NTP - ISO/IEC 27001:2008

Transcripción

1 NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014

2 Información Agenda? La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. La información puede estar: Impresa o escrita en papel. Almacenada electrónicamente. Trasmitida por correo o medios electrónicos Mostrada en filmes. Hablada en conversación. Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.

3 3. NTP-ISO/IEC 27001:2008 ACTIVOS DE INFORMACIÓN Software Hardware Equipos Auxiliares INFORMACION Instalaciones Servicios Personas Soportes de Información Datos e Información

4 La La seguridad seguridad de de la la información información no no es es un un proceso proceso tecnológico, tecnológico, es es un un PROCESO PROCESO DE DE GESTION GESTION Objetivo Agenda de la Seguridad de Información Asegurar la continuidad de las operaciones de la Institución. Minimizar los daños a la organización en caso de pérdida o revelación no autorizada de información. La seguridad de la información se caracteriza aquí como la preservación de: su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información; su integridad, asegurando que la información y sus métodos de proceso son exactos y completos. su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.

5 La RM N Agenda PCM La R.M. N PCM de fecha 23 de Mayo de 2012 resuelve lo siguiente: Apruébese el uso obligatorio de la Norma Técnica Peruana «NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos» en todas las entidades integrantes del Sistema Nacional de Informática, que como anexo forma parte integrante de la presente resolución.

6 Normas ISO de Gestión de Seguridad de la Información ISO/IEC es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada. ISO (antes 17799) ISO ISO ISO 27005

7 CENTRO DE COMPUTO DGTIC - MININTER Implementación Introducción de la NTP y Alcance

8 NTP-ISO/IEC Gestión 27001:2008 de Riesgos ANALISIS DE RIESGOS Amenazas Explotan Vulnerabilidades Afectan a Controles * reducen Riesgo Activo de información Requisitos de seguridad Valor del activo

9 Directivas, Agenda Controles y Políticas Herramientas de gestión del riesgo, incluyendo políticas, pautas, estructuras organizacionales, que pueden ser de naturaleza administrativa, técnica, gerencial o legal. NOTA: Control es también usado como sinónimo de salvaguardia o contramedida

10 DIRECTIVAS Agenda MININTER Nombre Política De Seguridad de la Información Normas para el acceso y uso del Servicio de Correo Electrónico Institucional en el Ministerio del Interior Normas para el acceso y uso de los Servicios de Red e Internet en el Ministerio del Interior Norma para Copias de Respaldo y Resguardo de la Información procesada en el Ministerio del Interior Plan de Contingencia en Tecnología de la Información del Ministerio del Interior Procedimiento de Respaldo y Restauración de Información almacenada en el Centro de Datos Estandarización de la Telefonía IP y Cableado Estructurado en el Ministerio del Interior Alcance SGSI MININTER RM Nº IN/DGTIC 27MAY13 RM Nº IN/DGTIC 19AGO13 RM Nº IN/DGTIC 09MAR13 RD Nº IN ENE10 RD Nº DGTIC 04ENE13 RD Nº IN-DGTIC 26AGO13 RM Nº IN 19ABR12 RD Nº IN-DGTIC 06NOV12

11 PROCEDIMIENTOS Agenda Procedimiento de Control de la Política de Seguridad Procedimiento de Control de la Seguridad Organizacional Procedimiento de Control de la Gestión de Activos Procedimiento de Control de la Seguridad en Recursos Humanos Procedimiento de Control de la Seguridad Fisica y del entorno Procedimiento de Control del Cumplimiento Procedimiento de Control de la Gestión de Comunicaciones y Operaciones Procedimiento del Control de Accesos Procedimiento de Control de la Adquisición, Desarrollo y Mantenimiento de Sistemas de Información Procedimiento de Control de la Gestión de Incidentes de Seguridad de la Información Procedimiento de Control de la Gestión de la Continuidad del Negocio

12 CONTROLES Agenda Y POLITICAS Registro de Personas Autorizadas Contactos Control de Ingreso Control de Seguridad de Partes Externas Competencia Sensibilización y Capacitación en SI Control de Ingreso al Centro de Computo Resumen sobre los Requisitos de Seguridad del Area Limpieza en el Centro de Computo Inventario de Activos Compromiso de Confidencialidad y Cumplimiento con el SGSI Checklist de Operación Control de Cambios Plan de Trabajo Diagrama de Red Control de Contraseñas Backup de LOGs del Sistema Atención de Incidentes Elaboración de Planes de Continuidad (contingencia) Instalación y Mantenimiento de Aplicaciones Bloqueo de Pantallas o Consolas Política de Escritorio y Pantalla limpios Política de Intercambio de Información Política para el Uso de Controles Criptográficos

13 Política Agenda de Pantalla y Escritorio Limpio La Política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información, es la mejor manera de velar por nuestra seguridad.

14 Directiva Agenda de Backup Se deben hacer regularmente copias de seguridad de toda la información esencial del MININTER y de los softwares, en concordancia con la Directiva del MIINTER Los sistemas de información permiten distribuir rápidamente y compartir información del MININTER Controles de acceso Clasificación de información Identificación de usuarios Backup Contingencias

15 Política para Agenda el intercambio de información Procedimientos y controles formales de intercambio con el fin de proteger la información a través de todos los tipos de instalaciones de comunicación. Información Correo electrónico Voz Fax Video Software Descarga de Internet Proveedores

16 Política Agenda de Control de Accesos El control de acceso debe ser establecida, documentada y revisada y debe estar basada en lo dispuesto por el MININTER. Considerar acceso físico y lógico. Todo lo que no está explícitamente permitido debe estar prohibido

17 Directiva de uso de los servicios Agenda de la red e Internet Los usuarios sólo deben tener acceso directo a los servicios para los que estén autorizados de una forma específica. Redes y servicios de red permitidos Web Correo electrónico Mensajería instantánea VPN / Acceso remoto, etc

18 Consientización Agenda en seguridad Terminar de manera progresiva, con el desconocimiento de la Seguridad de la Información en todo el MININTER Crear una cultura real de Seguridad de la información dentro de nuestra organización

19 Plan Cumplir de Tratamiento con la NTP-ISO/IEC de Riesgos 27001:2008 MININTER

20 Plan NO cumplir de Tratamiento con la NTP-ISO/IEC de Riesgos 27001:2008 MININTER

21 Plan Conclusiones de Tratamiento de Riesgos Cambio Cultural Reactivo Detección y Corrección Control de la Calidad Controlado por los más Competentes El Control efectuado aporta las Soluciones Proactivo Prevención Construir la Calidad Todos pueden aportar Todos generan Soluciones

22 Comencemos el proceso Reporte cualquier Incidente, evento, debilidad, etc. que a su entender afecte a la seguridad (disponibilidad, integridad, confidencialidad) No divulgue información sensible. Destruya adecuadamente la información sensible que ya no va a utilizar. Siga los lineamientos, políticas y procedimientos que cuenta el MININTER.

23 Comencemos el camino Mantenga su contraseña confidencial. Sea conciente de los riesgos que están asociados a una acción o recurso. Las medidas implementadas tienen un motivo. Lo no prohibido NO esta expresamente permitido. Nuestra seguridad depende de usted. La obtención de la certificación también.

24

25 GRACIAS!!! EVA L. CALDERON AGUIRRE MININTER - DGTIC