO: Asegurar la operacin correcta y segura de los
recursos de tratamiento de informacin.
Se deberan establecer responsabilidades y procedimientos
para la gestin y operacin de todos los recursos de
tratamiento de informacin.

Documentacin de procedimientos operativos

Control de cambios operacionales

Procedimientos de gestin de incidencias

Segregacin de tareas

Separacin de los recursos para desarrollo y para


produccin

Gestin de servicios externos



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
8.- GESTIN DE COMUNICACIONES Y OPERACIONES
8.2.- Planificacin y aceptacin del sistema
OBJETIVO: Minimizar el riesgo de fallos de los sistemas.
Deberan realizarse proyecciones de los requisitos futuros
de capacidad para reducir el riesgo de sobrecarga del
sistema. Se debera establecer, documentar y probar, antes
de su aceptacin, los requisitos operacionales de los
sistemas nuevos.

Planificacin de la capacidad

Aceptacin del sistema



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
8.- GESTIN DE COMUNICACIONES Y OPERACIONES
8.3.- Proteccin contra software malicioso
OBJETIVO: Proteger la integridad del software y de la
informacin.
Se requieren ciertas precauciones para prevenir y detectar
la introduccin de software malicioso.

Medidas y controles contra software malicioso



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
8.- GESTIN DE COMUNICACIONES Y OPERACIONES
8.4.- Gestin interna de respaldo y recuperacin
OBJETIVO: Mantener la integridad y la disponibilidad de los
servicios de tratamiento de informacin y comunicacin.
Se deberan establecer procedimientos rutinarios para
conseguir la estrategia aceptada de respaldo haciendo
copias de seguridad, ensayando su oportuna recuperacin,
registrando eventos o fallos y monitoreando el entorno de
los equipos cuando proceda.

Recuperacin de la informacin

Diarios de operacin

Registro de fallos

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
8.- GESTIN DE COMUNICACIONES Y OPERACIONES
8.5.- Gestin de redes
OBJETIVO: Asegurar la salvaguarda de la informacin en
las redes y la proteccin de su infraestructura de apoyo.
La gestin de la seguridad de las redes que cruzan las
fronteras de la organizacin requiere una atencin que se
concreta en controles y medidas adicionales para proteger
los datos sensibles que circulan por las redes pblicas.

Controles de red

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
8.- GESTIN DE COMUNICACIONES Y OPERACIONES
8.6.- Utilizacin y seguridad de los medios de inf.
OBJETIVO: Evitar daos a los activos e interrupciones de
las actividades de la organizacin.
Se deberan establecer los procedimientos operativos
adecuados para proteger los documentos, medios
informticos (discos, cintas, etc.), datos de entrada o
salida y documentacin del sistema, de dao, robo y
acceso no autorizado.

Gestin de medios removibles

Eliminacin de medios

Procedimientos de manipulacin de la informacin

Seguridad de la documentacin de sistemas



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
8.- GESTIN DE COMUNICACIONES Y OPERACIONES
8.7.- Intercambio de informacin y software
OBJETIVO: Evitar la prdida, modificacin o mal uso de la
informacin intercambiada entre organizaciones.
Se deberan realizar los intercambios sobre la base de
acuerdos formales. Se deberan establecer
procedimientos y normas para proteger los medios en
trnsito.

Acuerdos para intercambio de informacin y software

Seguridad de medios en trnsito

Seguridad en comercio electrnico

Seguridad del correo electrnico

Seguridad de los sistemas ofimticos

Sistemas pblicamente disponibles

Otras formas de intercambio de informacin



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
9.- CONTROL DE ACCESOS
9.1.- Requisitos para el control de accesos
OBJETIVO: Controlar los accesos a la informacin.
Se debera controlar el acceso a la informacin y los
procesos del negocio sobre la base de los requisitos de
seguridad y negocio.

Poltica de control de accesos

Poltica y requisitos de negocio

Reglas de los controles de accesos



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
9.- CONTROL DE ACCESOS
9.2.- Gestin de acceso de usuarios
OBJETIVO: Evitar accesos no autorizados a los sistemas
de informacin.
Se debera establecer procedimientos formales para
controlar la asignacin de los derechos de acceso a los
sistemas y servicios, deberan cubrir todas las etapas del
ciclo de vida del acceso de los usuarios, desde el registro
inicial hasta la baja del registro de los usuarios.

Registro de usuarios

Gestin de privilegios

Gestin de contraseas de usuario

Revisin de los derechos de acceso de los usuarios



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
9.- CONTROL DE ACCESOS
9.3.- Responsabilidades de los usuarios
OBJETIVO: Evitar el acceso de usuarios no autorizados.
Una proteccin eficaz necesita la cooperacin de los
usuarios autorizados, deberan ser conscientes de sus
responsabilidades en el mantenimiento de la eficacia de
las medidas de control de acceso, en particular respecto al
uso de contraseas y a la seguridad del material puesto a
su disposicin.

Uso de contraseas

Equipo informtico de usuario desatendido



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
9.- CONTROL DE ACCESOS
9.4.- Control de acceso a la red
OBJETIVO: Proteccin de los servicios de la red.
Debera controlarse el acceso a los servicios a las redes
internas y externas.

Poltica de uso de los servicios de la red

Ruta forzosa

Autenticacin de usuarios para conexiones externas

Autenticacin de nodos de la red

Proteccin a puertos de diagnstico remoto

Segregacin en las redes

Control de conexin a las redes

Control de enrutamiento en la red

Seguridad de los servicios de red



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
9.- CONTROL DE ACCESOS
9.5.- Control de acceso al sistema operativo
OBJETIVO: Evitar accesos no autorizados a los
computadores.
Las prestaciones de seguridad a nivel de sistema operativo
se deberan utilizar para restringir el acceso a los recursos
del computador.

Identificacin automtica de terminales

Procedimientos de conexin de terminales

Identificacin y autenticacin del usuario

Sistema de gestin de contraseas

Utilizacin de las facilidades del sistema

Proteccin del usuario frente a coacciones

Desconexin automtica de terminales

Limitacin del tiempo de conexin



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
9.- CONTROL DE ACCESOS
9.6.- Control de acceso a las aplicaciones
OBJETIVO: Evitar el acceso no autorizado a la informacin
contenida en los sistemas.
Se deberan usar las facilidades de seguridad lgica dentro
de los sistemas de aplicacin
para restringir el acceso.
Se deberan restringir el acceso lgico al software y a la
informacin slo a los usuarios
autorizados.

Restriccin de acceso a la informacin

Aislamiento de sistemas sensibles



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
9.- CONTROL DE ACCESOS
9.7.- Seguimiento de accesos y usos del sistema
OBJETIVO: Detectar actividades no autorizadas.
Debera efectuarse un seguimiento y control de los
sistemas para detectar desviaciones de la poltica de
control de accesos y registrar los eventos observables
que proporcionen evidencias en caso de incidencias de
seguridad.

Registro de incidencias

Seguimiento del uso de los sistemas

Sincronizacin de relojes

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
9.- CONTROL DE ACCESOS
9.8.- Informtica mvil y teletrabajo
OBJETIVO: Garantizar la seguridad de la informacin
cuando se usan dispositivos de informtica mvil y
teletrabajo.
La proteccin requerida debera ser proporcional a los
riesgos que causan estas formas especficas de trabajo.

Informtica mvil

Teletrabajo

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
10.1.- Requisitos de seguridad de los sistemas
OBJETIVO: Asegurar que la seguridad est imbuida
dentro de los sistemas de informacin.
Esto incluir la infraestructura, las aplicaciones de
negocio y las aplicaciones desarrolladas por usuarios. Los
requisitos de seguridad deberan ser identificados y
consensuados antes de desarrollar los sistemas de
informacin.

Anlisis y especificacin de los requisitos de seguridad


10.- DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
10.2.- Seguridad de las aplicaciones del sistema
OBJETIVO: Evitar prdidas, modificaciones o mal uso de
los datos de usuario en las aplicaciones.
Se deberan disear dentro de las aplicaciones las
medidas de control y las pistas de auditora o los registros
de actividad, deberan incluir la validacin de los datos de
entrada, el tratamiento interno y los datos de salida.

Validacin de los datos de entrada

Control del proceso interno

reas de riesgo

Verificaciones y controles

Autenticacin de mensajes

Validacin de los datos de salida


10.- DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
10.3.- Controles criptogrficos
OBJETIVO: Proteger la confidencialidad, autenticidad o
integridad de la informacin.
Se deberan usar sistemas y tcnicas criptogrficas para
proteger la inf. sometida a riesgo, cuando otras medidas y
controles no proporcionen la proteccin adecuada.

Poltica de uso de los controles criptogrficos

Cifrado

Firmas digitales

Servicios de no repudio

Gestin de claves

Proteccin de claves criptogrficas

Normas, procedimientos y mtodos


10.- DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
10.4.- Seguridad de los archivos del sistema
OBJETIVO: Para asegurar que los proyectos de
Tecnologa de la Informacin (TI) y las actividades
complementarias sean llevadas a cabo de una forma
segura.
El acceso a los archivos del sistema debera ser
controlado. El mantenimiento de la integridad del sistema
debera ser responsabilidad del grupo de desarrollo o de
la funcin del usuario a quien pertenezca las aplicaciones
del sistema o el software.

Control del software en produccin

Proteccin de los datos de prueba del sistema

Control de acceso a la librera de programas fuente


10.- DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
10.5.- Seguridad en los procesos de desarrollo y
soporte
OBJETIVO: Mantener la seguridad del software de
aplicacin y la informacin.
Se deberan controlar estrictamente los entornos del
proyecto y de soporte. Los directivos responsables de los
sistemas de aplicaciones tambin lo deberan ser de la
seguridad del entorno del proyecto o su soporte.

Procedimientos de control de cambios

Revisin tcnica de los cambios en el sistema


operativo

Restricciones en los cambios a los paquetes de sw

Canales encubiertos y cdigo Troyano

Desarrollo externo del software


10.- DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
11.- GESTIN DE CONTINUIDAD DEL NEGOCIO
11.1.- Aspectos de la gestin de continuidad del negocio
OBJETIVO: Reaccionar a la interrupcin de actividades del
negocio y proteger sus procesos crticos frente a grandes
fallos o desastres.
Se debera implantar un proceso de gestin de continuidad
del negocio para reducir, a niveles aceptables, la
interrupcin causada por los desastres y fallas de seguridad
mediante controles preventivos y de recuperacin.

Proceso de gestin de la continuidad del negocio

Continuidad del negocio y anlisis de impactos

Redaccin e implantacin de planes de continuidad

Marco de planificacin para la continuidad del negocio

Prueba, mantenimiento y reevaluacin de los planes de


continuidad

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
12.- CUMPLIMIENTO
12.1.- Cumplimiento con los requisitos legales
OBJETIVO: Evitar los incumplimientos de cualquier ley civil
o penal, requisito reglamentario, regulacin u obligacin
contractual, y de todo requisito de seguridad.
Identificacin de la legislacin aplicable

Derechos de propiedad intelectual (DPI)

Salvaguarda de los registros de la organizacin

Proteccin de los datos y de la privacidad de la


informacin personal

Evitar el mal uso de los recursos de tratamiento de la


informacin

Regulacin de los controles criptogrficos

Recopilacin de pruebas

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
12.- CUMPLIMIENTO
12.2.- Revisiones de la poltica de seguridad y de la
conformidad tcnica
OBJETIVO: Asegurar la conformidad de los sistemas con
las polticas y normas de seguridad.
Se deberan hacer revisiones regulares de la seguridad de
los sistemas de informacin. stas se deberan atener a
las polticas de seguridad apropiadas y se auditar el
cumplimiento de las normas de implantacin de la
seguridad en los sistemas de informacin.

Conformidad con la poltica de seguridad

Comprobacin de la conformidad tcnica



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
12.- CUMPLIMIENTO
12.3.- Consideraciones sobre la auditora de sistemas
OBJETIVO: Maximizar la efectividad y minimizar las
interferencias en el proceso de auditora del sistema.
Se deberan establecer controles para salvaguardar los
sistemas operativos y las herramientas de auditora
durante las auditoras del sistema. Tambin se requiere
proteccin para salvaguardar la integridad y evitar el mal
uso de las herramientas de auditora.

Controles de auditora de sistemas

Proteccin de las herramientas de auditora de sistemas



Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
La informacin es hoy da uno de los activos mas
importantes de las organizaciones y como tal
requiere de una adecuada proteccin de un amplio
espectro de amenazas, con el fin de asegurar la
continuidad de la operacin de la organizacin, esto
minimiza riesgos y maximiza la utilizacin de sus
inversiones.
Cualquiera que sea la forma que tome la informacin
esta debe ser protegida.
CONCLUSIONES

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
Se define la seguridad de la informacin como la
preservacin de la confidencialidad, integridad y
disponibilidad de la informacin y su objeto es
proporcionar recomendaciones para realizar la
gestin de la seguridad de la informacin en las
organizaciones, se utilizaran por los responsables de
iniciar, implantar o mantener la seguridad en una
organizacin.
CONCLUSIONES

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
Tiene por objeto proporcionar una base comn
para desarrollar normas de seguridad dentro de las
organizaciones de la Administracin Pblica y ser una
prctica eficaz de la gestin de la seguridad, as
como proporcionar confianza en las relaciones de
intercambio de informacin entre organizaciones
pblicas.
La flexibilidad de la norma es intencional, por cuanto
es difcil contar con una norma que se aplique a una
variedad de entornos de tecnologa de la informacin
y que sea capaz de desarrollarse con el cambiante
mundo de la tecnologa.
CONCLUSIONES

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
PLAZO PARA SU IMPLEMENTACIN
Se aprob su uso obligatorio a partir del da siguiente
de la publicacin de la presente Resolucin teniendo
como plazo para su implantacin dieciocho (18)
meses.
23-07-2004 23-01-2006 23-06-2005
11 meses 7 meses

Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
GRACIAS POR SU ATENCIN.