Anexo G Declaración de aplicabilidad.

Transcripción

1 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad Anexo G Declaración aplicabilidad. En la siguiente tabla se recoge la relación controles la ISO/IEC y se especifica si es aplicabilidad para Ícaro S.A. Amás, se talla la exclusión l control en caso no aplicarse o la scripción cómo se implementa en caso que se vaya a aplicar. 5. Políticas seguridad la 5.1. Directrices gestión la seguridad la Políticas para la seguridad la Revisión las políticas para la seguridad la 6. Organización la seguridad la 6.1. Organización interna Roles y responsabilidas en seguridad la Segregación tareas Contacto con las autoridas Contacto con grupos interés especial Seguridad la en la gestión proyectos. Se tienen que finir las políticas seguridad la que sean aprobadas por la dirección y comunicadas a todos los trabajadores. Las políticas seguridad ben ser revisadas con cierta frecuencia o cuando ocurran cambios significativos. Deben finirse y asignarse todas las responsabilidas relativas a la seguridad la. Las funciones y tareas se ben segregar para reducir las modificaciones no autorizadas, no intencionadas o usos inbidos Se ben mantener los contactos apropiados con las autoridas pertinentes en los casos necesarios. Se ben mantener contactos con grupos interés especial para la mejora l conocimiento. Se tiene que integrar para intificar los riesgos en el marco cada proyecto. Luis Rodríguez Con Página 1

2 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad Los dispositivos móviles y el teletrabajo Política dispositivos móviles Teletrabajo Seguridad relativa a los RRHH 7.1. Antes l empleo Investigación antecentes Términos condiciones empleo y l 7.2. Durante el empleo Responsabilidad gestión Concienciación, educación y capacitación en seguridad la Por disciplinario Adoptar política seguridad dispositivos móviles para asegurar que no comprometen la seguridad la la empresa. Se ben implementar política y medios técnicos para proteger la accedida s fuera l centro trabajo. Se ben comprar los antecentes las nuevas incorporaciones acuerdo a la ley Se ben establecer los términos y condiciones l contrato en lo que respecta a seguridad la para protegerla. La dirección be exigir cumplir las normas seguridad a contratistas y empleados. Los empleados y contratistas ben recibir la formación acuada. Debe existir un proceso disciplinario formal que recoja las acciones a tomar en caso que se haya provocado una brecha seguridad que sirva formula preventiva Finalización l empleo o cambio puesto trabajo Responsabilidas ante la finalización o cambio Se ben finir, comunicar y cumplir las responsabilidas una vez finalizado el contrato o el cambio para proteger los intereses la empresa. Luis Rodríguez Con Página 2

3 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad 8. Gestión activos 8.1. Responsabilidad sobre los activos Inversión sobre los activos Propiedad los activos Uso aceptable los activos Devolución activos 8.2. Clasificación la Clasificación la Etiquetado la Manipulado la 8.3. Manipulación los soportes Gestión los soportes extraíbles Eliminación soportes Soportes físicos en tránsito Los activos ben estar claramente intificados y bería crearse y mantenerse un inventario los mismos para intificar las medidas protección acuadas y su responsabilidad, Todos los activos l inventario berían tener un propietario. Se ben intificar, documentar e implementar las reglas uso aceptable los activos. Todos los empleados y terceros ben entregar todos los activos. La be ser clasificada según la importancia con objeto que reciba un acuado nivel protección. Se be sarrollar e implantar un método etiquetado la. Se be sarrollar e implantar un conjunto acuado procedimientos para la manipulación la. Se ben implantar los procedimientos para la gestión soportes extraíbles según el esquema clasificación adoptado. Los soportes ben eliminarse forma segura para evitar fugas Los soportes en tránsito ben estar protegidos frente a accesos no autorizados. Luis Rodríguez Con Página 3

4 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad 9. Control acceso 9.1. Requisitos negocio para el control acceso Política control acceso Accesos a las res y a los 2.Gestionado servicios red 9.2. Gestión acceso usuario Registro y baja usuario Provisión acceso a usuarios Gestión privilegios acceso Gestión la secreta autenticación usuario Revisión los rechos acceso usuario Retirada o reasignación los rechos acceso 9.3. Responsabilidad l usuario Uso la secreta autenticación. Se be implementar una política control acceso para limitar el mismo a los recursos y a la Solo se be proporcionar acceso a las res y servicios a los usuarios autorizados. Se be implantar un procedimiento que haga posible la asignación rechos acceso. Se be implantar un procedimiento que haga posible la asignación rechos acceso. La asignación y el uso privilegios be estar restringida y controlada. La asignación la secreta be ser controlada a través un proceso forma gestión. Los propietarios los activos ben revisar los rechos acceso los usuarios a intervalos regulares Los rechos acceso a la y a sus recursos ben ser retirados al finalizar la relación Se be requerir a los usuarios el uso la secreta autenticación para que sean responsables salvaguardar la Luis Rodríguez Con Página 4

5 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad Control acceso a sistemas y aplicaciones Restricción l acceso a la Procedimientos seguros inicio sesión Sistema gestión contraseñas Uso utilidas con privilegios l sistema Control acceso al código fuente los programas 10. Criptografía Controles criptográficos Política uso los controles criptográficos Gestión claves Seguridad física y l entorno Áreas seguras Perímetro seguridad física Controles entrada Seguridad oficinas, spachos recursos. físicos y Se be restringir el acceso a la y a las funciones las aplicaciones para prevenir el acceso no autorizado. Se be controlar el acceso a los sistemas forma controlada mediante inicio sesión. Los procesos gestión contraseñas ben ser interactivos y establecer contraseñas seguras y robustas. Se be controlar el uso utilidas que puen ser capaces invalidar los sistemas con accesos privilegiados. Se be restringir el código acceso a los programas para evitar su manipulación y filtración. Se be sarrollar e implementar una política sobre el uso controles criptográficos para proteger la. Se be sarrollar e implantar una política sobre el ciclo vida claves Se ben utilizar sistemas para proteger el perímetro seguridad para proteger áreas que contienen sensible. Las áreas seguras ben estar protegidas mediante controles entrada acuados. Se be aplicar métodos seguridad física para estos entornos. Luis Rodríguez Con Página 5

6 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad Protección contra las amenazas externas ambientales El trabajo en áreas seguras Áreas carga y scarga Seguridad los equipos Emplazamiento protección equipos Instalación suministros Seguridad cableado y l Mantenimiento los equipos Retiradas materiales propiedad la empresa Seguridad los equipos fuera las instalaciones Reutilización o eliminación segura equipos Equipo usuario satendido Política puesto trabajo spejado y pantalla limpia 3.Establecido 2.Gestionado Se be implementar protección física contra sastres naturales, ataques provocados por el hombre o accintes. Se be implementar procedimientos trabajos en áreas seguras como el centro datos. Se ben controlar las áreas carga y scarga para prevenir accesos no autorizados. Los equipos se ben proteger forma que se reduzcan los riesgos pérdida, daño o robo. Los equipos berán estar protegidos contra fallos alimentación El cableado eléctrico y telecomunicaciones berá estar protegido frente intercepciones, interferencias o daños. Se be implantar un correcto mantenimiento sobre los equipos y sistemas. Sin autorización no se ben sacar los equipos y sistemas las instalaciones la empresa. Se be aplicar medidas seguridad para los equipos situados fuera las instalaciones. Se be comprobar que todos los soportes con sensible elimine manera segura. Los usuarios ben asegurarse que el equipo queda bloqueado cuando esté satendido. Se be mantener el puesto trabajo libre confincial, así como soportes almacenamiento. Luis Rodríguez Con Página 6

7 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad 12. Seguridad las operaciones Procedimientos y responsabilidas operacionales Documentación procedimientos las operaciones Gestión cambios Gestión capacidas Separación los recursos sarrollo, prueba y producción Protección contra software malicioso Controles contra código malicioso Copias seguridad Copias seguridad la Registros y supervisión Registros eventos Protección la registro Registros administración operación y Sincronización reloj 2. Gestionado 1.Establecido Se ben documentar y mantener la documentación las operaciones y ponerla a disposición los usuarios que la necesiten Los cambios que afecten a la seguridad la ben ser controlados Se be supervisar y ajustar la utilización los recursos a la manda capacidad presente y proyectos futuros. Se ben separar estos entornos para evitar riesgos acceso no autorizados o cambios. Se ben implantar sistemas control contra malware en los sistemas Se ben realizar copias seguridad la crítica con la política seguridad acordada. Se ben registras los eventos los sistemas, protegerlos y revisarlos periódicamente. Los dispositivos registro y la afín ben ser correctamente protegida. Se ben registrar, proteger y revisar los registros administración los sistemas Los relojes todos los sistemas la empresa ben estar sincronizados s una fuente única y precisa Luis Rodríguez Con Página 7

8 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad Seguridad las operaciones Instalación software explotación l en Gestión la vulnerabilidad técnica Gestión las vulnerabilidas técnicas Restricción en la instalación software Se ben implementar procedimientos para controla la instalación software en explotación Se be obtener las vulnerabilidas técnicas los sistemas, evaluarlas y adoptar medidas seguridad para mitigar el riesgo. Se ben aplicar reglas que rijan la instalación software por parte los empleados Consiraciones sobre la auditoria sistemas Controles Se berán planificar y auditorías ejecutar las auditorias sistemas pactadas en la política. seguridad 13. Seguridad las comunicaciones Gestión la seguridad res Controles red 2.Gestionado Seguridad los servicios red Segregación res 2.Gestionado Intercambio Políticas y procedimientos intercambio Acuerdos intercambio Mensajería electrónica Se ben implantar sistemas para gestionar, controlar y proteger la red la empresa. Se ben intificar los mecanismos seguridad, los niveles servicio y los requisitos gestión todos los servicios red Los grupos servicios, sistemas y usuarios ben estar segregados en res distintas Se ben implantar políticas que protejan la cuando sea trasferida Se ben establecer acuerdos para el intercambio seguro con terceros. La objeto mensajería electrónica be estar acuadamente protegida. Luis Rodríguez Con Página 8

9 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad Acuerdos confincialidad o no revelación. Se ben implementar y revisar acuerdos no revelación la con terceros.. Adquisición, sarrollo y mantenimiento los sistemas..1. Requisitos seguridad en sistemas Análisis requisitos y especificaciones seguridad la Los nuevos sistemas implementados ben cumplir los requisitos seguridad la. Asegurar los res públicas servicios aplicaciones en Protección las transacciones servicios aplicaciones.2. Seguridad en el sarrollo y en los procesos soporte Política sarrollo seguro Procedimiento control cambios en sistemas Revisión técnica las aplicaciones tras efectuar cambios en el sistema operativo Restricciones a los cambios en los paquetes software Principios ingeniería sistemas seguros Entorno sarrollo seguro Externalización l sarrollo software NO Se be proteger la que se transmite a través res públicas Se be proteger las transacciones servicios aplicaciones Se ben establecer y aplicar normas para el sarrollo seguro las aplicaciones la empresa La implantación cambios be controlarse a lo largo l ciclo vida mediante procedimientos formales. Cuando se realicen cambios en los Sistemas Operativos las aplicaciones negocio críticas ben ser revisadas y probadas. Por norma no se permiten modificaciones en los paquetes software Se berían establecer, documentar, mantener y aplicarse principios ingeniería seguros a todos los sistemas la empresa. Se ben proteger acuadamente los entornos sarrollo seguro Luis Rodríguez Con Página 9

10 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad Pruebas funcionales seguridad sistemas Pruebas aceptación sistemas.3. Datos prueba Protección los datos prueba 2.Gestionado 2.Gestionado Se ben llevar a cabo pruebas funciones durante el sarrollo aplicaciones Se ben establecer baterías pruebas aceptación y criterios relacionados para nuevos sistemas que pasen a producción Los datos prueba se ben seleccionar con cuidado Asegurar los.1.2 res públicas servicios aplicaciones en Protección las.1.3 transacciones servicios aplicaciones 15. Relación con proveedores Seguridad en las relaciones con proveedores Política seguridad la en las relaciones con los proveedores y a los activos Requisitos seguridad en contratos con terceros Cana suministro tecnología la y las comunicaciones Se be proteger la que se transmite a través res públicas Se be proteger las transacciones servicios aplicaciones, ser protegidos y controlados. Se ben acordar las políticas acceso los proveedores a los sistemas la empresa Se ben establecer y acordar con cada proveedor los requisitos relacionados con la seguridad. La cana suministros acordada con los proveedores be incluir requisitos ante los riesgos relacionados con las TIC Gestión la provisión servicios l proveedor Control y revisión la provisión servicios l proveedor Gestión cambios en la provisión l servicio l proveedor Se be controlar, revisar y auditar los servicios proveedor Se ben gestionar los cambios en la provisión l servicio proporcionado por lo profesores teniendo en cuenta la criticidad l sistema. Luis Rodríguez Con Página 10

11 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad 16. Gestión incintes seguridad la Gestión incintes seguridad la y mejoras Se ben establecer Responsabilidas y procedimientos Notificación los eventos seguridad la Notificación puntos débiles la seguridad Evaluación y cisión sobre los eventos seguridad la Respuesta a incintes seguridad la Aprendizaje los incintes seguridad la Recopilación evincias responsabilidas y procesos gestión para garantizar una respuesta rápida, efectiva y acuada a los incintes Los eventos seguridad la se berán notificar por los canales gestión acuados lo antes posible Todos los usuarios ben notificar cualquier punto que afecte a la seguridad la Los eventos seguridad la ben ser evaluados y clasificados apropiadamente. La respuesta a incintes berá ser acuerdo a procedimientos documentados. El conocimiento obtenido los incintes seguridad berá ser utilizado para reducir la probabilidad ocurrencia a futuro Se ben finir y aplicar procedimientos para la aplicación, recogida, adquisición y preservación que pueda servir evincia. Luis Rodríguez Con Página 11

12 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad 17. Aspectos seguridad la par la gestión la continuidad l negocio Planificación la continuidad la seguridad la Planificación la continuidad la seguridad la Implementar la continuidad la seguridad la Verificación, revisión y evaluación la continuidad la seguridad la Redundancias Disponibilidad los recursos tratamiento la Se be terminar las necesidas continuidad negocio para la gestión la seguridad la en situaciones adversas Se be establecer, documentar, implementar y mantener procesos, procedimientos y controles para asegurar el nivel requerido continuidad la seguridad la en situaciones adversas Se ben controlar los controles establecidos e implementados a intervalos regulares para asegurar que son válidos y eficaces Los recursos que tratan la seguridad la ben ser implementados con la redundancia suficiente para satisfacer los requisitos seguridad Luis Rodríguez Con Página 12

13 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad 18. Cumplimiento Cumplimiento los requisitos legales y contractuales Intificación la legislación aplicable y los requisitos contractuales Derechos propiedad intelectual Protección los registros la organización Protección y privacidad la carácter personal Regulación los controles criptográficos Todos los requisitos pertinentes y el enfoque la empresa para cumplirlos se ben finir forma explícita documentarse y mantenerse actualizados Se ben implementar procedimientos acuados para garantizar el cumplimiento los requisitos legales respecto a los rechos propiedad intelectual. Los registros ben estar protegidos contra la pérdida, strucción, falsificación, revelación o acceso no autorizado. Se be garantizar la protección y la privacidad los datos según la regulación vigente Se ben utilizar los controles criptográficos según las leyes y regulaciones aplicación Revisión inpendiente la seguridad la Cumplimiento las políticas y normas seguridad Comprobación l cumplimiento técnico La seguridad la la empresa be someterse a una revisión inpendiente a intervalos regulares o siempre que se realicen cambios significativos La dirección la empresa be asegurarse que todos los procedimientos relativos a la seguridad se realizan correctamente con el fin cumplir el cumplimiento legal y normativo. Se be comprobar periódicamente que los sistemas cumplen las políticas y normas seguridad la la organización. Luis Rodríguez Con Página 13

14 Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad Luis Rodríguez Con Página