NORMA TÉCNICA PERUANA

2007
NTP-ISO/IEC 17799

Tecnología de la información. Código de buenas prácticas

para la gestión de la seguridad de la información
 ESTRUCTURA DE ESTE ESTANDAR
1. Política de seguridad (1);
2. Organizando la seguridad de información (2);
3. Gestión de activos (2);
4. Seguridad en recursos humanos (3);
5. Seguridad física y ambiental (2);
6. Gestión de comunicaciones y operaciones (10);
7. Control de acceso (7);
8. Adquisición, desarrollo y mantenimiento de sistemas de
información (6);
9. Gestión de incidentes de los sistemas de información (2);
10. Gestión de la continuidad del negocio (1);
11. Cumplimiento (3)
 CLASIFICACIÓN Y
CONTROL DE ACTIVOS
 RESPONSABILIDAD SOBRE LOS
ACTIVOS
OBJETIVO: Mantener una protección adecuada sobre los activos
de la organización.

Todos los activos deben ser considerados y tener un propietario

asignado.

Deberían identificarse los propietarios para todos los activos

importantes, y se debería asignar la responsabilidad del
mantenimiento de los controles apropiados. La responsabilidad de
la implantación de controles debería delegarse. Pero la
responsabilidad debería mantenerse en el propietario designado
del activo.
•Inventario de activos
•Propiedad de los activos
•Uso adecuado de los activos
 INVENTARIO DE ACTIVOS
Una organización debe identificar todos los activos y la documentación de
importancia de ellos. El inventario de activos debe incluir toda la información
necesaria con el fin de recuperarse de un desastre, incluyendo el tipo de activo,
formato, ubicación, información de respaldo, información de licencia y el valor
dentro del negocio.
A. activos de información: archivos y bases de datos, documentación del sistema,
manuales de los usuarios, material de formación, procedimientos operativos o de
soporte, planes de continuidad, configuración del soporte de recuperación,
información archivada;
B. activos de software: software de aplicación, software del sistema, herramientas y
programas de desarrollo;
C. activos físicos: equipo de computo, equipo de comunicaciones, medios
magnéticos (discos y cintas) u otro equipo técnico;
D. servicios: servicios de computo y comunicaciones, servicios generales
(calefacción, alumbrado, energía, aire acondicionado);
E. personas, y sus calificaciones, habilidades y experiencia;
F. intangibles, como la reputación y la imagen organizacional.
 PROPIEDAD DE LOS ACTIVOS
Los propietarios de los activos deben ser responsables por:

a)asegurar que la información y los activos asociados con

las instalaciones de procesamiento de información son
apropiadamente clasificadas;
b)definiendo y revisando periódicamente las restricciones

de acceso y las clasificaciones, tomando en cuenta

políticas de control aplicables. La propiedad debe ser
asignada a:
a) proceso de negocios;

b) un conjunto definido de actividades;

c) una paliación; o

d) un conjunto definido de datos.

 USO ADECUADO DE LOS ACTIVOS
Todos los empleados, contratistas y terceras partes deben de seguir las
siguientes reglas para un uso aceptable de la información y de los
activos asociados con las instalaciones del procesamiento de
información, incluyendo:
a)reglas para correo electrónico y usos de Internet (véase el inciso

10.8);
b)guías para el uso de aparatos móviles, especialmente para el uso

fuera de las premisas de la organización (véase el inciso 11.7.1);

Reglas especificas o guías deben ser provistas por la gerencia
relevante. Empleados, contratistas y usuarios de terceros usando o
teniendo acceso a los activos de la organización deben estar al tanto
de los limites existentes para el uso de la información de la
organización y de los activos asociados con las instalaciones de
procesamiento de información y recursos. Ellos deben ser
responsables del uso de cualquier recurso del procesamiento de
información y de cualquier otro uso parecido bajo su responsabilidad.
 CLASIFICACIÓN DE LA
INFORMACIÓN
OBJETIVO: Asegurar un nivel de protección adecuado a los
activos de información.

La información debería clasificarse para indicar la necesidad,

prioridades y grado de protección.

La información tiene grados variables de sensibilidad y criticidad.

Algunos elementos de información pueden requerir un nivel
adicional de protección o un uso especial. Debería utilizarse un
sistema de clasificación de la información para definir un conjunto
de niveles de protección adecuados, y comunicar la necesidad de
medidas de utilización especial.
• Guías de clasificación
• Marcado y tratamiento de la información
 GUÍAS DE CLASIFICACIÓN
Control
La información debería clasificarse en función de su valor, requisitos
legales, sensibilidad y criticidad para la organización.
Guía de implementación
Las clasificaciones de información y otros controles de protección
asociados deberían tener en cuenta que el negocio necesita compartir
o restringir la información, así como los impactos en la organización
asociados a esas necesidades.
Las guías de clasificación deben incluir convenciones para la
clasificación inicial y la reclasificación a través del tiempo.
Debe ser responsabilidad del propietario del activo (véase 7.1.2)
definir la clasificación de este, revisarlo periódicamente y asegurarse
que esta actualizado y en un nivel apropiado.
 MARCADO Y TRATAMIENTO DE LA
INFORMACIÓN
Control
Es importante definir un conjunto adecuado de procedimientos para marcar y tratar la
información de acuerdo con el esquema de clasificación adoptado por la organización.
Guía de implementación
Los procedimientos para el marcado de la información han de cubrir los activos en
formato físico y electrónico.
La salida procedente de los sistemas que traten información clasificada como sensible
o crítica deberían llevar una etiqueta de clasificación adecuada (en la salida). El
marcado debería reflejar la clasificación de acuerdo con las reglas establecidas en el
inciso 7.2.1. Se consideran elementos como informes impresos, pantallas, medios de
almacenamiento (cintas, discos, CDs, casetes), mensajes electrónicos y transferencias
de archivos.
Para cada nivel de clasificación, los procedimientos de manipulación incluyendo el
procesamiento seguro, copia, almacenamiento, transmisión, clasificación y
destrucción deben ser definidos.
Los acuerdos con otras organizaciones que compartan información deben incluir
procedimientos para identificar la clasificación de dicha información e interpretar la
marca de clasificación de otras organizaciones.
 SEGURIDAD EN
RECURSOS HUMANOS
 SEGURIDAD ANTES DEL EMPLEO
OBJETIVO: Asegurar que los empleados, contratistas y
terceros entiendan sus responsabilidades y que sean adecuados
para los roles para los que han sido considerados, reduciendo
el riesgo de hurto, fraude o mal uso de las instalaciones. Las
responsabilidades de la seguridad se deben tratar antes del
empleo en funciones adecuadas descritas y en términos y
condiciones del empleo.
Todos los candidatos para empleo, contratistas y usuarios de
terceros deben ser adecuadamente seleccionados,
especialmente para trabajos sensibles.
Empleados, contratistas y terceros que utilizan las
instalaciones del procesamiento de información deben firmar
un acuerdo de confidencialidad.
Control
Las funciones y responsabilidades de los empleados, contratistas y
terceros deben ser definidas y documentadas en concordancia con la
política de seguridad de la organización.
Guía de implementación
Las funciones de seguridad y las responsabilidades deben incluir los
siguientes requisitos:
implementadas y realizadas en concordancia con la política de
seguridad de la organización deben proteger a los activos de un
acceso no autorizado, modificación, destrucción o interferencia;
a)ejecutar procesos particulares o actividades;

b)asegurar que la responsabilidad sea asignada al individuo para tomar

acciones;
reportar eventos de seguridad o eventos potenciales u otro riesgo de
seguridad para la organización.
 DURANTE EL EMPLEO
OBJETIVO: Asegurar que los empleados, contratistas, y usuarios de terceros
estén consientes de las amenazas y riesgos en el ámbito de la seguridad de la
información, y que están preparados para sostener la política de seguridad de la
organización en el curso normal de su trabajo y de reducir el riesgo de error
humano.

Las responsabilidades de la gerencia deben ser definidas para asegurar que la

seguridad sea aplicable a través del empleo de un individuo dentro de la
organización.

Un nivel adecuado de conocimiento, educación y entrenamiento en

procedimientos de seguridad y el correcto uso de las instalaciones de
procesamiento de información debe ser provista a todos los empleados,
contratistas y usuarios de terceros con el fin de minimizar los posibles riesgos de
seguridad. Se debe establecer un proceso disciplinario formal para maniobrar
aberturas de seguridad.
 FINALIZACIÓN O CAMBIO DEL
EMPLEO
OBJETIVO: Asegurar que los empleados, contratistas e usuarios
de terceros salgan de la organización o cambien de empleo de una
forma ordenada.

Las responsabilidades se establecen con el fin de asegurarse que la

salida de la organización de los empleados, contratistas e usuarios
de terceros este manejada y que el retorno de todo el equipo y el
retiro de todo derecho acceso este completado.

Cambios en la responsabilidad y empleos dentro de la organización

deben ser manejados como la terminación de la respectiva
responsabilidad o empleo, en línea con esta sección y cualquier
nuevo empleo debe ser manejado como se describió en la sección
8.1.