NORMAS DE SEGURIDAD INFORMATICAS

Transcripción

1 Documento de NORMAS DE SEGURIDAD INFORMATICAS Aprobadas por Resolución de Gerencia General N 313/97 del 30/06/97 ARCHIVO:ANEXO9_RAUD-DO _Normas_de_Seguridad_Informática Nº. PÁG: 1 / 8

2 Tabla de contenido 1. NOMENCLATURA UTILIZADA CLASIFICACIÓN DE RIESGO CLASIFICACIÓN DE ÁREAS CLASIFICACIÓN DE DISPONIBILIDAD DE EQUIPAMIENTO NORMAS QUE DEFINEN LOS ESTÁNDARES DE AUDITORÍA PARA EL DESARROLLO DE PROYECTOS INFORMÁTICOS NORMAS DE AUDITORÍA PARA EL DISEÑO DE APLICACIONES NORMAS QUE DEFINEN LOS ESTÁNDARES DE AUDITORÍA PARA QUE UN PROYECTO INFORMÁTICO ENTRE EN PRODUCCIÓN NORMAS DE SEGURIDAD DE APLICACIONES INFORMÁTICAS EN PRODUCCIÓN NORMAS DE SEGURIDAD FÍSICA COMPONENTES Y NIVEL DE AUDITORÍA PARA LOS SISTEMAS NIVELES DE CONTROL DE ACCESO NIVELES DE RECUPERACION NIVELES DE RESPALDO NIVELES DE PISTAS DE AUDITORIA... 8 ARCHIVO: ANEXO9_RAUD-DO _Normas_de_Seguridad_Informática Nº. PÁG: 2 / 8

3 1. NOMENCLATURA UTILIZADA 1.1. CLASIFICACIÓN DE RIESGO Nivel de Riesgo riesgo bajo riesgo medio riesgo alto Definición El perjuicio que pudiera causar no contar con la información que el equipo procesa, o almacena, o transfiere, se limita a problemas operativos internos al Banco, que pueden ser solucionados con personal disponible del sector, y no resienten la atención al público, ni afectan activos del Banco. No contar con el servicio informático, supone una molestia para un conjunto limitado de usuarios, o el perjuicio económico es limitado y controlable. No contar con la información correcta o el servicio informático resiente la atención a usuarios o afecta la normal prestación de servicios, o afecta directa o indirectamente a los activos o flujos financieros del Banco, o afecta la imagen institucional del Banco frente a la opinión pública CLASIFICACIÓN DE ÁREAS Nivel de acceso área de acceso público área de acceso privado área de acceso restringido Definición Lugar sin restricciones de acceso. Lugar donde el acceso es permitido a funcionarios del BPS o personas que por su función sean autorizadas. Lugar donde el acceso es permitido a un grupo reducido de personas especialmente autorizadas por los responsables, y cuyos datos personales figuren en una lista CLASIFICACIÓN DE DISPONIBILIDAD DE EQUIPAMIENTO Nivel de disponibilidad Disponibilidad estándar alta disponibilidad disponibilidad crítica Definición Disponer de la información en el momento en que se la necesita para el normal funcionamiento del sector, más del 70% de las veces que es requerida. Disponer de la información en el momento que se la necesita más de un 85% de las veces que es requerida. Disponer de la información en el momento que se la necesita más del 99% de las veces que se la requiere. ARCHIVO: ANEXO9_RAUD-DO _Normas_de_Seguridad_Informática Nº. PÁG: 3 / 8

4 2. NORMAS QUE DEFINEN LOS ESTÁNDARES DE AUDITORÍA PARA EL DESARROLLO DE PROYECTOS INFORMÁTICOS 1. Todo proyecto deberá contar con un acuerdo operativo entre las áreas involucradas (usuarios y especialistas). 2. Todo proyecto deberá tener asignado un nivel de requerimientos de auditoría. 3. Todo proyecto deberá cumplir con los estándares de auditoría establecidos para el nivel al que pertenece. 3. NORMAS DE AUDITORÍA PARA EL DISEÑO DE APLICACIONES 1. Cada modelo conceptual de sistema deberá cumplir con las normas de auditoría para el nivel al que pertenece. 2. Cada modelo físico de sistema deberá cumplir con las normas de auditoría para el nivel al que pertenece. 3. Se definen 4 componentes integrantes del perfil de auditoría de una aplicación (ACCESO, RECUPERACIÓN, RESPALDO Y PISTAS DE AUDITORÍA) 4. Se definirán hasta cinco niveles principales de auditoría para cada componente con niveles de exigencias crecientes. 4. NORMAS QUE DEFINEN LOS ESTÁNDARES DE AUDITORÍA PARA QUE UN PROYECTO INFORMÁTICO ENTRE EN PRODUCCIÓN 1. El proyecto deberá contar con una carta de aceptación de las áreas involucradas (usuarios y especialistas) 2. Se deberá informar oportunamente a todos los involucrados y a la repartición de Auditoría Interna la fecha de puesta en producción. 3. El proyecto deberá contar con una carta de aceptación de auditoría interna cuando su nivel de requerimiento lo exija. 5. NORMAS DE SEGURIDAD DE APLICACIONES INFORMÁTICAS EN PRODUCCIÓN 1. Todo sistema de información deberá ser evaluado para determinar el grado de riesgo que implica para el BPS la no disponibilidad y/o el proceso o suministro de datos inexactos. 2. Todo sistema de información deberá cumplir con las normas de auditoría para el nivel al que pertenece. 3. Todo sistema de información deberá tener asignado un responsable administrador de la seguridad de usuarios. ARCHIVO: ANEXO9_RAUD-DO _Normas_de_Seguridad_Informática Nº. PÁG: 4 / 8

5 6. NORMAS DE SEGURIDAD FÍSICA 1. Todo servidor de información deberá estar en un área de acceso privado o restringido según el nivel de riesgo de la información que procesen. 2. El local donde se ubique equipamiento informático deberá disponer de dispositivos de control ambiental y de seguridad física adecuados según los niveles de disponibilidad requeridos. 3. Todo puesto de trabajo deberá contar como mínimo con instalación eléctrica con tierra. LOCAL CON: ESTÁNDAR DISPONIBILIDAD ALTA CRÍTICA Instalaciones eléctricas con tierra. SI SI SI Instalación eléctrica con entrada - SI SI independiente para el local. Alimentación de energía eléctrica sin - - SI interrupciones (UPS). Protección contra descargas al SI SI SI personal y al equipamiento. Instalaciones de control de ambiente - SI SI (temperatura y humedad). Detección de incendios - SI SI Extinción manual de incendios. SI SI SI Extinción automática de incendios. - - SI Dispositivos de control de acceso Privado Restringido Restringido 7. COMPONENTES Y NIVEL DE AUDITORÍA PARA LOS SISTEMAS Se definen cuatro COMPONENTES: COMPONENTES DEFINICION 1. ACCESO Controles de acceso de usuarios a los sistemas de información 2. RECUPERACIÓN Soporte de recuperación ante incidentes 3. RESPALDO Procedimientos de respaldo de datos y programas. 4. PISTAS DE AUDITORÍA Diarios de operaciones sobre los recursos. ARCHIVO: ANEXO9_RAUD-DO _Normas_de_Seguridad_Informática Nº. PÁG: 5 / 8

6 Se identifican hasta 5 niveles por componente: NIVEL NIVEL 0 NIVEL 1 NIVEL 2 NIVEL 3 NIVEL 4 IDENTIFICACION SIN REQUERIMIENTOS REQUERIMIENTOS BÁSICOS REQUERIMIENTOS INTERMEDIOS REQUERIMIENTOS SUPERIORES REQUERIMIENTOS EXCEPCIONALES 8. NIVELES DE CONTROL DE ACCESO CONTROL DE ACCESO NIVEL 0 SIN REQUERIMIENTOS Sin control. CONTROL DE ACCESO NIVEL 1 REQUERIMIENTOS BASICOS 1. El sistema deberá contar con un módulo de control de acceso a los recursos que sólo deje utilizar las transacciones al personal debidamente autorizado mediante una contraseña. CONTROL DE ACCESO NIVEL 2 REQUERIMIENTOS INTERMEDIOS 1. El sistema deberá contar con un módulo de control de acceso a los recursos que sólo deje utilizar las transacciones al personal debidamente autorizado mediante una contraseña. 2. El usuario que acceda al sistema deberá estar debidamente autorizado mediante un sistema de registro de acceso que incluya su perfil de operaciones. CONTROL DE ACCESO NIVEL 3 REQUERIMIENTOS SUPERIORES 1. El sistema deberá contar con un módulo de control de acceso a los recursos que sólo deje utilizar las transacciones al personal debidamente autorizado mediante una contraseña. 2. El usuario que acceda al sistema deberá estar debidamente autorizado mediante un sistema de registro de acceso que incluya su perfil de operaciones. 3. El sistema deberá registrar información de los accesos de manera que si se desea, se puedan llevar estadísticas de uso de las transacciones por parte de cada usuario que lo utilice. CONTROL DE ACCESO NIVEL 4 REQUERIMIENTOS EXCEPCIONALES 1) El sistema deberá contar con un módulo de control de acceso a los recursos que sólo deje utilizar las transacciones al personal debidamente autorizado mediante una contraseña. 2) El usuario que acceda al sistema deberá estar debidamente autorizado mediante un sistema de registro de acceso que incluya su perfil de operaciones. 3) El sistema deberá registrar información de los accesos de manera que si se desea, se puedan llevar estadísticas de uso de las transacciones por parte de cada usuario que lo utilice. 4) El usuario que acceda al sistema deberá estar debidamente autorizado mediante un sistema de registro, que incluya su perfil de limitaciones de acceso por tipo de dato. ARCHIVO: ANEXO9_RAUD-DO _Normas_de_Seguridad_Informática Nº. PÁG: 6 / 8

7 9. NIVELES DE RECUPERACION RECUPERACION NIVEL 0 SIN REQUERIMIENTOS Sin recuperación. RECUPERACION NIVEL 1 REQUERIMIENTOS BASICOS 1) Las aplicaciones deberán contar con un sistema de recuperación manual que garantice la recuperación excluyendo las operaciones en proceso. RECUPERACION NIVEL 2 REQUERIMIENTOS INTERMEDIOS 1) Las aplicaciones deberán contar con un sistema de recuperación automático que garantice la recuperación excluyendo las operaciones en proceso. RECUPERACION NIVEL 3 REQUERIMIENTOS SUPERIORES 1) Las aplicaciones deberán contar con un sistema de recuperación que permita recomponer dinámicamente la base de datos manteniendo la consistencia hasta la última operación completamente realizada. RECUPERACION NIVEL 4 REQUERIMIENTOS EXCEPCIONALES 1) Las aplicaciones deberán contar con un sistema de recuperación que permita recomponer dinámicamente todo el estado del sistema hasta el instante en que se produjo la interrupción. 2) La recuperación dinámica debe abarcar íntegramente la recuperación del modelo de datos y posicionar los programas donde estaban ejecutando cuando se produjo la interrupción. 10. NIVELES DE RESPALDO RESPALDOS NIVEL 0 REQUERIMIENTOS MINIMOS manualmente toda la operativa ante interrupciones de cualquier tipo. RESPALDOS NIVEL 1 REQUERIMIENTOS BASICOS automáticamente toda la operativa ante interrupciones de cualquier tipo. RESPALDOS NIVEL 2 REQUERIMIENTOS INTERMEDIOS automáticamente toda la operativa ante interrupciones de cualquier tipo. 2) RESPALDO HISTORICO ESTANDAR manteniendo archivos históricos congelados mensuales con período de retención de un año. RESPALDOS NIVEL 3 REQUERIMIENTOS SUPERIORES automáticamente toda la operativa ante interrupciones de cualquier tipo con copia de seguridad a pedido. 2) RESPALDO OPERATIVO ADICIONAL DE LOS PROGRAMAS Y LOS BANCOS DE DATOS manteniendo un mínimo de tres generaciones de archivos de respaldo en cada ciclo productivo y un congelado mensual de todo el sistema. 3) RESPALDO HISTORICO ESPECIAL manteniendo archivos históricos congelados mensuales con período de retención a determinar con copia de seguridad a pedido. ARCHIVO: ANEXO9_RAUD-DO _Normas_de_Seguridad_Informática Nº. PÁG: 7 / 8

8 RESPALDOS NIVEL 4 REQUERIMIENTOS EXCEPCIONALES automáticamente toda la operativa ante interrupciones de cualquier tipo con copia de seguridad. 2) RESPALDO OPERATIVO ESPECIAL DE LOS PROGRAMAS Y LOS BANCOS DE DATOS manteniendo un mínimo de tres generaciones de archivos de respaldo en cada ciclo productivo y un congelado mensual y anual de todo el sistema. 3) RESPALDO HISTORICO ESPECIAL manteniendo archivos históricos congelados mensuales y anuales con período de retención a determinar con copia de seguridad. 11. NIVELES DE PISTAS DE AUDITORIA PISTAS DE AUDITORIA NIVEL 0 SIN REQUERIMIENTOS Sin pistas. PISTAS DE AUDITORIA NIVEL 1 REQUERIMIENTOS BASICOS 1) El sistema deberá incluir en el modelo un diario mínimo de movimientos en los archivos principales de la aplicación con la información de las operaciones realizadas. (cómo y qué). PISTAS DE AUDITORIA NIVEL 2 REQUERIMIENTOS INTERMEDIOS 1) El sistema deberá incluir en el modelo un diario estándar de auditoría con la información básica de operaciones. (quién, cuando, dónde, cómo y qué). PISTAS DE AUDITORIA NIVEL 3 REQUERIMIENTOS SUPERIORES 1) El sistema deberá incluir en el modelo un diario estándar de auditoría con la información básica de operaciones. (quién, cuando, dónde, cómo y qué). 2) Opcionalmente se podrá solicitar la habilitación de un diario especial de auditoría para registrar información de los cambios producidos en los archivos principales del sistema. PISTAS DE AUDITORIA NIVEL 4 REQUERIMIENTOS EXCEPCIONALES 1) El sistema deberá incluir en el modelo un diario estándar de auditoría con la información básica de operaciones. (quién, cuando, dónde, cómo y qué). 2) Opcionalmente se podrá solicitar la habilitación de un diario especial de auditoría para registrar información de todos los cambios producidos en los bancos de datos del sistema. 3) Sistema debe incluir facilidades integradas de auditoría para realizar controles en el ambiente de producción. (Facilidades del tipo ITF - Integrated Test Facility). Nota : Fuente de Información desde el puntos 2 al 11, Estándares de Seguridad de Soluciones CAP S.R.L. ARCHIVO: ANEXO9_RAUD-DO _Normas_de_Seguridad_Informática Nº. PÁG: 8 / 8