• No se han encontrado resultados

Quito Ecuador EXTRACTO

N/A
N/A
Info
Descargar
Protected

Academic year: 2022

Share "Quito Ecuador EXTRACTO"

Copied!
10
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 10 página )

Texto completo

(1)

© ISO/IEC 2015  Todos los derechos reservados

© INEN 2017 Quito – Ecuador

NORMA TÉCNICA

ECUATORIANA

NTE INEN-ISO/IEC 27002

Segunda edición

2017-04

TECNOLOGÍAS DE LA INFORMACIÓN ─ TÉCNICAS DE SEGURIDAD ─ CÓDIGO DE PRÁCTICA PARA LOS CONTROLES DE SEGURIDAD DE LA INFORMACIÓN (ISO/IEC 27002:2013+Cor.

1:2014+Cor. 2: 2015, IDT)

INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — CODE OF PRACTICE FOR INFORMATION SECURITY CONTROLS (ISO/IEC 27002:2013+Cor.1:2014+Cor.2:2015)

__________________________________________

Correspondencia:

Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO/IEC 27002:2013+Cor.1:2014+Cor.2:2015.

ICS: 35.040 94

Páginas

EXTRACTO

(2)

© ISO/IEC 2015  Todos los derechos reservados

© INEN 2017

2017-233 i

Prólogo nacional

Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27002 es una traducción idéntica de la Norma Internacional ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information security controls, que incluye su Corrigendo Técnico 1 ISO/IEC 27002/

Cor.1:2014 y Corrigendo Técnico 2 ISO/IEC 27002-Cor.2:2015. El comité nacional responsable de esta Norma Técnica Ecuatoriana y de su traducción es el Comité Técnico de Normalización, Tecnologías de la información.

Para el propósito de esta Norma Técnica Ecuatoriana, se ha hecho el siguiente cambio editorial:

a) Las palabras “esta Norma Internacional” ha sido reemplazada por “esta norma nacional”.

A continuación, se enlista el documento normativo internacional que se referencia en la Norma Internacional ISO 27002:2013 y el documento normativo nacional correspondiente:

Documento Normativo Internacional Documento Normativo Nacional

ISO/IEC 27000, Information technology — Security techniques Information security management systems Overview and vocabulary

NTE INEN-ISO/IEC 27000:2016, Tecnologías de la información Técnicas de seguridad Sistema de gestión de seguridad de la información Descripción general y vocabulario (ISO/IEC 27000:2016, IDT)

EXTRACTO

(3)

© ISO/IEC 2015  Todos los derechos reservados

© INEN 2017

2017-233 ii

Índice

Página Prólogo ………. iv

0 Introducción ………. v

1 Objeto y campo de aplicación ………. 1

2 Referencias normativas ……….. 1

3 Términos y definiciones ……….. 1

4 Estructura de esta norma ……….. 1

4.1 Capítulos ……… 1

4.2 Categorías de control ……….. 2

5 Políticas de seguridad de la información ……… 2

5.1 Dirección de gestión de seguridad de la información ……… 2

6 Organización de la seguridad de la información ……… 4

6.1 Organización interna ……… 4

7 Seguridad en recursos humanos ……….. 10

7.1 Antes de empleo ……… 10

7.2 Durante el empleo ……… 12

7.3 Finalización o cambio de empleo ……….. 15

8 Gestión de activos ……….. 15

8.1 Responsabilidad de los activos ………. 15

8.2 Clasificación de la información ……….. 17

8.3 Manejo de los medios ………. 20

9 Control de acceso ……….. 22

9.1 Requisitos de negocio para el control de acceso ………. 22

9.2 Gestión de acceso de los usuarios ………. 24

9.3 Responsabilidades del usuario ……… 28

9.4 Control de acceso a sistemas y aplicaciones ……… 29

10 Criptografía ……… 33

10.1 Controles criptográficos ………. 33

11 Seguridad física y del entorno ……… 36

11.1 Áreas seguras ……….. 36

11.2 Equipos ……….. 39

12 Seguridad de las operaciones ……….. 45

12.1 Procedimientos y responsabilidades operacionales ………. 45

12.2 Protección contra un malware ………. 48

12.3 Copias de seguridad ………. 50

12.3.1 Copias de seguridad de la información ……….. 50

12.4 Registro y monitoreo ………. 51

12.5 Control del software operacional ……… 53

12.6 Gestión de la vulnerabilidad técnica ……….. 54

12.7 Consideraciones sobre la auditoría de sistemas de información ………. 57

13 Seguridad en las comunicaciones ……….. 57

13.1 Gestión de la seguridad de redes ……… 57

13.2 Transferencia de Información ………. 59

EXTRACTO

(4)

© ISO/IEC 2015  Todos los derechos reservados

© INEN 2017

2017-233 iii

14 Adquisición, desarrollo y mantenimiento del sistema ………. 63

14.1 Requisitos de seguridad de los sistemas de información ……… 63

14.2 Seguridad en el desarrollo y en los procesos de soporte ……… 67

14.3 Datos de prueba ……….. 72

15 Relaciones con proveedores ……….. 73

15.1 Seguridad de la información en relación con los proveedores ……….. 73

15.2 Gestión de la provisión de servicios del proveedor ……….. 77

16 Gestión de incidentes de seguridad de la información ………. 79

16.1 Gestión de los incidentes de seguridad de la información y mejoras ……… 79

17 Aspectos de seguridad de la información para la gestión de la continuidad del negocio 84 17.1 Continuidad de seguridad de la información ………. 84

17.2 Redundancias ……….. 86

18 Cumplimiento ………. 86

18.1 Cumplimiento de los requisitos legales y contractuales ……… 86

18.2 Revisiones de seguridad de la información ………. 90

Bibliografía ……….. 93

EXTRACTO

(5)

© ISO/IEC 2015  Todos los derechos reservados

© INEN 2017

2017-233 iv

Prólogo

ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema especializado para la normalización mundial. Los organismos nacionales que son miembros de ISO e IEC participan en el desarrollo de las Normas Internacionales por medio de comités técnicos establecidos por las organizaciones respectivas, para atender campos específicos de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, públicas y privadas, en coordinación con ISO e IEC, también participen en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, denominado ISO/IEC JTC 1.

Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las Directivas ISO/IEC.

ISO/IEC 27002 fue preparada por el Comité Técnico Conjunto, ISO/IEC JTC 1, Tecnologías de la Información, Subcomité SC 27, TI Técnicas de Seguridad.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO e IEC no serán responsables por la identificación de cualquiera o todos los derechos de patente.

Esta segunda edición anula y reemplaza a la primera edición (ISO/IEC 27002:2005), que ha sido revisada técnicamente.

EXTRACTO

(6)

© ISO/IEC 2015  Todos los derechos reservados

© INEN 2017

2017-233 v

0. Introducción

0.1 Antecedentes y contexto

Esta norma nacional está diseñada para que las organizaciones la usen como referencia a la hora de seleccionar controles dentro del proceso de implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO/IEC 27001[10] o bien como documento guía para organizaciones que implementen controles de seguridad de la información comúnmente aceptados. Esta norma está pensada también para usarse en el desarrollo de directrices de gestión de seguridad de la información en industrias y organizaciones específicas, teniendo en cuenta sus entornos específicos de riesgo de seguridad de la información.

Las organizaciones de todo tipo y tamaño (incluyendo sector público y privado, comercial y sin ánimo de lucro) recogen, procesan, almacenan y transmiten información de muchas formas que incluyen medios electrónicos, físicos y verbales (por ejemplo conversaciones y presentaciones).

El valor de la información va más allá de las palabras escritas, números e imágenes:

conocimientos, conceptos, ideas y marcas son ejemplos de formas intangibles de la información.

En un mundo interconectado, información y procesos relacionados, sistemas, redes y personal que participan en su operación, manejo y protección de los activos, al igual que otros activos comerciales importantes, son valiosos para el negocio de una organización y, por lo tanto, se merecen o requieren protección contra diversos riesgos.

Los activos están sujetos tanto a amenazas deliberadas como accidentales, mientras que los procesos relacionados, los sistemas, las redes y las personas tienen vulnerabilidades inherentes.

Los cambios en los procesos y sistemas de negocio u otros cambios externos (por ejemplo, nuevas leyes y reglamentos) pueden crear nuevos riesgos de seguridad de la información. Por lo tanto, dada la multitud de formas en que las amenazas podrían aprovecharse de las vulnerabilidades para dañar a la organización, los riesgos de seguridad de la información están siempre presentes. Una seguridad de la información eficaz reduce estos riesgos protegiendo a la organización frente a las amenazas y vulnerabilidades, y en consecuencia reduce el impacto en sus activos.

La seguridad de la información se logra mediante la implementación de un conjunto adecuado de controles, incluidas las políticas, procesos, procedimientos, estructuras organizacionales y de software y funciones del hardware. Estos controles se deben establecer, implementar, supervisar, revisar y mejorar, cuando sea necesario, para asegurar que se cumplen los objetivos de seguridad y de negocios específicos de la organización. Un SGSI como el que se especifica en ISO/IEC 27001[10] tiene una visión integral y coordinada de los riesgos de seguridad de la información de la organización con el fin de poner en práctica un conjunto completo de controles de seguridad de la información en el marco de referencia general de un sistema de gestión coherente.

Muchos sistemas de información no han sido diseñados para ser seguros en el sentido de ISO/IEC 27001[10] y esta norma. La seguridad que se puede lograr a través de medios técnicos es limitada y debe ser apoyada por la administración y los procedimientos apropiados. La identificación de los controles debería requerir cuidadosamente la planificación y atención a los detalles. Un SGSI exitosa requiere el apoyo de todos los empleados de la organización. También puede requerir la participación de los accionistas, proveedores u otras partes externas. El asesoramiento especializado de las partes externas también puede ser necesario.

En un sentido más general, la seguridad de la información eficaz también asegura la gestión y a otras partes interesadas que los activos de la organización son razonablemente asegurados y protegidos contra daños, lo cual actúa como un elemento facilitador del negocio.

0.2 Requisitos de seguridad de la información

Es esencial que la organización identifique sus requisitos de seguridad. Existen tres fuentes principales de requisitos de seguridad:

EXTRACTO

(7)

© ISO/IEC 2015  Todos los derechos reservados

© INEN 2017

2017-233 vi

a) la evaluación de los riesgos de la organización, teniendo en cuenta los objetivos y estrategia de negocio globales de la organización. A través de una evaluación de los riesgos se identifican las amenazas de los activos, se evalúa la vulnerabilidad y la probabilidad de su ocurrencia y se estima su impacto potencial;

b) el conjunto de requisitos legales, estatutarios, reglamentarios y contractuales que debería satisfacer a la organización, sus socios comerciales, contratistas y proveedores de servicios, así como a su entorno socio-cultural;

c) el conjunto de principios, objetivos y requisitos de negocio que la organización ha desarrollado para el manejo, procesamiento, almacenamiento, comunicación y archivo de la información que da soporte a sus operaciones.

Los recursos utilizados en la implementación de los controles han de estar equilibrados con el nivel de daños probables que resultarían de problemas de seguridad en ausencia de dichos controles. Los resultados de una evaluación de riesgos ayudarán a guiar y determinar las acciones de gestión más adecuadas y las prioridades para la gestión de riesgos de seguridad de la información, así como para la implementación de los controles seleccionados para protegerse contra estos riesgos.

La ISO/IEC 27005[11] facilita una guía sobre la gestión de riesgos de seguridad de la información, que incluye el asesoramiento sobre evaluación del riesgo, procesamiento del riesgo, aceptación del riesgo, comunicación del riesgo, vigilancia del riesgo y revisión del riesgo.

0.3 Selección de controles

Los controles pueden elegirse de los controles de esta norma o de otros conjuntos de controles, o bien se pueden diseñar nuevos controles para cubrir adecuadamente las necesidades específicas.

La selección de los controles depende de las decisiones de carácter organizativo basadas en los criterios de aceptación del riesgo, las opciones de procesamiento del riesgo y de los enfoques generales de gestión del riesgo aplicados en la organización, y debería depender también de toda la legislación y reglamentación nacional e internacional aplicable. La selección de los controles también depende del modo en que los controles interactúan para proporcionar una protección en profundidad.

Algunos de los controles en esta norma, pueden considerarse como principios que guían la gestión de la seguridad de la información, siendo aplicables a la mayoría de las organizaciones.

Estos controles se explican con más detalle más adelante junto con la guía de implementación de esta norma. Se puede encontrar más información sobre selección de controles y otras posibilidades de procesamiento del riesgo en ISO/IEC 27005[11].

0.4 Desarrollo de directrices propias

Esta norma nacional puede verse como un punto de partida para desarrollar unas directrices específicas para la organización. Pueden no ser aplicables todas las recomendaciones y controles de este código de prácticas. Incluso, pueden requerirse controles adicionales que esta norma no incluye. Cuando esto suceda puede ser útil mantener referencias cruzadas de los capítulos de esta norma con otros documentos que contengan directrices adicionales de controles, que faciliten la comprobación del cumplimiento a los auditores y a otros socios de la organización.

0.5 Consideraciones del ciclo de vida

La información tiene un ciclo de vida natural, desde la creación y el origen de la misma pasando por el almacenamiento, procesamiento, utilización y transmisión hasta su eventual destrucción o deterioro. El valor y los riesgos para los activos pueden variar durante su tiempo de vida (por ejemplo, la difusión no autorizada o el robo de las cuentas financieras de una empresa es mucho menos importante después de que hayan sido publicados oficialmente), pero la seguridad de la información continua siendo importante hasta cierto punto en todas las etapas.

EXTRACTO

(8)

© ISO/IEC 2015  Todos los derechos reservados

© INEN 2017

2017-233 vii

Los sistemas de información tienen ciclos de vida en los cuales son concebidos, especificados, diseñados, desarrollados, probados, implantados, utilizados, mantenidos y, finalmente, retirados del servicio y eliminados. La seguridad de la información debería ser tenida en cuenta en todas estas etapas. Los nuevos desarrollos del sistema y los cambios en los sistemas actuales presentan oportunidades para que las organizaciones actualicen y mejoren los controles de seguridad, teniendo en cuenta tanto los incidentes reales como los riesgos de seguridad asociados a incidentes actuales y futuros.

0.6 Normas relacionadas

Mientras esta norma ofrece orientación sobre una amplia gama de controles de seguridad de la información que se aplican comúnmente en muchas organizaciones diferentes, las restantes normas de la familia ISO/IEC 27000 proporcionan recomendaciones o requisitos complementarios sobre otros aspectos del proceso global de gestión de seguridad de la información.

Se recomienda acudir a ISO/IEC 27000 para una introducción general tanto a los SGSI como a la familia de normas. La ISO/IEC 27000 proporciona un glosario que define formalmente la mayoría de los términos utilizados en ISO/IEC 27000, y describe el alcance y los objetivos para cada documento de la familia.

EXTRACTO

(9)

© ISO/IEC 2015  Todos los derechos reservados

© INEN 2017

2017-233 1

Tecnologías de la información — Técnicas de seguridad — Código de práctica para los controles de seguridad de la información

1 Objeto y campo de aplicación

Esta norma nacional establece directrices para la seguridad de la información en las organizaciones y prácticas de gestión de seguridad de la información incluyendo la selección, la implementación, y la gestión de los controles teniendo en consideración el entorno de riesgos de seguridad de la información de la organización.

Esta norma nacional está diseñada para ser utilizada por las organizaciones que pretendan:

a) seleccionar controles en el proceso de implementación de un Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001[10];

b) implementar controles de seguridad de la información generalmente aceptados;

c) desarrollar sus propias directrices de gestión de seguridad de la información.

2 Referencias normativas

Los documentos indicados a continuación, en su totalidad o en parte, son normas para consulta indispensables para la aplicación de este documento. Para las referencias con fecha, solo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición del documento en referencia (incluyendo cualquier enmienda).

ISO/IEC 27000, Tecnologías de la información Técnicas de seguridad Sistemas de gestión de seguridad de la información Descripción general y vocabulario

3 Términos y definiciones

Para los fines de este documento, se aplican los términos y definiciones de ISO/IEC 27000.

4 Estructura de esta norma

Esta norma contiene 14 capítulos de controles de seguridad que en conjunto contienen un total de 35 categorías principales de seguridad y 114 controles.

4.1 Capítulos

Cada capítulo que define controles de seguridad, contiene una o más categorías principales de controles de seguridad.

El orden de los capítulos de esta norma no implica un orden de importancia. En función de las circunstancias, los controles de seguridad de uno o todos los capítulos pueden ser importantes, por lo tanto cada organización que aplique esta norma debería identificar qué controles son aplicables, qué tan importantes son y su aplicación a cada proceso de negocio. Asimismo, el orden de la lista de controles de esta norma no implica orden de prioridad.

EXTRACTO

(10)

Documento:

NTE INEN- ISO/IEC 27002

TÍTULO: TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD ─ CÓDIGO DE PRÁCTICA PARA LOS CONTROLES DE SEGURIDAD DE LA INFORMACIÓN (ISO/IEC 27002:2013+Cor. 1:2014+Cor. 2:

2015, IDT)

Código ICS:

035.040

ORIGINAL:

Fecha de iniciación del estudio: REVISIÓN:

Fecha de aprobación anterior del Directorio 2009-03-27 Oficialización con el Carácter de Voluntaria

por Resolución No. 032-2009 de 2009-05-04 publicado en el Registro Oficial No. 596 de 2009-05-22

Fecha de iniciación del estudio: 2016-04-05 Fechas de consulta pública: 2016-06-02 hasta 2016-08-01

Comité Técnico de Normalización: Tecnologías de la información Fecha de iniciación: 2016-10-13

Integrantes del Comité: Fecha de aprobación: 2016-10-27

NOMBRES: INSTITUCIÓN REPRESENTADA:

Ing. Luis Oswaldo Rivera (Presidente) MINTEL

Ing. Geovanni Moreno YACHAY EP

Ing. Nancy Velásquez DMV C.G.

Ing. José Gómez de la Torre ARCOTEL

Tlgo. Franklin Álvarez ARCOTEL

Ing. Miguel Venegas S.R.I.

Ing. Richard Guerrero SUPERINTENDENCIA DE BANCOS

Tlgo. Germán Pantoja TELCORP

Ing. Erika Lucín DATALOGIS S.A

Ing. Judith Quinatoa (Secretaria técnica de

proyectos) INEN-DIRECCIÓN DE NORMALIZACIÓN

Otros trámites: Esta NTE INEN-ISO/IEC 27002:2017 reemplaza a NTE INEN ISO/IEC 27002:2009.

La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma.

Oficializada como: Voluntaria Por Resolución No. 17112 de 2017-03-14 Registro Oficial No. 980 de 2017-04-07

EXTRACTO

Referencias

Descargar ahora ( PDF - 10 página - 809.86 KB )

Documento similar

DE EN Y DE LOS DE

Debido a la gran cantidad de tasas para distribuir los costos indirectos para cada actividad, las actividades se agrupan en conjuntos homogéneos tomando como

LOS EN LOS Y LAS DE

La vida real, no obstante, proporciona la certidumbre de que, en multitud de ocasiones, el interés de cada uno se satisface con el concurso propio y de otro u otros portadores

Relación de bienes y actividades de los miembros de la corporación: 2015-2019

Luis Miguel Utrera Navarrete ha presentado la relación de Bienes y Actividades siguientes para la legislatura de 2015-2019, según constan inscritos en el

Informe de la campaña de control del mercado de termómetros digitales de uso clínico

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

guía de registro

You may wish to take a note of your Organisation ID, which, in addition to the organisation name, can be used to search for an organisation you will need to affiliate with when you

Quito Ecuador EXTRACTO

IEC colabora estrechamente con la Organización Internacional de Normalización (ISO), de acuerdo con las condiciones determinadas por acuerdo entre ambas. 2) Las decisiones formales

EFECTOS DE LA RUPTURA DE LOS PROGENITORES EN LA SALUD FÍSICA Y PSICOEMOCIONAL DE LOS HIJOS

Éstos son fuertes predictores de la presencia de alteraciones de la salud en los niños que han vivido la ruptura de los progenitores (Overbeek et al., 2006). En este

la a y y y o o EN LOS Y DE LOS

Esas adaptaciones requerirán conciliar la regulación de actividades abiertas a una competencia plena o acotada con los llamados servicios uni- versales sin alterar el modelo de