Scribd Logo
Importer

Bienvenue sur Scribd !

  • Cláusula - Criptografia

    Transféré par

    William Alfredo
    19 vues6 pages
    mdlkvmdl

    Titre original

    6. Cláusula - Criptografia

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    mdlkvmdl

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    19 vues6 pages

    Cláusula - Criptografia

    Transféré par

    William Alfredo
    mdlkvmdl

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 6

    Código: PGT-PSI-002

    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6


    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    6. CLÁUSULA: CRIPTOGRAFIA

    Firmantes
    Nombre Fecha Firma

    DD/MM/AAAA

    DD/MM/AAAA

    Historial
    Fecha Razón del Cambio Autor(es)

    DD/MM/AAAA

    DD/MM/AAAA
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    Generalidades

    La organización debería utilizar controles criptográficos para proteger la


    confidencialidad, autenticidad o integridad de la información mediante la ayuda de
    técnicas criptográficas, para así poder tener la protección de claves de acceso a
    sistemas, datos y servicios, para la transmisión de información clasificada y/o para
    el resguardo de aquella información relevante en atención a los resultados de la
    evaluación de riesgos realizada por el Área de Proceso de Gestión TIC.

    Sería necesario el desarrollo adicional de procedimientos y asignación de funciones


    respecto de la administración de claves, de la recuperación de información cifrada
    en caso de pérdida, compromiso o daño de las claves y en cuanto al reemplazo de
    las claves de cifrado .Las firmas digitales proporcionan un medio de protección de
    la autenticidad e integridad de los documentos electrónicos y, en algunas ocasiones,
    podría ser necesario asesoramiento legal para establecer acuerdos especiales que
    respalden su uso.
    Objetivo

    Proteger la confidencialidad, autenticidad o integridad de la información.

    Contar con técnicas criptográficas para la protección de la información en base al


    análisis de riesgo efectuado, con el fin de asegurar una adecuada protección de su
    confidencialidad e integridad.

    Resguardar la información, cuando así surja de la evaluación de


    riesgos realizada por el Propietario de la Información y el Responsable de
    Seguridad Informática.
    Alcance
    La Política definida en este documento se aplica a la protección de los bienes
    informáticos y a la información valiosa en el Área de Proceso de Gestión TIC a
    través de la criptografía, de igual forma, también puede ser usada para prevenir el
    acceso y uso no autorizado de los recursos de una red o sistema informático y para
    prevenir a los usuarios la denegación de los servicios a los que si tiene acceso
    permitido.
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    Política

    10.1 Categoría: Controles Criptográficos

    Objetivo

    El objetivo de proteger la confidencialidad, autenticidad o integridad de la


    información mediante la ayuda de técnicas criptográficas en el Área de Proceso de
    Gestión TIC.

    La aplicación de medidas de cifrado, desarrollar en base a una política sobre el uso


    de controles criptográficos y al establecimiento de una gestión de las claves que
    sustenta la aplicación de las técnicas criptográficas.

    10.1.1 Control: Política de uso de los controles criptográficos

    Asegurar el uso apropiado y eficaz de la criptografía para proteger la


    confidencialidad, la autenticidad y/o la integridad de la información en el Área de
    Proceso de Gestión TIC.
    El desarrollo de una política debería considerar lo siguiente:

     Un enfoque de gestión del uso de las medidas criptográficas a través del Área
    de Proceso de Gestión TIC, incluyendo los principios generales en base a los
    cuales se debería proteger la información del Área.
     Basados en la evaluación de riesgos, el nivel requerido de protección debe
    ser identificado tomando en cuenta el tipo, fuerza y calidad del algoritmo
    cifrado requerido.
     El uso de cifrado para la protección de información sensible transportada en
    medios o dispositivos móviles o removibles y en las líneas de comunicación.
     Un enfoque de gestión de claves, incluyendo métodos para tratar la
    recuperación de la información cifrada en caso de pérdida, divulgación o
    daño de las claves;
     Los roles y responsabilidades de cada cual que es responsable de:
     La implementación de la política
     La gestión de claves, incluyendo la generación de claves
     Los estándares a ser adoptados para una efectiva implementación a través
    del Área de Proceso de Gestión TIC.
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

     Las normas para utilizar información cifrada en controles que confíen en la


    inspección de contenido (como la detección de virus).

    Los controles criptográficos pueden ser utilizados para alcanzar diferentes objetivos
    de seguridad como:

     Confidencialidad: utilizando cifrado de información para proteger información


    sensible o crítica, así sea transmitida o almacenada.
     Integridad/autenticidad: utilizando firmas digitales o códigos de
    autentificación de mensajes para proteger la autenticidad e integridad de la
    información crítica o sensible que es almacenada o transmitida.
     No Repudio: utilizando técnicas criptográficas para obtener prueba de
    ocurrencia o no ocurrencia de un evento o acción.

    10.1.2 Control: Gestión de claves

    La gestión de claves criptográficas debe apoyar el uso de las técnicas criptográficas


    en el Área de Proceso de Gestión TIC.

    Se deberían proteger todos los tipos de claves de su modificación o destrucción; las


    claves secretas y las privadas además requieren protección contra su distribución
    no autorizada. Con este fin también pueden usarse técnicas criptográficas. Se
    debería utilizar protección física para cubrir el equipo usado en la generación,
    almacenamiento y archivo de claves.

    El sistema de gestión de claves se debería basar en un conjunto acordado de


    normas, procedimientos y métodos seguros para:

     Generar claves para distintos sistemas criptográficos y distintas aplicaciones.


     Generar y obtener certificados de clave pública.
     Distribuir claves a los usuarios previstos, incluyendo la forma de activar y
    recibir las claves.
     Almacenar claves, incluyendo la forma de obtención de acceso a las claves
    por los usuarios.
     Cambiar o actualizar claves, incluyendo reglas para saber cuándo y cómo
    debería hacerse.
     Tratar las claves comprometidas.
     Revocar claves, incluyendo la forma de desactivarlas o retirarlas, por
    ejemplo, cuando tienen problemas o el usuario deja la organización (en cuyo
    caso las claves también se archivan).
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

     Recuperar claves que se han perdido o corrompido, por ejemplo, para


    recuperar la información cifrada.
     Archivar claves, por ejemplo, para información archivada o de respaldo.
     Hacer seguimiento y auditorias de las actividades relacionadas con la gestión
    de las claves.

    Para reducir la probabilidad de comprometer las claves, se deberían definir fechas


    de Activación y desactivación para que sólo puedan utilizarse durante un periodo
    limitado. Este debería depender de las circunstancias del uso de las medidas de
    control criptográficas y del riesgo percibido.

    Además de la gestión segura de las claves privadas y secretas, se debería


    considerar la autenticidad de las claves públicas. Este proceso se realiza
    normalmente por una autoridad certificadora que debería ser una organización
    reconocida y poseer controles y procedimientos adecuados para proporcionar el
    grado de fiabilidad requerido.

    El contenido de los acuerdos de nivel de servicio o de los contratos con los


    proveedores de servicios criptográficos (por ejemplo, una autoridad certificadora)
    debería cubrir los aspectos de las obligaciones, fiabilidad de los servicios y tiempos
    de respuesta para su suministro
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    Sanciones previstas por incumplimiento

    El incumplimiento de las disposiciones establecidas por las Políticas de Seguridad


    de la Información tendrá como resultado la aplicación de diversas sanciones,
    conforme a la magnitud y característica del aspecto no cumplido.

    Asistencia

    Cualquier solicitud relacionada con esta política o aplicaciones de esta debe ser
    referida al Área de Proceso de Gestión TIC.

    Referencias

    ISO/IEC 27001:2013 e ISO/IEC 27002:2013

    Vous aimerez peut-être aussi