INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO

Transcripción

1 INSTITUTO ECUATORIANO DE NORMALIZACIÓN Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 NÚMERO DE REFERENCIA ISO/IEC 27002:2005 (E) TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD - CÓDIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. Primera Edición INFORMATION TECHNOLOGY-SECURITY TECHNIQUES-CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT. First Edition DESCRIPTORES: Tecnología de la información, grupos de caracteres y códigos de información, gestión de la seguridad de la información; evaluación de riesgos; sistemas de gestión TI CDU: CIIU: 0000 ICS:

2 Contenido Página PRÓLOGO...v 0. INTRODUCCIÓN...vi 0.1 Qué es la seguridad de la información?... vi 0.2 Por qué es necesaria la seguridad de la información?... vi 0.3 Cómo establecer los requisitos de la seguridad?... vi 0.4 Evaluación de los riesgos de la seguridad... vii 0.5 Selección de controles... vii 0.6 Punto de partida para la seguridad de la información... vii 0.7 Factores críticos para el éxito...viii 0.8 Desarrollo de directrices propias... ix 1. OBJETO TÉRMINOS Y DEFINICIONES ESTRUCTURA DE ESTA NORMA Cláusulas Categorías principales de la seguridad EVALUACIÓN Y TRATAMIENTO DEL RIESGO Evaluación de los riesgos de la seguridad Tratamiento de los riesgos de la seguridad POLÍTICA DE LA SEGURIDAD Política de la seguridad de la información Documento de la política de la seguridad de la información Revisión de la política de la seguridad de la información ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Organización interna Compromiso de la dirección con la seguridad de la información Asignación de responsabilidades para la seguridad de la información Proceso de autorización para los servicios de procesamiento de la información Acuerdos sobre confidencialidad Contacto con las autoridades Contactos con grupos de interés especiales Revisión independiente de la seguridad de la información Partes externas Identificación de los riesgos relacionados con las partes externas Consideraciones de la seguridad cuando se trata con los clientes Consideraciones de la seguridad en los acuerdos con terceras partes GESTIÓN DE ACTIVOS Responsabilidad por los activos Inventario de activos Responsable de los activos Uso aceptable de los activos Clasificación de la información Directrices de clasificación Etiquetado y manejo de la información SEGURIDAD DE LOS RECURSOS HUMANOS Previo a la contratación laboral 3) Funciones y responsabilidades Selección Términos y condiciones laborales Durante la vigencia del contrato laboral i-

3 8.2.1 Responsabilidades de la dirección Educación, formación y concienciación sobre la seguridad de la información Proceso disciplinario Terminación o cambio de la contratación laboral Responsabilidades en la terminación del contrato Devolución de activos Retiro de los derechos de acceso SEGURIDAD FÍSICA Y DEL ENTORNO Áreas seguras Perímetro de la seguridad física Controles de acceso físico Seguridad de oficinas, recintos e instalaciones Protección contra amenazas externas y ambientales Trabajo en áreas seguras Áreas de carga, despacho y acceso público Seguridad de los equipos Ubicación y protección de los equipos Servicios de suministro Seguridad del cableado Mantenimiento de los equipos Seguridad de los equipos fuera de las instalaciones Seguridad en la reutilización o eliminación de los equipos Retiro de activos de la propiedad GESTIÓN DE COMUNICACIONES Y OPERACIONES Procedimientos operacionales y responsabilidades Documentación de los procedimientos de operación Gestión del cambio Distribución de funciones Separación de las instalaciones de desarrollo, ensayo y operación Gestión de la prestación del servicio por terceras partes Prestación del servicio Monitoreo y revisión de los servicios por terceros Gestión de los cambios en los servicios por terceras partes Planificación y aceptación del sistema Gestión de la capacidad Aceptación del sistema Protección contra códigos maliciosos y móviles Controles contra códigos maliciosos Controles contra códigos móviles Respaldo Respaldo de la información Gestión de la seguridad de las redes Controles de las redes Seguridad de los servicios de la red Manejo de los medios Gestión de los medios removibles Eliminación de los medios Procedimientos para el manejo de la información Seguridad de la documentación del sistema Intercambio de la información Políticas y procedimientos para el intercambio de información Acuerdos para el intercambio Medios físicos en tránsito Mensajería electrónica Sistemas de información del negocio Servicios de comercio electrónico Comercio electrónico Transacciones en línea Información disponible al público ii-

4 10.10 Monitoreo Registro de auditorías Monitoreo de uso del sistema Protección del registro de la información Registros del administrador y del operador Registro de fallas Sincronización de relojes CONTROL DEL ACCESO Requisitos del negocio para el control del acceso Política de control de acceso Gestión del acceso de usuarios Registro de usuarios Gestión de privilegios Gestión de contraseñas para usuarios Revisión de los derechos de acceso de los usuarios Responsabilidades de los usuarios Uso de contraseñas Equipo de usuario desatendido Política de escritorio despejado y de pantalla despejada Control de acceso a las redes Política de uso de los servicios en red Autenticación de usuarios para conexiones externas Identificación de los equipos en las redes Protección de los puertos de configuración y diagnóstico remoto Separación en las redes Control de conexión a las redes Control del enrutamiento en la red Control de acceso al sistema operativo Procedimientos de registro de inicio seguro Identificación y autenticación de usuarios Sistema de gestión de contraseñas Uso de las utilidades del sistema Tiempo de inactividad de la sesión Limitación del tiempo de conexión Control de acceso a las aplicaciones y a la información Restricción del acceso a la información Aislamiento de sistemas sensibles Computación móvil y trabajo remoto Computación y comunicaciones móviles Trabajo remoto ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN Requisitos de la seguridad de los sistemas de información Análisis y especificación de los requisitos de la seguridad Procesamiento correcto en las aplicaciones Validación de los datos de entrada Control de procesamiento interno Integridad del mensaje Validación de los datos de salida Controles criptográficos Política sobre el uso de controles criptográficos Gestión de claves Seguridad de los archivos del sistema Control del software operativo Protección de los datos de prueba del sistema Control de acceso al código fuente de los programas Seguridad en los procesos de desarrollo y soporte Procedimientos de control de cambios Revisión técnica de las aplicaciones después de los cambios en el sistema operativo Restricciones en los cambios a los paquetes de software Fuga de información iii-

5 Desarrollo de software contratado externamente Gestión de la vulnerabilidad técnica Control de las vulnerabilidades técnicas GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN Reporte sobre los eventos y las debilidades de la seguridad de la información Reporte sobre los eventos de seguridad de la información Reporte sobre las debilidades en la seguridad Gestión de los incidentes y las mejoras en la seguridad de la información Responsabilidades y procedimientos Aprendizaje debido a los incidentes de seguridad de la información Recolección de evidencias GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Aspectos de la seguridad de la información en la gestión de la continuidad del negocio Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio Continuidad del negocio y evaluación de riesgos Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información Estructura para la planificación de la continuidad del negocio Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio CUMPLIMIENTO Cumplimiento de los requisitos legales Identificación de la legislación aplicable Derechos de propiedad intelectual (DPI) Protección de los registros de la organización Protección de los datos y privacidad de la información personal Prevención del uso inadecuado de los servicios de procesamiento de información Reglamentación de los controles criptográficos Cumplimiento de las políticas y las normas de la seguridad y cumplimiento técnico Cumplimiento con las políticas y las normas de la seguridad Verificación del cumplimiento técnico Consideraciones de la auditoría de los sistemas de información Controles de auditoría de los sistemas de información Protección de las herramientas de auditoría de los sistemas de información BIBLIOGRAFÍA APENDICE Z iv-

6 Prólogo La ISO (Organización Internacional para Estandarización) e IEC (Comisión Internacional Electrotécnica forman el sistema especializado para estandarización a nivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de Estándares Internacionales a través de los comités técnicos establecidos por la respectiva organización para tratar campos particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales conjuntamente con ISO y IEC, también toman parte en el trabajo. En el campo de tecnologías de información, ISO y IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1 Los estándares internacionales son delineados de acuerdo con las reglas dadas en las Directivas ISO/IEC, Parte 2 La principal tarea del comité técnico conjunto es preparar Estándares Internacionales. Los Estándares Internacionales delineados adoptados por el comité técnico conjunto son entregados a los organismos nacionales para votación. La publicación como un Estándar Internacional requiere la aprobación de al menos 75% de los organismos nacionales que otorgan el voto. Se alerta de la posibilidad que algunos de los elementos de este documento puedan ser sujetos de derechos de patentes. ISO y IEC no serán responsables de identificar ninguno o todos los derechos de tales patentes. ISO/IEC fue preparado por el Comité Técnico ISO/IEC JTC1, Tecnologías de la Información, Sucomité SC 27, IT (Security Techniques) Tecnología de seguridad. La primera edición de la ISO/IEC fue preparado por el Comité Técnico ISO/IEC 17799:2005 y ISO/IEC 17799:2005 /Cor.1:2007. Su contenido técnico es idéntico a la ISO/IEC 17799:2005 y ISO/IEC 17799:2005 /Cor.1:2007. Cambia el número de referencia de la norma a La ISO/IEC 17799:2005 y la ISO/IEC 17799:2005/Cor.1:2007 provisionalmente se archiva hasta la segunda edición de la ISO/IEC v-

7 0. INTRODUCCIÓN 0.1 Qué es la seguridad de la información? La información es un activo que, como otros activos importantes del negocio, es esencial para las actividades una organización y, en consecuencia, necesita una protección adecuada. Esto es especialmente importante en el entorno del negocio cada vez más interconectado. Como resultado de esta interconexión creciente, la información se expone a un gran número y variedad de amenazas y vulnerabilidades (véase también OECD Guía para la seguridad de redes y sistemas de información). La información puede existir en diversas formas. Se puede imprimir o escribir en papel, almacenar electrónicamente, transmitir por correo o por medios electrónicos, presentar en películas, o expresarse en la conversación. Cualquiera sea su forma o medio por el cual se comparte o almacena, siempre debería tener protección adecuada. La seguridad de la información es la protección de la información contra una gran variedad de amenazas con el fin de asegurar la continuidad del negocio, minimizar el riesgo para el negocio y maximizar el retorno de inversiones y oportunidades del negocio. La seguridad de la información se logra implementando un conjunto apropiado de controles, incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware. Estos controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados, donde sea necesario, para asegurar que se cumplen los objetivos específicos de la seguridad y del negocio una organización. Esto debería hacerse en conjunto con otros procesos de gestión del negocio. 0.2 Por qué es necesaria la seguridad de la información? La información y los procesos, sistemas y redes que la soportan son activos importantes del negocio. La definición, el logro, el mantenimiento y la mejora de la seguridad de la información pueden ser esenciales para mantener su competitividad, el flujo de caja, la rentabilidad, el cumplimiento legal y la imagen comercial. Las organizaciones y sus sistemas y redes de información enfrentan amenazas de la seguridad procedentes de una gran variedad de fuentes, incluyendo fraudes asistidos por computador, espionaje, sabotaje, vandalismo, incendios o inundaciones. Las causas de daño tales como códigos maliciosos y ataques de piratería por computador y negación del servicio se han vuelto más comunes, más ambiciosos y cada vez más sofisticados. La seguridad de la información es importante tanto para los negocios del sector público como del privado y para proteger la infraestructura crítica. En ambos sectores, la seguridad de la información actuará como un elemento facilitador, por ejemplo para lograr, gobierno en línea (e-government) o negocios electrónicos (e-business) y evitar o reducir los riesgos pertinentes. La interconexión de las redes públicas y privadas y compartir los recursos de información incrementan la dificultad para lograr el control del acceso. La tendencia hacia la computación distribuida también ha debilitado la eficacia del control central y especializado. Muchos sistemas de información no se han diseñado para ser seguros. La seguridad que se puede lograr a través de los medios técnicos es limitada y debería estar soportada por una buena gestión y por procedimientos apropiados. La identificación de los controles que se deberían establecer requiere planificación y atención cuidadosa a los detalles. La gestión de la seguridad de la información requiere, como mínimo, la participación de todos los empleados una organización. También puede requerir la participación de accionistas, proveedores, terceras partes, clientes u otras partes externas. De igual modo puede ser necesaria la asesoría especializada de organizaciones externas. 0.3 Cómo establecer los requisitos de la seguridad? Es esencial que la organización identifique sus requisitos de la seguridad. Existen tres fuentes principales de requisitos de la seguridad: (Continúa) -vi-

8 1) Una fuente se deriva de una evaluación de los riesgos para la organización, teniendo en cuenta la estrategia y los objetivos globales del negocio. A través de una evaluación de riesgos, se identifican las amenazas para los activos, se evalúan la vulnerabilidad y la probabilidad de ocurrencia y se estima el impacto potencial. 2) Otra fuente son los requisitos legales, estatutarios, reglamentarios y contractuales que debe cumplir la organización, sus socios comerciales, los contratistas y los proveedores de servicios, así como su entorno socio-cultural. 3) Una fuente adicional es el conjunto particular de principios, objetivos y requisitos del negocio para el procesamiento de la información que la organización ha desarrollado para apoyar sus operaciones. 0.4 Evaluación de los riesgos de la seguridad Los requisitos de la seguridad se identifican mediante una evaluación metódica de los riesgos de la seguridad. Los gastos en los controles se deben equilibrar frente a la probabilidad de daño para el negocio que resulta de las fallas en la seguridad. Los resultados de una evaluación de riesgos ayudarán a guiar y a determinar la acción de gestión adecuada y las prioridades para la gestión de los riesgos de la seguridad de la información, así como para implementar los controles seleccionados para la protección contra estos riesgos. Una evaluación de riesgos se debería repetir periódicamente para tratar cualquier cambio que pueda influir en los resultados de una evaluación de riesgos. Información adicional sobre una evaluación de los riesgos de la seguridad se puede encontrar en el numeral 4.1, "Evaluación de los riesgos de la seguridad". 0.5 Selección de controles Una vez que se han identificado los requisitos y los riesgos de la seguridad y se han tomado las decisiones para el tratamiento de los riesgos, es conveniente seleccionar e implementar los controles para garantizar la reducción de los riesgos hasta un nivel aceptable. Los controles se pueden seleccionar a partir de este documento, de otros grupos de controles o se pueden diseñar controles nuevos para satisfacer necesidades específicas, según sea adecuado. La selección de los controles de la seguridad depende de las decisiones de una organización basadas en los criterios para la aceptación del riesgo, el tratamiento del riesgo y el enfoque general para la gestión del riesgo aplicado en la organización, y debería estar sujeta a toda la legislación y todos los reglamentos nacionales e internacionales pertinentes. Algunos de los controles en esta norma se pueden considerar como principios guía para la gestión de la seguridad de la información y aplicables a la mayoría de las organizaciones. Éstos se explican con más detalle bajo el encabezado "Punto de partida para la seguridad de la información". Información adicional sobre la selección de controles y otras opciones de tratamiento de riesgos se puede encontrar en el numeral 4.2 "Tratamiento de los riesgos de la seguridad". 0.6 Punto de partida para la seguridad de la información Algunos controles se pueden considerar un buen punto de partida para la implementación de la seguridad de la información. Ellos se basan en requisitos legales esenciales o se consideran una práctica común para la seguridad de la información. Los controles considerados esenciales para una organización desde el punto de vista legislativo incluyen, dependiendo de la legislación que se aplique, los siguientes: a) protección de datos y privacidad de la información personal (véase el numeral ); (Continúa) -vii-

9 b) protección de los registros una organización (véase el numeral ); c) derechos de propiedad intelectual (véase el numeral ). Los controles que se consideran una práctica común para la seguridad de la información incluyen los siguientes: a) documento de la política de la seguridad de la información (véase el numeral 5.1.1); b) asignación de responsabilidades para la seguridad de la información (véase el numeral 6.1.3); c) educación, formación y concienciación sobre la seguridad de la información (véase el numeral 8.2.2); d) procesamiento correcto en las aplicaciones (véase el numeral 12.2); e) gestión de la vulnerabilidad técnica (véase el numeral 12.6); f) gestión de la continuidad del negocio (véase el numeral 14); g) gestión de los incidentes de la seguridad de la información y las mejoras (véase el numeral 13.2). Estos controles se aplican a la mayoría de las organizaciones y en la mayoría de los entornos. Es conveniente observar que aunque todos los controles en esta norma son importantes y se deberían tener presentes, la pertinencia de cualquier control se debería determinar a la luz de los riesgos específicos que enfrenta la organización. Por lo tanto, aunque el enfoque anterior se considera un buen punto de partida, no reemplaza la selección de controles con base en una evaluación de riesgos. 0.7 Factores críticos para el éxito La experiencia ha demostrado que los siguientes factores a menudo son críticos para la implementación exitosa de la seguridad de la información dentro una organización: a) políticas, objetivos y actividades de la seguridad de la información que reflejen los objetivos del negocio; b) un enfoque y un marco de trabajo para implementar, mantener, monitorear y mejorar la seguridad de la información, que sean consistentes con la cultura de una organización; c) soporte y compromiso visibles en todos los niveles de una organización; d) una buena comprensión de los requisitos de la seguridad de la información, una evaluación de riesgos y la gestión del riesgo; e) mercadeo eficaz de la seguridad de la información para todos los directores, empleados y otras partes para lograr la concienciación; f) distribución de guías sobre la política y las normas de la seguridad de la información a todos los directores, empleados y otras partes; g) provisión de fondos para actividades de gestión de la seguridad de la información; h) formación, educación y concienciación adecuadas; i) establecimiento de un proceso eficaz para la gestión de los incidentes de la seguridad de la información, j) implementación de un sistema de medición1) que se utilice para evaluar el desempeño en la gestión de la seguridad de la información y retroalimentar sugerencias para la mejora. (Continúa) -viii-

10 0.8 Desarrollo de directrices propias Este código de práctica se puede considerar como un punto de partida para el desarrollo de directrices específicas de una organización. No todos los controles ni directrices en este código de práctica se pueden aplicar. Además, se pueden requerir controles y directrices adicionales que no se incluyen en esta norma. Cuando se desarrollan documentos que contienen directrices o controles adicionales puede ser útil incluir referencias cruzadas a numerales de esta norma que faciliten la verificación del cumplimiento por parte de auditores y socios del negocio. 1) Observe que las mediciones de la seguridad de la información están fuera del alcance de esta norma. (Continúa) -ix-

11 Norma Técnica Ecuatoriana Voluntaria TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD - CÓDIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. NTE INEN-ISO 27002: Objeto Instituto Ecuatoriano de Normalización, INEN Casilla Baquerizo Moreno E8-29 y Almagro Quito-Ecuador Prohibida la reproducción Esta norma establece directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Los objetivos indicados en esta norma brindan una guía general sobre las metas aceptadas comúnmente para la gestión de la seguridad de la información. Los objetivos de control y los controles de esta norma están destinados a ser implementados para satisfacer los requisitos identificados por una evaluación de riesgos. Esta norma puede servir como guía práctica para el desarrollo de normas de la seguridad de una organización y para las prácticas eficaces de gestión de la seguridad, así como para crear confianza en las actividades entre las organizaciones. 2. Términos y definiciones Para los propósitos de este documento se aplican los siguientes términos y definiciones: 2.1 activo cualquier cosa que tenga valor para la organización. [ISO/IEC :2004] 2.2 control medios para gestionar el riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras una organización que pueden ser de naturaleza administrativa, técnica, de gestión o legal. NOTA Control también se usa como sinónimo de salvaguarda o contramedida. 2.3 directriz descripción que aclara lo que se debería hacer y cómo hacerlo, para alcanzar los objetivos establecidos en las políticas. [ISO/IEC :2004] 2.4 servicios de procesamiento de información cualquier servicio, infraestructura o sistema de procesamiento de información o los sitios físicos que los albergan. 2.5 seguridad de la información preservación de la confidencialidad, integridad y disponibilidad de la información, además, otras propiedades tales como autenticidad, responsabilidad, no-repudio y confiabilidad pueden estar involucradas. 2.6 evento de la seguridad de la información un evento de la seguridad de la información es la presencia identificada de un estado del sistema, del servicio o de la red que indica un posible incumplimiento de la política de la seguridad de la información, o falla de controles, o una situación previamente desconocida que puede ser importante para la seguridad. [ISO/IEC TR 18044:2000] -1- (Continúa) DESCRIPTORES: Tecnología de la información, grupos de caracteres y códigos de información, gestión de la seguridad de la información; evaluación de riesgos; sistemas de gestión

12 Documento: NTE INEN-ISO INFORMACIÓN COMPLEMENTARIA TÍTULO: TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD - CÓDIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Código: TI ORIGINAL: Fecha de iniciación del estudio: REVISIÓN: Fecha de aprobación anterior del Directorio Oficialización con el Carácter de por Resolución No. de publicado en el Registro Oficial No. de Fecha de iniciación del estudio: Fechas de consulta pública: de a Comité Interno del INEN: Fecha de iniciación: Fecha de aprobación: Integrantes del Comité Interno: NOMBRES: Dr. Ramiro Gallegos (Presidente) Ing. Fausto Lara Ing. Elizabeth Guerra Sr. Edgar Valenzuela (Secretario Técnico) INSTITUCIÓN REPRESENTADA: DIRECTOR DEL ÁREA TÉCNICA DE SERVICIOS TECNOLÓGICOS ÁREA TÉCNICA DE NORMALIZACIÓN ÁREA TÉCNICA DE CERTIFICACIÓN ÁREA DE INFORMÁTICA Otros trámites: El Directorio del INEN aprobó este proyecto de norma en sesión de Oficializada como: Voluntaria Por Resolución No de Registro Oficial No. 596 de

13 Instituto Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre Casilla Telfs: (593 2) al Fax: (593 2) Dirección General: direccion@inen.gov.ec Área Técnica de Normalización: normalizacion@inen.gov.ec Área Técnica de Certificación: certificacion@inen.gov.ec Área Técnica de Verificación: verificacion@inen.gov.ec Área Técnica de Servicios Tecnológicos: inencati@inen.gov.ec Regional Guayas: inenguayas@inen.gov.ec Regional Azuay: inencuenca@inen.gov.ec Regional Chimborazo: inenriobamba@inen.gov.ec URL: