Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27032 Tercera edición TECNOLOGÍA DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD DIRECTRICES PARA CIBERSEGURIDAD (ISO/IEC 27032:2012, IDT) INFORMATION TECHNOLOGY SECURITY TECHNIQUES GUIDELINES FORCYBERSECURITY (ISO/IEC27032:2012, IDT) Correspondencia: Esta Norma Técnica Ecuatoriana es una traducción idéntica de la norma internacional ISO 27032:2012 DESCRIPTORES:Tecnología, información, técnicas, seguridad, guías, ciberseguridad, directrices ICS:35.040 54 Páginas ISO/IEC2012 Todos los derechos reservados INEN 2014
Prólogo nacional Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27032, es una traducción idéntica de la norma nacional ISO/IEC 27032:2012 Information technology Security techniques Guidelines for cybersecurity, El Ministerio de Telecomunicaciones y sociedad de la Información MINTEL, es el responsable de la traducción de esta Norma Técnica Ecuatoriana, y de su adopción es el Comité Técnico de Normalización. Para el propósito de esta Norma Técnica Ecuatoriana se han hecho los siguientes cambios editoriales: a) Las palabras esta Norma Internacional han sido reemplazadas por esta norma nacional. Para el propósito de esta Norma Técnica Ecuatoriana se enlista el documento normativo internacional que se referencia en la Norma Internacional ISO/IEC 27032:2012 y el documento normativo nacional correspondiente: Documento Normativo Internacional ISO/IEC 27000, Information technology Security techniques Information security management systems Overview and vocabulary Documento Normativo Nacional NTE INEN-ISO/IEC 27000, Tecnología de la información Técnicas de seguridad Sistema de gestión de seguridad de la información Descripción general y vocabulario ii
Índice Página Prólogo nacional... ii Prólogo... v Introducción... vi 1. Objeto y campo de aplicación... 1 2. Aplicabilidad... 1 2.1 Audiencia... 1 2.2 Limitaciones... 1 3. Referencias Normativas... 2 4. Términos y definiciones... 2 1. Abreviaciones... 8 5. Generalidades... 9 6.1 Introducción... 9 6.2 La naturaleza del Ciberespacio... 10 6.3 La naturaleza de la Ciberseguridad... 10 6.4 Modelo general... 12 6.4.1 Introducción... 12 6.4.2 Contexto general de la seguridad... 12 6.5 Enfoque... 14 6. Partes interesadas dentro del Ciberespacio... 14 7.1 Generalidades... 14 7.2 Consumidores... 15 7.3 Proveedores... 15 7. Activos en el Ciberespacio... 15 8.1 Generalidades... 15 8.2 Activos personales... 16 8.3 Activos organizacionales... 16 8. Amenazas contra la seguridad en el Ciberespacio... 17 9.1 Amenazas... 17 9.2 Los agentes de amenazas... 18 9.3 Vulnerabilidades... 18 9.4 Mecanismos de ataque... 19 9. Roles de las partes interesadas en la Ciberseguridad... 21 10.1 Generalidades... 21 10.2 Funciones de los consumidores... 21 10.3 Funciones de los proveedores... 23 10. Directrices para las partes interesadas... 23 11.1 Generalidades... 23 11.2 Evaluación y tratamiento de riesgos... 24 11.3 Directrices para los consumidores... 25 11.4 Directrices para las organizaciones y proveedores de servicios... 26 11. Controles de Ciberseguridad... 31 12.1 Generalidades... 31 12.2 Los controles a nivel de aplicación... 31 12.3 Protección del servidor... 31 12.4 Controles del usuario final... 32 12.5 Controles contra ataques de ingeniería social... 33 12.6 Disposición de la Ciberseguridad... 36 iii
12.7 Otros controles... 36 12. Marco de intercambio y coordinación de la información... 37 13.1 Generalidades... 37 13.2 Políticas... 37 13.3 Métodos y procesos... 38 13.4 Personas y organizaciones... 40 13.5 Técnica... 41 13.6 Guía para la implementación... 42 Anexo A (informativa) Disponibilidad de la Ciberseguridad. 50 Anexo B (informativa) Recursos Adicionales 55 Anexo C (informativa) Ejemplos de documentos relacionados 58 Bibliografia..62 iv
Prólogo ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema especializado para la normalización mundial. Los organismos nacionales miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a través de comités técnicos establecidos por la organización respectiva, para tratar los campos particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en coordinación con ISO e IEC, también participan en el trabajo. En el campo de la tecnología de la información, la ISO y la IEC han establecido un comité técnico conjunto ISO/IEC JTC 1. Las Normas Internacionales son redactadas de conformidad con las reglas establecidas en las Directivas ISO/IEC, Parte 2. La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los proyectos de Normas Internacionales adoptados por el Comité Técnico Conjunto se presentan a los organismos nacionales para votación. La publicación como una norma nacional requiere la aprobación de al menos el 75% de los organismos nacionales con derecho a voto. Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de derechos de patente. ISO e IEC no deben ser responsables de la identificación de cualquiera o todos los derechos de patentes. ISO/IEC 27032 fue preparada por el Comité Técnico ISO/IEC JTC 1, Tecnología de la Información, Subcomité SC 27, Técnicas de Seguridad Informática. v
Introducción El Ciberespacio es un ambiente complejo resultante de la interacción de la gente, el software y los servicios en el Internet que se sustentan en los aparatos físicos y las redes interconectadas de tecnología de la información y de comunicaciones (TIC) en todo el mundo. Sin embargo, hay cuestiones con respecto a la seguridad que no se encuentran cubiertas por las mejores prácticas actuales sobre la seguridad de la información, seguridad del internet, seguridad de redes y seguridad de la tecnología de la información de las comunicaciones (TIC), así como hay vacíos entre estos aspectos, como también una falta de comunicación entre las organizaciones y proveedores en el Ciberespacio. Esto se debe a que los aparatos y redes interconectadas que se sustentan en el Ciberespacio tienen propietarios múltiples, cada uno con su negocio propio y preocupaciones propias tanto operativas como reguladoras. El diferente enfoque dado por cada organización y proveedor en el Ciberespacio en relación a los aspectos de seguridad donde hay poca o ninguna entrada proveniente de otra organización o proveedor ha ocasionado un estado fragmentado de seguridad en el Ciberespacio. Como tal, la primera área de enfoque de esta norma nacional es abordar la seguridad del Ciberespacio o cuestiones de Ciberseguridad que se concentran en tender puentes entre los diferentes vacíos del Ciberespacio. En particular, esta norma nacional proporciona una guía técnica para abordar riesgos de Ciberseguridad comunes, tales como: los ataques de ingeniería social; el acceso secreto y no autorizado a sistemas informáticos (hacking); la proliferación de software malicioso ( malware ); el software espía (spyware), y otros tipos de software potencialmente no deseables. La guía técnica proporciona controles para abordar estos riesgos, incluyendo controles para: prepararse para ataques de, por ejemplo, software malicioso, delincuentes aislados u organizaciones criminales del Internet; detectar y monitorear ataques; y responder a los ataques. La segunda área que se aborda en esta norma nacional es la colaboración, puesto que existe una necesidad de compartir la información de manera eficiente y efectiva, y de coordinación y manejo de incidentes entre las partes interesadas en el Ciberespacio. Esta colaboración debe hacerse de manera segura y confiable y que también proteja la privacidad de los individuos involucrados. Algunas de estas partes interesadas pueden residir en diferentes ubicaciones geográficas y husos horarios, y probablemente estarán sujetas a diferentes requisitos reglamentarios. Las partes interesadas consisten de: consumidores, que pueden corresponder a varios tipos de organizaciones o individuos; y proveedores, que incluye a los proveedores de servicios. De esta manera, esta norma nacional proporciona un marco para el compartir información, la coordinación, y el manejo de incidentes. El marco de referencia incluye - elementos clave sobre consideraciones para establecer confianza, - procesos necesarios para la colaboración e intercambio de información y compartirla, así como - requisitos técnicos para la integración de los sistemas e interoperabilidad entre las diferentes partes interesadas. vi
Dado el campo de aplicación de esta norma nacional, los controles provistos son necesariamente de alto nivel. Para mayor orientación, se hacen referencia a las normas de especificaciones técnicas detalladas y directrices aplicables a cada área dentro de esta norma nacional. vii
Tecnología de la información Técnicas de seguridad Directrices para ciberseguridad 1. Objeto y campo de aplicación Esta norma nacional proporciona directrices para mejorar el estado de la Ciberseguridad, destacando aspectos únicos de dicha actividad y su dependencia de otros ámbitos de seguridad, en particular: - la seguridad de la información, - la seguridad de las redes, - la seguridad del Internet, y - la protección de la infraestructura crítica de información (PICI). Se cubre el punto de partida en prácticas de seguridad para las partes interesadas del Ciberespacio. Esta norma nacional proporciona: - las generalidades de la Ciberseguridad, - una explicación de la relación entre Ciberseguridad y otros tipos de seguridad, - una definición de las partes interesadas y una descripción de sus roles en la Ciberseguridad, - una guía para abordar problemas comunes de la Ciberseguridad, y - un marco de referencia que permite a las partes interesadas colaborar en la resolución de problemas de Ciberseguridad. 2. Aplicabilidad 2.1 Audiencia Esta norma nacional se aplica a proveedores de servicios en el Ciberespacio. La audiencia, sin embargo, incluye a los consumidores que utilizan estos servicios. Si hay organizaciones que proporcionan servicios en el Ciberespacio para que la gente los utilice desde sus hogares o en otras organizaciones, entonces pudieran necesitar preparar una guía en base a esta norma nacional que contenga explicaciones adicionales o ejemplos suficientes que permitan al lector comprender y actuar en base a ello. 2.2 Limitaciones En esta norma nacional no se incluye: - La Ciberseguridad, - El delito informático (cibercrimen), - La protección de la infraestructura crítica de información (PICI), - La seguridad en internet, y - Los delitos relacionados con el internet. Es reconocido que existen relaciones entre las áreas mencionadas y la Ciberseguridad. Sin embargo, está más allá del alcance de esta norma nacional abordar estas relaciones y el compartir los controles entre estos ámbitos. Cabe recalcar que el concepto de delito informático, aunque mencionado, no es tratado. Esta norma nacional no es una guía sobre la legislación relacionada a los aspectos del Ciberespacio, o la reglamentación de la Ciberseguridad. Las directrices de esta norma nacional se limitan a la comprensión de lo que constituye el Ciberespacio en el Internet, incluyendo sus extremos. Sin embargo, la extensión del Ciberespacio a otras representaciones espaciales a través de medios y plataformas de comunicación no se abordan, tampoco los aspectos de seguridad física relacionados con ellos. ISO/IEC2003 Todos los derechos reservados 1 de 54
INFORMACIÓN COMPLEMENTARIA Documento: NTE INEN- ISO/IEC 27032 TÍTULO: TECNOLOGÍA DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD DIRECTRICES PARA CIBERSEGURIDAD (ISO/IEC 27032:2012, IDT) Código: ICS 35.040 ORIGINAL: Fecha de iniciación del estudio: REVISIÓN: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficialización con el Carácter de Obligatorio por Resolución No. publicado en el Registro Oficial No. Fecha de iniciación del estudio: Fechas de consulta pública: Comité Técnico de Normalización: Fecha de iniciación: Integrantes del comité: NOMBRES: Ing. Ing. Ing. Ing. Ing. Fecha de aprobación: INSTITUCIÓN REPRESENTADA: Dirección Ejecutiva Dirección de Metrología Dirección de Normalización Dirección de Reglamentación Dirección de Certificación y Validación Otros trámites: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficializada como: Por Resolución No. Registro Oficial No.
Instituto Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre Casilla 17-01-3999 - Telfs: (593 2)2 501885 al 2 501891 - Fax: (593 2) 2 567815 Dirección General: E-Mail:direccion@inen.gob.ec Área Técnica de Normalización: E-Mail:normalizacion@normalizacion.gob.ec Área Técnica de Certificación: E-Mail:certificacion@normalizacion.gob.ec Área Técnica de Verificación: E-Mail:verificacion@normalizacion.gob.ec Área Técnica de Servicios Tecnológicos: E-Mail:inenlaboratorios@normalizacion.gob.ec Regional Guayas: E-Mail:inenguayas@normalizacion.gob.ec Regional Azuay: E-Mail:inencuenca@normalizacion.gob.ec Regional Chimborazo: E-Mail:inenriobamba@normalizacion.gob.ec URL: www.normalizacion.gob.ec