Professional Documents
Culture Documents
TECNICA PERUANA
Comisin de Reglamentos Tcnicos y Comerciales
Calle De La Prosa 138, San Borja (Lima 41) Apartado 145
2006 - 10 - 30
1 Edicin
ESQUEMA DE NORMA
TECNICA PERUANA
INDICE
pgina
Introduccin
Alcance
Referencias Normativas
Trminos y Definiciones
Responsabilidad de la gerencia
17
19
20
22
Antecedentes
23
24
44
46
Bibliografa
49
ESQUEMA DE NORMA
TECNICA PERUANA
PREFACIO
A.
RESEA HISTORICA
A.1.
El presente Proyecto de Norma Tcnica Peruana fue elaborado por el
Comit Tcnico Permanente de Codificacin e Intercambio Electrnico de Datos (EDI),
mediante el Sistema 2 u Ordinario, durante los meses de octubre y noviembre del 2006.
A.2.
El Comit Tcnico de Normalizacin de Codificacin e Intercambio
Electrnico de Datos EDI present a la Comisin de Reglamentos Tcnico y
Comerciales -CRT-, con fecha ao-mes-da, el PNTP ISO/IEC 27001:2006 Tecnologa de
la informacin Tcnicas de seguridad - Sistemas de gestin de seguridad de la
informacin Requisitos, para su revisin y aprobacin, previa a la etapa de discusin
pblica.
A.3.
Este Esquema de Norma Tcnica Peruana utiliz como antecedente la
ISO/IEC 27001: 2005. Information technology Security techniques Information security
management systems Requirements. El presente Proyecto de Norma Tcnica Peruana
presenta cambios editoriales referidos principalmente a terminologa empleada propia del
idioma espaol y ha sido estructurado de acuerdo a las Guas Peruanas GP 001:1995 y GP
002:1995.
B.
Secretara
EAN PERU
Presidente
Marcos Surez
Secretaria
Mary Wong
ESQUEMA DE NORMA
TECNICA PERUANA
ENTIDAD
REPRESENTANTE
Deyanira Villanueva
Juan Aquije
Marcela Aparicio
FOLIUM S.A.C.
ITS CONSULTANTS S.A.C.
IBC SOLUTIONS PERU S.A.C.
OFICINA DE NORMALIZACION PREVISIONAL
PERU SECURE E-NET S.A.C
PONT. UNIV. CATOLICA DEL PERU
Roberto Huby
Ricardo Dioses
Daniella Orellana
Roberto Puy
Pablo Omonte
Viktor Khlebnikov
Willy Carrera
Csar Vilchez
Max Lazaro
David Mongrut
Ral Adriazola
Renzo Alcntara
---oooOooo---
Miguel Labarthe
Milagros Dvila
Tatiana Pea
ESQUEMA DE NORMA
TECNICA PERUANA
0.
INTRODUCCION
0.1
Aspectos generales
Esta norma peruana puede usarse en el mbito interno y externo de las organizaciones.
0.2
Enfoque de proceso
Esta norma peruana promueve la adopcin de un enfoque del proceso para establecer,
implementar, operar, monitorear, mantener y mejorar la efectividad de un ISMS en la
organizacin.
Una organizacin debe identificar y administrar varias actividades con el fin de funcionar
efectivamente. Cualquier actividad que administre y use recursos para lograr la
transformacin de entradas en salidas, puede ser considerado un proceso. Con frecuencia la
salida de un proceso se convierte en la entrada al proceso siguiente.
a)
entender los requerimientos de seguridad de informacin de negocios y la
necesidad de establecer polticas y objetivos para la seguridad de la informacin;
ESQUEMA DE NORMA
TECNICA PERUANA
b)
implementar y operar controles en el contexto de administrar el riesgo total
del negocio de una organizacin;
c)
d)
El modelo conocido como Planear-Hacer-Verificar-Actuar - PDCA (Plan-Do-CheckAct), por sus siglas en ingles, puede aplicarse a todos los procesos ISMS. La Figura 1
ilustra cmo un ISMS toma como entrada los requerimientos y expectativas de seguridad
de la informacin de las partes interesadas y a travs de las acciones y procesos necesarios
genera productos de seguridad de la informacin (es decir: gestin de la seguridad de la
informacin) que cumple estos requerimientos y expectativas. La Figura 1 tambin ilustra
los enlaces en los procesos presentados en los captulos 4, 5, 6, 7 y 8.
La adopcin del modelo PDCA tambin reflejara los principios como se establecieron en
la pautas de OECD (2002) 1 para la gobernabilidad de los sistemas y redes de la seguridad
de informacin. Esta norma provee un fuerte modelo para implementar los principios en
las pautas que gobiernan la evaluacin del riesgo, el diseo e implementacin de la
seguridad, la gestin de seguridad y la reevaluacin.
EJEMPLO 1
Un requerimiento puede ser aquel que las brechas en la seguridad de la informacin no
causen serios daos financieros y/o daen la imagen de la organizacin.
EJEMPLO 2
Una expectativa podra ser que si ocurriera un incidente serio que afecte el web site del
eBusiness de una organizacin debe existir personal capacitado en procedimientos
adecuados para minimizar el impacto.
OECD Gua para los sistemas y redes de Seguridad de la Informacin Hacia una cultura de seguridad.
Paris: OECD, Julio 2002. www.oecd.org
ESQUEMA DE NORMA
TECNICA PERUANA
Planear
Establecer el
ISMS
Partes
Interesadas
Hacer
Ciclo de
Mantener y
Implementar
desarrollo,
mejorar el Actuar
y Operar el
mantenimiento
ISMS
ISMS
y mejora
Monitorear
y revisar el
ISMS
Requerimiento y
expectativas de
seguridad de
informacin
Verificar
Partes
Interesadas
Gestin de la
Seguridad de la
Informacin
Planear (establecer el
ISMS)
Hacer (implementar y
operar el ISMS)
Verificar (monitorear
y revisar el ISMS)
Actuar (mantener y
mejorar el ISMS)
ESQUEMA DE NORMA
TECNICA PERUANA
0.3
Esta norma est acorde con ISO 9001:2000 y ISO 14001:2004 con el fin de respaldar una
implementacin y operacin consistente e integrada con las normas de gestin afines. Un
sistema de gestin convenientemente diseado puede satisfacer as los requisitos de todos
estos estndares. Tabla C.1, ilustra la relacin entre los captulos de esta norma peruana,
ISO 9001:2000 y ISO 14001:2004.
Esta norma peruana est diseada para hacer posible que una organizacin se alinee o
integre su ISMS con los requerimientos de los sistemas de gestin relacionados.
ESQUEMA DE NORMA
TECNICA PERUANA
IMPORTANTE Esta norma no pretende incluir todos los trminos necesarios para
un contrato. Los usuarios son responsables de su correcta aplicacin. Cumplir con
una norma nacional no confiere en s mismo inmunidad de las obligaciones legales.
1.
ALCANCE
1.1
Aspectos Generales
Esta norma peruana cubre todo los tipos de organizaciones (como por ejemplo: empresas
comerciales, agencias de gobierno y organizaciones sin fines de lucro). Esta norma
peruana especifica los requerimientos para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar un ISMS documentado dentro del contexto de los riesgos de
negocio de la organizacin. Especifica los requerimientos para implementar los controles
de seguridad adaptado a las necesidades individuales de las organizaciones o partes de las
mismas.
NOTA 1: Las referencias de negocio en esta norma peruana deben ser interpretadas ampliamente
para representar las actividades que son base para los propsitos de la existencia de la organizacin.
NOTA 2: La ISO/IEC 17799 provee pautas de implementacin que pueden ser utilizadas cuando se
designen controles.
ESQUEMA DE NORMA
TECNICA PERUANA
1.2
Aplicacin
Los requisitos establecidos en esta norma peruana son generales y tienen la intencin de
aplicarse a todas las organizaciones, sin tomar en cuenta el tipo, tamao y naturaleza del
negocio. Cuando una organizacin reclama conformidad con esta norma peruana, no es
aceptable excluir cualquiera de los requerimientos especificados en las clusulas 4, 5, 6, 7
y 8.
NOTA: Si una organizacin ya posee un sistema operativo de gestin de procesos de negocio (por
ejemplo in relacin con ISO 9001 o ISO 14001), es preferible, en la mayora de los casos, satisfacer
los requisitos de esta norma peruana dentro de los sistemas de gestin existentes.
2.
REFERENCIAS NORMATIVAS
Las siguientes normas contienen disposiciones que al ser citadas en este texto, constituyen
requisitos de este Esquema de Norma Tcnica Peruana. Las ediciones indicadas estaban en
vigencia en el momento de esta publicacin. Como toda Norma est sujeta a revisin, se
recomienda a aquellos que realicen acuerdos en base a ellas, que analicen la conveniencia
de usar las ediciones recientes de las normas citadas seguidamente. El Organismo Peruano
de Normalizacin posee la informacin de las Normas Tcnicas Peruanas en vigencia en
todo momento.
2.1
2.1.1
ISO/IEC 17799:2005
ESQUEMA DE NORMA
TECNICA PERUANA
3.
TERMINOS Y DEFINICIONES
Para los fines de esta norma peruana, se aplican los siguientes trminos y definiciones:
3.1
activo: algo que presenta valor para la organizacin.
[ISO/IEC 13335-1:2004]
3.2
disponibilidad: garantizar que los usuarios autorizados tengan acceso a la
informacin y activos asociados cuando sea necesario.
[ISO/IEC 13335-1:2004]
3.3
confidencialidad: garantizar que la informacin sea accesible nicamente
para quienes tengan acceso autorizado.
[ISO/IEC 13335-1:2004]
3.4
seguridad de la informacin: seguridad de preservar la confidencialidad,
integridad y disponibilidad de la informacin; adems, tambin pueden ser involucradas
otras caractersticas como la autenticacin, responsabilidad, no-repudio y fiabilidad.
[ISO/IEC 17799:2005]
3.5
evento de la seguridad de la informacin: ocurrencia identificada en un
sistema, servicio o red indicando una posible brecha de la poltica de informacin o falla
de las salvaguardas o una situacin desconocida previa que puede ser relevante.
[ISO/IEC TR 18044:2004]
3.6
incidente de la seguridad de la informacin: serie de eventos inesperados
que tienen una probabilidad significativa de comprometer operaciones del negocio y
amenazar la seguridad de la informacin.
[ISO/IEC TR 18044:2004]
3.7
sistema de gestin de seguridad de la informacin ISMS: es la parte
del sistema integral de gestin, basado en un enfoque del riesgo del negocio para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la
informacin.
ESQUEMA DE NORMA
TECNICA PERUANA
3.8
integridad: salvaguardar la exactitud e integridad de la informacin y
mtodos de procesamiento.
[ISO/IEC TR 13335-1:2004]
3.9
riesgo residual: riesgo remanente despus de un tratamiento del riesgo.
[ISO/IEC Guide 73:2002]
3.10
aceptacin del riesgo: decisin de aceptar el riesgo.
[ISO/IEC Guide 73:2002]
3.11
anlisis del riesgo: uso sistemtico de informacin para identificar
amenazas y estimar el riesgo.
[ISO/IEC Guide 73:2002]
3.12
estimacin del riesgo: proceso total de anlisis y valoracin del riesgo.
[ISO/IEC Guide 73:2002]
3.13
evaluacin del riesgo: proceso de comparacin del riesgo estimado frente
al criterio de riesgo para determinar el significado del riesgo.
[ISO/IEC Guide 73:2002]
3.14
gestin del riesgo: actividades coordinadas para dirigir y controlar el riesgo
en una organizacin.
[ISO/IEC Guide 73:2002]
3.15
tratamiento del riesgo: proceso de seleccin e implementacin de medidas
para minimizar el riesgo.
[ISO/IEC Guide 73:2002]
Nota: En esta norma peruana el termino control es utilizado como un sinnimo de medida.
ESQUEMA DE NORMA
TECNICA PERUANA
3.16
declaracin de aplicabilidad: documento que describe los objetivos y los
controles que son pertinentes y aplicables al ISMS de la organizacin.
Nota: los objetivos y controles estn basados en los resultados y conclusiones de los procesos de
evaluacin del riesgo y tratamiento del riesgo, requisitos legales o regulatorios, obligaciones
contractuales y los requisitos de negocio de la informacin de seguridad de la organizacin.
4.
4.1
Requerimientos generales
4.2
4.2.1
a)
Definir el alcance y limites del ISMS en trminos de las caractersticas del
negocio, la organizacin, su localizacin, activos y tecnologa e incluyendo detalles
sobre y justificaciones para cualquier exclusin del alcance (vase 1.2).
b)
Definir una poltica ISMS en trminos de las caractersticas del negocio, la
organizacin, su localizacin, activos y tecnologa que:
1)
Incluye un marco para establecer sus objetivos y establece un sentido
total de direccin y principios para accin con miras a la seguridad de la
informacin;
2)
considera requerimientos de negocios, legales o regulatorios y
obligaciones de seguridad contractual;
ESQUEMA DE NORMA
TECNICA PERUANA
3)
establece el contexto estratgico organizacional y la gestin del
riesgo en el cual tiene lugar el establecimiento y mantenimiento del ISMS;
4)
establece criterios frente a los cuales se evaluar el riesgo y se
definir la estructura de evaluacin del riesgo [vase 4.2.1c)];
5)
ha sido aprobado por la gerencia.
Nota: Para propsitos de esta norma peruana, la poltica de ISMS es considerada como un
conjunto de la poltica de la seguridad de informacin. Estas polticas pueden ser descritas
en otro documento.
c)
d)
e)
El termino propietario identifica a un individuo o entidad que aprueba la responsabilidad por la gestin
por controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino
propietario no significa que la persona tiene algn derecho de propiedad realmente sobre el activo.
ESQUEMA DE NORMA
TECNICA PERUANA
2)
Evaluar las posibilidades de falla de seguridad, teniendo en cuenta
las amenazas, vulnerabilidades e impactos asociados con estos activos y los
controles implementados actualmente.
3)
Estimar los niveles del riesgo.
4)
Determinar si el riesgo es aceptable o requiere tratamiento usando el
criterio establecido en 4.2.1c)2).
f)
h)
Obtener aprobacin por parte de la gerencia sobre los riesgos residuales
propuestos.
i)
Obtener autorizaron por parte de la gerencia para implementar y operar el
ISMS.
ESQUEMA DE NORMA
TECNICA PERUANA
j)
4.2.2
a)
Formular un plan de tratamiento de riesgos que identifique la accin
administrativa adecuada, recursos, responsabilidades y prioridades para manejar los
riesgos de seguridad de la informacin (vase el inciso 5).
b)
Implementar el plan de tratamiento de riesgos con el fin de alcanzar los
objetivos de control identificados, que incluyen la consideracin de financiamiento y
asignacin de roles y responsabilidades.
c)
Implementar los controles seleccionados en 4.2.1g) para cumplir con los
objetivos de control.
d)
Definir como medir la efectividad de los controles o grupos de control
seleccionados y especificar como estas medidas sern utilizadas para alcanzar la
efectividad en el control con el fin de producir resultados comparables y
reproducibles [vase 4.2.3c)].
Nota: Medir la efectividad de los controles permite a los gerentes y al personal determinar que tan
bien los controles logran los objetivos de control planeados.
e)
f)
ESQUEMA DE NORMA
TECNICA PERUANA
g)
h)
Implementar procedimientos y otros controles capaces de hacer posible la
inmediata deteccin y respuesta a los incidentes de seguridad (vase 4.2.3a)).
4.2.3
a)
b)
Emprender revisiones regulares de la efectividad del ISMS (incluyendo
cumplir con la poltica de seguridad, objetivos y revisar los controles de seguridad)
considerando los resultados de auditorias de seguridad, incidentes, sugerencias y
retroalimentacin de todas las partes interesadas.
c)
Medir la efectividad de los controles para verificar que se tomaron en cuenta
los requerimientos de seguridad.
d)
Revisar la evaluacin de riesgos en intervalos planificados y revisar el nivel
del riesgo residual y riesgo aceptable, tomando en cuenta los cambios a:
1)
la organizacin;
2)
la tecnologa;
3)
los objetivos y procesos del negocio;
4)
amenazas identificadas;
5)
efectividad de los controles implementados; y
6)
eventos externos, tales como cambios en el ambiente legal o
regulatorio, cambios en obligaciones contractuales y en el clima social;
e)
Realizar auditorias internas de ISMS en intervalos planificados (vase el
captulo 6).
ESQUEMA DE NORMA
TECNICA PERUANA
Nota: Las auditorias internas son conducidas por, o a favor de, la misma organizacin, para
propsitos internos.
f)
Emprender un revisin administrativa del ISMS en una base para garantizar
que el alcance siga siendo el adecuado y las mejoras al proceso ISMS sean
identificadas (Vase 7.1).
g)
Actualizar los planes de seguridad para tomar en cuenta los resultados
encontrados del monitoreo y revisin de las actividades.
h)
Registrar acciones y eventos que podran tener un impacto en la efectividad
o funcionamiento del ISMS (vase 4.3.3).
4.2.4
a)
b)
Tomar las acciones correctivas y preventivas adecuadas en conformidad con
8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras
organizaciones y las de la misma organizacin.
c)
Comunicar las acciones y resultados a todas las partes interesadas con un
nivel de detalle apropiado a las circunstancias y cuando sea relevante, acordar la
forma a proceder.
d)
4.3
Requerimientos de documentacin
ESQUEMA DE NORMA
TECNICA PERUANA
4.3.1
Aspectos generales
Es importante ser capaz de demostrar la relacin de los controles seleccionados con los
resultados de la evaluacin de riesgos y el proceso de tratamiento de riesgos as como
subsecuentemente a las polticas y objetivos de ISMS.
a)
Declaraciones documentadas de la poltica de seguridad (vase 4.2.1b)) y
objetivos;
b)
c)
d)
e)
f)
g)
procedimientos documentados necesarios en la organizacin para garantizar
la planificacin efectiva, funcionamiento y control de sus procesos de seguridad de la
informacin y describir como medir la efectividad de los controles (vase 4.2.3c));
h)
i)
declaracin de aplicabilidad.
NOTA 1: Cuando aparece el trmino procedimiento documentado dentro de esta norma, significa
que el procedimiento est establecido, documentado, implementado y mantenido.
NOTA 2: La extensin de la documentacin del ISMS puede diferir de una organizacin a otra
dependiendo de:
- El tamao de la organizacin y el tipo de actividades; y
- El alcance y complejidad de los requerimientos de seguridad y del sistema a ser
administrado.
ESQUEMA DE NORMA
TECNICA PERUANA
NOTA 3: Los documentos y registros pueden tener cualquier forma y tipo de medio.
4.3.2
Control de documentos
a)
b)
revisar y actualizar los documentos que sean necesarios y reaprobar
documentos;
c)
asegurar que los cambios y el estado de la versin actual de los documentos
sean identificados;
d)
asegurar que las versiones ms recientes de los documentos pertinentes
estn disponibles en los puntos de uso;
e)
f)
asegurar que los documentos se encuentren disponibles para quienes los
necesiten y sean transferidos, almacenados y dispuestos en concordancia con los
procedimientos aplicables a su clasificacin;
g)
h)
i)
j)
aplicar la identificacin adecuada de estos si se guardan para algn
propsito.
4.3.3
Control de registros
ESQUEMA DE NORMA
TECNICA PERUANA
Se mantendrn los registros del rendimiento del proceso como se seala en 4.2 y de todos
los incidentes de seguridad relacionados con el ISMS.
EJEMPLO:
Ejemplos de registros son los libros de visitantes, registros de auditoria y autorizacin de
acceso.
5.
RESPONSABILIDAD DE LA GERENCIA
5.1
Compromiso de la gerencia
a)
b)
c)
estableciendo los roles y responsabilidades para la seguridad de la
informacin;
d)
comunicando a la organizacin la importancia del cumplimiento de los
objetivos de seguridad de la informacin y de acuerdo a la poltica de seguridad de la
informacin, sus responsabilidades de acuerdo a ley y la necesidad de una mejora
continua;
e)
brindando recursos suficientes para desarrollar, implementar, operar,
monitorear, revisar, mantener y mejorar el ISMS (vase 5.2.1);
f)
decidiendo el criterio para aceptacin de riesgos y el nivel de riesgo
aceptable;
ESQUEMA DE NORMA
TECNICA PERUANA
g)
asegurar que las auditorias internas del ISMS sean realizadas (vase
capitulo 6); y
h)
5.2
Administracin de recursos
5.2.1
Provisin de recursos
a)
b)
asegurar que los procedimientos de seguridad de la informacin respalden
los requerimientos de negocio;
c)
identificar y atender los requerimientos legales y regulatorios, obligaciones
de seguridad contractuales;
d)
mantener una seguridad adecuada mediante la correcta aplicacin de todos
los controles implementados;
e)
llevar a cabo revisiones necesarias y aplicar las medidas correspondientes
segn los resultados de estas revisiones;
f)
5.2.2
ESQUEMA DE NORMA
TECNICA PERUANA
c)
evaluando la efectividad de la capacitacin ofrecida y las acciones
ejecutadas; y
d)
manteniendo registros de educacin, capacitacin, habilidades, experiencia
y calificaciones (vase 4.3.3).
La organizacin tambin debe garantizar que todo el personal pertinente tome conciencia
de la relevancia e importancia de las actividades de seguridad de la informacin y cmo
estas contribuyen al logro de los objetivos del ISMS.
a)
estn conformes a los requerimientos de esta norma y legislacin o
reglamentos relevantes;
b)
estn conformes con los requerimientos de seguridad de la informacin
identificados;
c)
d)
La gerencia responsable del rea que est bajo auditoria garantizar que las acciones se
ejecuten sin retrasos indebidos, con el fin de eliminar las no conformidades detectadas y
ESQUEMA DE NORMA
TECNICA PERUANA
sus causas. Las actividades de mejora incluyen la verificacin de las acciones tomadas y el
reporte de los resultados de verificacin (vase captulo 8).
NOTA: ISO 19011:2002, Gua para la calidad y/o gestin de sistemas de auditoria del medio
ambiente, pueden proveer una gua til para llevar a cabo una auditoria ISMS interna.
7.1
Aspectos generales
7.2
Revisin: entradas
a)
b)
c)
tcnicas, productos o procedimientos que podran usarse en la organizacin
para mejorar el funcionamiento y efectividad del ISMS;
d)
e)
vulnerabilidad o amenazas no atendidas adecuadamente en la evaluacin
previa del riesgo;
f)
g)
ESQUEMA DE NORMA
TECNICA PERUANA
h)
i)
7.3
Revisin: salidas
a)
b)
Actualizaciones de la evaluacin de riesgos y del plan de tratamiento de
riesgo.
c)
Modificacin de los procedimientos vinculados con la seguridad de la
informacin, segn sea necesario para responder a los eventos internos y externos
que pueden impactar en el ISMS, incluyendo cambios a:
1)
requerimientos de negocio;
2)
requerimientos de seguridad;
3)
procesos de negocio que afectan los requerimientos de negocio
existentes;
4)
marco regulatorio o legal;
5)
obligaciones contractuales; y
6)
niveles de riesgo y/o niveles de aceptacin de riesgos.
d)
Necesidades de recursos.
e)
8.
8.1
Mejora continua
ESQUEMA DE NORMA
TECNICA PERUANA
8.2
Acciones correctivas
a)
b)
c)
evaluar la necesidad de acciones para asegurar que las no conformidades no
vuelvan a producirse;
d)
e)
f)
8.3
Acciones preventivas
b)
evaluar la necesidad de un accin con el fin de prevenir ocurrencias de no
conformidades;
c)
d)
ESQUEMA DE NORMA
TECNICA PERUANA
e)
NOTA: Las acciones para prevenir no conformidades con frecuencia son ms econmicas que las
acciones correctivas.
9.
ANTECEDENTES
9.1.
ESQUEMA DE NORMA
TECNICA PERUANA
ANEXO A
(NORMATIVO)
Los objetivos de control y los controles que figuran en la tabla A.1 se derivan y alinean
directamente con los que figuran en NTP ISO/IEC 17799:2006, captulos 5 a 15. Las listas
en estas tablas no son exhaustivas y la organizacin puede considerar que son necesarios
objetivos de control y controles adicionales. Los objetivos de control y los controles de
estas tablas deben seleccionarse como parte del proceso ISMS especificado en 4.2.1.
Poltica de seguridad
A.5.1.2
Documentos de poltica
de seguridad de la
informacin
Control
Revisin de la poltica
de seguridad de
informacin
Control
ESQUEMA DE NORMA
TECNICA PERUANA
A.6
Seguridad organizacional
ESQUEMA DE NORMA
TECNICA PERUANA
A.7
Gestin de activos
A.7.1.2
A.7.1.3
El termino propietario identifica a un individuo o entidad que aprueba la responsabilidad por la gestin
por controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino
propietario no significa que la persona tiene algn derecho de propiedad realmente sobre el activo.
ESQUEMA DE NORMA
TECNICA PERUANA
informacin.
A.7.2 Clasificacin de la informacin
Objetivo de control: Asegurar que los activos de informacin reciban un nivel de proteccin
adecuado.
Guas de clasificacin
Control
A.7.2.1
A.7.2.2
Marcado y tratamiento
de la informacin
A.8
Seguridad personal
A.8.1.3
Trminos y condiciones
de la relacin laboral
Explicacin: la palabra empleo se utiliza aqu para cubrir las siguientes situaciones diferentes: empleo de
las personas (temporalmente o durante largo tiempo), designando roles de trabajo, cambiando roles de
trabajo, asignando contratos, y la terminacin de cualquiera de estos arreglos.
ESQUEMA DE NORMA
TECNICA PERUANA
A.8.3.3
A.9
ESQUEMA DE NORMA
TECNICA PERUANA
A.9.1.2
A.9.1.3
A.9.1.4
A.9.1.5
Permetro se seguridad
fsica
Controles fsicos de
entradas
Seguridad de oficinas,
despachos y recursos
Proteccin contra
amenazas externas y
ambientales
Control
Las organizaciones usarn permetros de seguridad
(barreras como paredes, puertas con control de entrada por
tarjeta o recepciones) para proteger reas que contienen
informacin e instalaciones de procesamiento de
informacin.
Control
Las reas seguras estarn protegidas mediante controles de
acceso adecuados para garantizar que nicamente personal
autorizado pueda ingresar.
Control
Se deben designar y mantener reas seguras con el fin de
proteger las oficinas, despachos e instalaciones.
Control
Se deben designar y mantener proteccin fsica contra
daos por fuego, inundacin, terremoto, explosin,
manifestacin civil y otras formas de desastre natural o
realizado por el hombre.
Control
A.9.2.2
Instalacin y
proteccin de equipos
Suministro elctrico
Control
El equipamiento ser ubicado o protegido para reducir los
riesgos de amenazas, peligros ambientales y oportunidades
de acceso no autorizado.
Control
ESQUEMA DE NORMA
TECNICA PERUANA
A.9.2.3
A.9.2.4
A.9.2.5
A.9.2.6
A.9.2.7
Mantenimiento de
equipos
Seguridad de equipos
fuera de los locales de
la organizacin
Seguridad en el re-uso
o eliminacin de
equipos
Retiro de propiedad
A.10
A.10.1.3
Segregacin de tareas
ESQUEMA DE NORMA
TECNICA PERUANA
A.10.1.4
A.10.2.2
Separacin de los
recursos para desarrollo
y para produccin
Se separarn las instalaciones de prueba y desarrollo de las
instalaciones de produccin con el fin de reducir el riesgo
de acceso no autorizado o de modificacin no intencionada
o cambios en el sistema operacional.
A.10.2 Gestin de entrega de servicios externos
Objetivo de control: Implementar y mantener un nivel apropiado de seguridad de informacin
Control
A.10.2.1 Entrega de servicios
A.10.2.3
Monitoreo y revisin de
los servicios externos
Gestin de cambios de
los servicios externos
A.10.3.2
Controles contra
Control
ESQUEMA DE NORMA
TECNICA PERUANA
software malicioso
A.10.4.2
Controles contra
software mvil
Recuperacin de la
informacin
Control
Se obtendrn y probarn las copias de recuperacin y
respaldo de informacin y software regularmente en
concordancia con la poltica acordada.
A.10.6.2
Controles de red
Seguridad
de
servicios de red
Control
Se implementar un conjunto de controles para lograr y
mantener la seguridad en las redes, y mantener la seguridad
de los sistemas y aplicaciones usuarios de la red, incluyendo
la informacin en trnsito.
los Control
A.10.7.3
Procedimientos de
ESQUEMA DE NORMA
TECNICA PERUANA
manipulacin de la
informacin
A.10.7.4
Seguridad de la
documentacin de
sistemas
A.10.9.1
A.10.9.2
ESQUEMA DE NORMA
TECNICA PERUANA
transacciones en lnea
La informacin envuelta en las transacciones en lnea debe
ser protegida para prevenir transmisiones incompletas, rutas
incorrectas, alteracin no autorizada de mensajes, o
duplicacin no autorizada de mensajes.
A.10.9.3 Sistemas pblicamente Control
disponibles
Se proteger la integridad de la informacin pblicamente
disponible para prevenir modificaciones no autorizadas.
A.10.10 Monitoreo
Objetivo de control: Mantener la seguridad en los servicios de comercio electrnico y en su uso.
A.10.10.1 Registro de auditoria Control
A.10.10.3 Proteccin de la
informacin de
registro
A.10.10.4 Registros de
administrador y
operador
A.10.10.5 Registros con faltas
A.11
Control de accesos
ESQUEMA DE NORMA
TECNICA PERUANA
A.11.2.2
A.11.2.3
Gestin de privilegios
Gestin de contraseas
de usuario
A.11.3.2
A.11.3.3
Equipo informtico de
usuario desatendido
Poltica de pantalla y
escritorio limpio
ESQUEMA DE NORMA
TECNICA PERUANA
conexiones externas
A.11.4.3
A.11.4.4
Autenticacin de
equipos en la red
Proteccin a puertos de
diagnstico y
configuracin remota
A.11.4.5
A.11.4.6
Control de conexin a
las redes
ESQUEMA DE NORMA
TECNICA PERUANA
A.12
ESQUEMA DE NORMA
TECNICA PERUANA
A.12.2.4
A.12.4.2
A.12.4.3
Control de acceso a la
librera de programas
Control
Se pondr en prctica procedimientos para controlar la
implementacin del software en sistemas operacionales.
Control
Se protegern y controlarn los datos de prueba los cuales
deben ser seleccionados cuidadosamente.
Control
ESQUEMA DE NORMA
TECNICA PERUANA
fuente
A.12.5.2
A.12.5.3
A.12.5.4
A.12.5.5
Procedimientos de
control de cambios
Restricciones en los
cambios a los paquetes
de software
Fuga de informacin
Control
La implementacin de cambios se controlar estrictamente
mediante el uso de procedimientos formales de control de
cambios.
Control
Cuando los sistemas operativos son cambiados, se deben de
revisar y probar las aplicaciones criticas de negocio con el
fin de asegurar que no existan impactos adversos en las
operaciones o seguridad de la organizacin.
Control
No se debe fomentar las modificaciones en los paquetes. Se
debe limitar a cambios necesarios y todos estos cambios
deben ser estrictamente controlados.
Control
Se deben de prevenir las oportunidades de fuga de
informacin.
Control
A.12.6.1
A.13
Control de
Control
vulnerabilidades tcnicas Se debe obtener informacin a tiempo sobre las
vulnerabilidades tcnicas de los sistemas de informacin
que se utilizan. La exposicin de la organizacin a tales
vulnerabilidades debe ser evaluada y se debe tomar
medidas apropiadas asociadas al riesgo.
ESQUEMA DE NORMA
TECNICA PERUANA
A.13.1.1
A.13.1.2
Reportando eventos de
la seguridad de
informacin
Reportando debilidades
de seguridad
Control
Los eventos en la seguridad de informacin deben ser
reportados lo mas rpido posible a travs de canales
apropiados.
Control
A.14
A.14.1.2
ESQUEMA DE NORMA
TECNICA PERUANA
y evaluacin de riesgos
A.14.1.3
A.14.1.4
A.14.1.5
A.15
Desarrollando e
implementando planes
de continuidad que
Se deben desarrollar e implementar planes para mantener
incluyen la seguridad de o reparar operaciones y asegurar la disponibilidad de
la informacin
informacin al nivel y tiempo requerido, siguiendo las
interrupciones o fallas a los procesos crticos del negocio.
Marco de planificacin Control
de la continuidad del
negocio
Un simple marco de los planes de continuidad del negocio
debe ser mantenido para asegurar que todos los planes
sean consistentes, que anexen consistentemente los
requisitos de seguridad de la informacin, para identificar
prioridades de prueba y mantenimiento.
Probando, manteniendo Control
y reevaluando los planes
de continuidad del
Los planes de continuidad del negocio deben ser probados
negocio
y actualizados regularmente con el fin de asegurar que se
encuentren actuales y que sean efectivos.
Cumplimiento
A.15.1.1
A.15.1.2
A.15.1.3
Identificacin de la
legislacin aplicable
Control
Se definirn y documentaran explcitamente todos los
requerimientos legales, regulatorios y contractuales relevantes
y se deben mantener actualizados cada sistema de informacin.
Control
Derechos de
propiedad intelectual
(DPI)
Se implementarn procedimientos adecuados para garantizar el
cumplimiento de las restricciones legales en el uso de material
con respecto a derechos de propiedad intelectual y uso de
productos de software propietario.
Salvaguarda de los
Control
registros de la
organizacin
Se protegern los registros importantes de la organizacin
frente a prdidas, destruccin y falsificacin en concordancia
ESQUEMA DE NORMA
TECNICA PERUANA
ESQUEMA DE NORMA
TECNICA PERUANA
ESQUEMA DE NORMA
TECNICA PERUANA
ANEXO B
(INFORMATIVO)
Los principios dados en las Pautas OECD para la Seguridad de los Sistemas y Redes de
Informacin se aplican a todos los niveles polticos y operativos que rigen la seguridad de
los sistemas de informacin y redes. Esta Norma Peruana ofrece un marco para el sistema
de gestin de la seguridad de la informacin para implementar algunos de los principios
OECD usando el modelo PDCA y los procesos descritos en los captulos 4, 5, 6, y 8 como
se indica en la Tabla B.1
Principio OECD
Conocimiento
Los participantes deben estar concientes de la
necesidad de seguridad de los sistemas y redes
de informacin y lo que pueden hacer para
mejorar la seguridad.
Responsabilidad
Todos los participantes son responsables por la
seguridad de los sistemas y redes de
informacin.
Respuesta
Los participantes deben actuar de manera
puntual y cooperativa para prevenir, detectar y
responder a los incidentes de seguridad.
ESQUEMA DE NORMA
TECNICA PERUANA
Principio OECD
Gestin de seguridad
Los participantes deben adoptar un enfoque
comprensivo de la gestin de seguridad.
Reevaluacin
Los participantes deben revisar y reevaluar la
seguridad de los sistemas y redes de
informacin y hacer modificaciones adecuadas
a las polticas, prcticas, medidas y
procedimientos de seguridad
ESQUEMA DE NORMA
TECNICA PERUANA
ANEXO C
(INFORMATIVO)
La tabla C.1 muestra la correspondencia entre la norma ISO 9001:2000, ISO 14001:2004 y
esta norma peruana
TABLA C.1 Correspondencia entre ISO 9001:2000, ISO 14001:2004 y esta Norma
Peruana
Norma Peruana
ISO 9001:2000
0 Introduccin
0 Introduccin
ISO 14001:2004
Introduccin
1 Alcance
1 Alcance
1.2 Aplicacin
1.2 Aplicaciones
2 Referencias normativas
2 Referencias normativas
2 Referencias normativas
3 Trminos y definiciones
3 Trminos y definiciones
3 Trminos y definiciones
4 Sistema de gestin de
seguridad de la informacin
4 Sistema de gestin de
calidad
1 Alcance
ESQUEMA DE NORMA
TECNICA PERUANA
Norma Peruana
4.1 Requerimientos generales
ISO 9001:2000
4.1 Requerimientos generales
ISO 14001:2004
4.1 Requerimientos generales
4.2 Establecimiento y
administracin de ISMS
4.2.1 Establecimiento de ISMS
4.2.2 Implementar y operar el
ISMS
4.2.3 Monitorear y revisar el
ISMS
4.4 Implementacin y
operacin
8.2.3 Monitoreo y medicin
de los procesos
4.3 Requerimientos de
documentacin
4.2 Requerimientos de
documentacin
5 Responsabilidad de la
gerencia
5 Responsabilidad de la
gerencia
5.1 Compromiso de la
gerencia
4.4.5 Control de la
documentacin
4.5.4 Control de registros
5.4 Planeamiento
4.3 Planeamiento
5.5 Responsabilidad,
autoridad y comunicacin
5.2 Administracin de recursos
6 Gestin de recursos
ESQUEMA DE NORMA
TECNICA PERUANA
Norma Peruana
5.2.1 Provisin de recursos
ISO 9001:2000
ISO 14001:2004
5.2.2 Capacitacin,
concientizacin y competencia
8 Mejora
4.5.3 No conformidad,
acciones correctivas y
preventivas
Anexo C Correspondencia
entre la norma ISO 9001:
2000, ISO 14001:2004 y esta
Norma Peruana
Anexo A Correspondencia
entre la norma ISO 9001:
2000, ISO 14001:1996
BIBLIOGRAFIA
Anexo B Correspondencia
entre la norma ISO 14001:
2004, ISO 9001:2000
ESQUEMA DE NORMA
TECNICA PERUANA
Publicaciones
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
ISO/IEC Guide 62:1996, General requirements for bodies operating assessment and
certification/registration of quality systems.
[9]
Otras publicaciones
[1]
[2]
[3]
Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced
Engineering Study, 1986