NTE INEN-ISO/IEC 27033-1 Primera edición



Documentos relacionados
NTE INEN-ISO/IEC Primera edición

Quito Ecuador EXTRACTO INGENIERÍA DEL SOFTWARE. GUÍA DE APLICACIÓN DE LA ISO 9001:2000 AL SOFTWARE (ISO/IEC 90003:2004, IDT)

NTE INEN-ISO XX

NTE INEN-ISO XX

Quito Ecuador EXTRACTO INFORMÁTICA SANITARIA. ARQUITECTURA DE SERVICIOS. PARTE 3: PUNTO DE VISTA COMPUTACIONAL (ISO :2009, IDT)

Quito Ecuador EXTRACTO INFORMÁTICA SANITARIA. ARQUITECTURA DE SERVICIOS. PARTE 2: PUNTO DE VISTA DE LA INFORMACIÓN (ISO :2009, IDT)

NTE INEN-ISO/IEC Tercera edición

Quito Ecuador EXTRACTO SISTEMAS DE GESTIÓN DE LA SOSTENIBILIDAD DE EVENTOS. REQUISITOS CON RECOMENDACIONES DE USO (ISO 20121:2012, IDT)

Quito Ecuador EXTRACTO MAQUINARIA PARA MOVIMIENTO DE TIERRAS. SISTEMAS ANTIRROBO. CLASIFICACIÓN Y PRESTACIONES (ISO 22448:2010, IDT)

NTE INEN IEC Edición 1.0

NTE INEN-ISO Primera edición 2014-XX

NTE INEN-ISO Primera edición 2015-XX

NTE INEN ISO Primera edición

Quito Ecuador EXTRACTO

NTE INEN-ISO/TS Primera edición 2015-XX

NTE INEN-IEC Segunda edición 2014-XX

Quito Ecuador EXTRACTO

NTE INEN ISO Primera edición 2014-XX

Quito Ecuador EXTRACTO ODONTOLOGÍA. IMPLANTES. ENSAYO DE FATIGA DINÁMICA PARA IMPLANTES DENTALES ENDOÓSEOS (ISO 14801:2007, IDT)

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO IMPLANTES QUIRÚRGICOS NO ACTIVOS. IMPLANTES MAMARIOS. REQUISITOS PARTICULARES (ISO 14607:2007, IDT)

NTE INEN-ISO/IEC Primera edición

Quito Ecuador EXTRACTO PROTECCION CONTRA INCENDIOS. EXTINTORES PORTÁTILES Y SOBRE RUEDAS. INSPECCIÓN Y MANTENIMIENTO (ISO :2010, IDT)

Quito Ecuador EXTRACTO

NTE INEN-ISO Primera edición

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO

Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO 2173:2013 EXTRACTO

Quito Ecuador EXTRACTO DISEÑO ERGONÓMICO DE LOS CENTROS DE CONTROL. PARTE 3: DISPOSICIÓN DE LAS SALAS DE CONTROL (ISO :1999, IDT)

Quito Ecuador EXTRACTO ODONTOLOGÍA. CEPILLOS DE DIENTES MANUALES. REQUISITOS GENERALES Y MÉTODOS DE ENSAYO (ISO 20126:2012, IDT)

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO DIRECTRICES PARA DIRECCIÓN Y GESTIÓN DE PROYECTOS (ISO 21500:2012, IDT)

Quito Ecuador EXTRACTO TECNOLOGÍA DE LA INFORMACIÓN. EVALUACIÓN DEL PRODUCTO SOFTWARE. PARTE 2: PLANIFICACIÓN Y GESTIÓN (ISO/IEC :2000, IDT)

Quito Ecuador EXTRACTO TECNOLOGÍA DE LA INFORMACIÓN. GESTIÓN DE ACTIVOS DE SOFTWARE (SAM). PARTE 1: PROCESOS (ISO/IEC :2006, IDT)

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO IMPLANTES CARDIOVASCULARES. PRODUCTOS ENDOVASCULARES. PARTE 2: STENTS VASCULARES (ISO :2012, IDT)

NTE INEN-ISO Primera edición

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO

NTE INEN-ISO 7077 Primera edición

Quito Ecuador BIOLOGICAL EVALUATION OF MEDICAL DEVICES. PART 4: SELECTION OF TESTS FOR INTERACTIONS WITH BLOOD (ISO :2002, IDT)

Quito Ecuador EXTRACTO

Para el propósito de esta Norma Técnica Ecuatoriana se ha hecho el siguiente cambio editorial:

NTE INEN-ISO Primera edición

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO EQUIPO DENTAL. CONEXIONES PARA TUBERÍAS DE DISTRIBUCIÓN Y DE DESAGÜE (ISO 11144:1995, IDT)

NTE INEN-ISO XX

NTE INEN-ISO/IEC Primera edición

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO

NTE INEN-ISO Primera edición

Quito Ecuador EXTRACTO

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO

NTE INEN-ISO

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO EVALUACIÓN BIOLÓGICA DE PRODUCTOS SANITARIOS. PARTE 5: ENSAYOS DE CITOTOXICIDAD IN VITRO (ISO :2009, IDT)

Quito Ecuador EXTRACTO

ETE INEN-ISO/IEC TS Primera edición

Quito Ecuador EXTRACTO ODONTOLOGÍA. CONTENIDO DEL ARCHIVO TÉCNICO PARA LOS SISTEMAS DE IMPLANTES DENTALES (ISO 10451:2010, IDT)

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO DOCUMENTACIÓN TÉCNICA DE PRODUCTOS. RESORTES. PARTE 1: REPRESENTACIÓN SIMPLIFICADA (ISO :1993, IDT)

Estándares de Seguridad

Quito Ecuador EXTRACTO DIAGRAMAS CINEMÁTICOS. SÍMBOLOS GRÁFICOS. PARTE 2 (ISO :1981, IDT)

Quito Ecuador EXTRACTO INSTRUMENTOS OFTÁLMICOS. REFRACTÓMETROS OCULARES (ISO 10342:2010, IDT)

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO

Quito Ecuador REDES DE PESCA. DETERMINACIÓN DE LA FUERZA DE ROTURA DE LA MALLA DE LA RED DE PESCA (ISO 1806:2002, IDT)

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador INFORME TÉCNICO ECUATORIANO ITE INEN-ISO/TR 14049:2008 EXTRACTO

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO 19011:2012 EXTRACTO

Quito Ecuador EXTRACTO TEJIDOS RECUBIERTOS DE PLÁSTICO O CAUCHO. ATMÓSFERAS NORMALIZADAS PARA ACONDICIONAMIENTO Y ENSAYO (ISO 2231:1989, IDT)

Quito Ecuador EXTRACTO MATERIALES POLIMÉRICOS CELULARES FLEXIBLES. DETERMINACIÓN DE LA RESILIENCIA POR BOLA REBOTANTE. (ISO 8307:2007, IDT)

INSTITUTO ECUATORIANO DE NORMALIZACIÓN

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO TECNOLOGÍA GRÁFICA - VOCABULARIO - PARTE 4: TÉRMINOS DE POSTPRENSA (ISO :2008, IDT)

CALIDAD DE AGUA EXAMEN Y DETERMINACION DE COLOR (IDT).

Quito Ecuador EXTRACTO ACÚSTICA. DETERMINACIÓN DE LA EXPOSICIÓN AL RUIDO EN EL TRABAJO. MÉTODO DE INGENIERIA (ISO 9612:2009, IDT)

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC :2009 EXTRACTO

Quito Ecuador EXTRACTO

NTE INEN xx

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

PROTECCIÓN CONTRA INCENDIOS AGENTES PARA LA EXTINCIÓN DE INCENDIOS POLVO

Qué es la ISO 27001?

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO 5024:2009 EXTRACTO

Quito Ecuador EXTRACTO

GUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000

UN RECORRIDO POR LA FAMILIA ISO

Quito Ecuador. Sistemas de gestión ambiental Requisitos con orientación para su uso. (ISO 14001:2015, IDT)

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO INSTALACIÓN DE ASCENSORES. PARTE 1: ASCENSORES DE LAS CLASES I, II, III Y VI (ISO :2010, IDT)

Quito Ecuador EXTRACTO INFORMÁTICA SANITARIA. TIPOS DE DATOS ARMONIZADOS PARA EL INTERCAMBIO DE INFORMACIÓN (ISO 21090:2011, IDT)

SISTEMAS Y MANUALES DE LA CALIDAD

Quito Ecuador EXTRACTO COSMÉTICOS. MÉTODOS DE EVALUACIÓN DE LA PROTECCIÓN SOLAR. DETERMINACIÓN IN VIVO DE LA PROTECCIÓN UVA (ISO 24442:2011, IDT)

PERFILES OCUPACIONALES

NTE INEN-ISO Primera edición

Transcripción:

Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27033-1 Primera edición TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE LA RED PARTE 1: DESCRIPCIÓN Y CONCEPTOS (ISO/IEC 27033-1:2009, IDT) INFORMATION TECHNOLOGY SECURITY TECHNIQUES NETWORK SECURITY PART 1: OVERVIEW AND CONCEPTS (ISO/IEC 27033-1:2009, IDT) Correspondencia: Esta norma nacional es una traducción idéntica de la Norma Internacional ISO/IEC 27033-1:2009 DESCRIPTORES: Tecnología, información, técnicas, seguridad, red, conceptos ICS:35.040 79 Páginas INEN 2014

Prólogo nacional Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27033-1:2014, es una traducción idéntica a la Norma Internacional ISO/IEC 27033-1:2009 Information technology Security techniques Network security Part 1: Overview and concepts, la traducción ha sido desarrollada por el Ministerio de Telecomunicaciones y de la Sociedad de la Información MINTEL. El comité responsable de esta Norma Técnica Ecuatoriana y de su adopción es el Comité Técnico de Normalización INEN/TC del INEN. Dentro del texto de esta norma se han hecho los siguientes cambios editoriales: a) Las palabras esta Norma Internacional han sido reemplazadas por esta norma nacional. Para el propósito de esta Norma Técnica Ecuatoriana se indica que para el documento normativo internacional de referencia, que se menciona en la Norma Internacional ISO/IEC 27033-1, existen los siguientes documentos normativos nacionales correspondientes. Documento Normativo Internacional ISO/IEC TR 7498 (all parts), Information technology Open Systems Interconnection Basic Reference Model Documento Normativo Nacional ISO/IEC TR 18044:2004 (todas las partes), Tecnología de información Interconexión de Sistemas Abiertos Modelo Básico de Referencia. ISO/IEC 27000:2009, Information technology Security techniques Information security management systems Overview and vocabulary ISO/IEC 27001:2005, Information technology Security techniques Information security management systems Requirements ISO/IEC 27002:2005, Information technology Security techniques Code of practice for information security management ISO/IEC 27005:2008, Information technology Security techniques Information security risk management NTE INEN-ISO/IEC 27000, Tecnología de información Técnicas de seguridad Sistemas de gestión de seguridad de información Resumen y vocabulario NTE INEN-ISO/IEC 27001:2011, Tecnología de la información. Técnicas de seguridad Sistema de gestión de la seguridad de la información. Requisitos. NTE INEN-ISO/IEC 27002:2009, Tecnología de la información Técnicas de la seguridad Código de práctica para la gestión de la seguridad de la información. NTE INEN-ISO/IEC 27005, Tecnología de información Técnicas de seguridad Gestión de riesgos de seguridad de información ii

Índice Prólogo nacional... ii Prólogo... iv Introducción... vi 1 Objeto y campo de aplicación... Error! Marcador no definido. 2 Referencias normativas... Error! Marcador no definido. 3 Términos y definiciones... Error! Marcador no definido. 4 Abreviaturas... Error! Marcador no definido. 5 Estructura... 9 6 Descripción general... 11 6.1 Antecedentes... 11 6.2 Planeación y gestión de la seguridad de red... 12 7 Identificación de riesgos y preparación para identificar los controles de seguridad... 14 7.1 Introducción... 14 7.2 Información sobre la red actual o planeada... 15 7.3 Riesgos de seguridad de la información y áreas potenciales de control... 20 8 Controles de Respaldo... 23 8.1 Introducción... 23 8.2 Gestión de la seguridad de la red... 23 8.3 Gestión de las Vulnerabilidades Técnicas... 27 8.4 Identificación y autenticación... 28 8.5 Registro de los Resultados de Auditoría y Monitoreo de la Red... 29 8.6 Detección y prevención de intrusos... 30 8.7 Protección contra el código malicioso... 31 8.8 Servicios Basados en Encriptación... 32 8.9 Gestión de la continuidad de negocios... 33 9 Directrices para el Diseño e Implementación de Seguridad de Red... 34 9.1 Antecedentes... 34 9.2 Arquitectura/diseño técnico de la seguridad de red... 34 10 Escenarios de referencia de red - Riesgos, diseño, técnicas y control de problemas.. 36 10.1 Introducción... 36 10.2 Servicios de Acceso a Internet para Empleados... 36 10.3 Mejora de servicios de colaboración... 37 10.4 Servicios de empresa a empresa... 37 10.5 Servicios de Empresa a Cliente... 37 10.6 Servicios subcontratados... 38 10.7 Segmentación de red... 38 10.8 Comunicaciones Móviles... 38 10.9 Soporte de red para los usuarios viajeros... 39 10.10Soporte de red para el hogar y pequeñas oficinas comerciales... 39 11 Temas de 'tecnología ' - riesgos, técnicas de diseño y problemas de control... 39 12 Desarrollar y Probar la Solución de Seguridad... 40 13 Operar la Solución de Seguridad... 41 14 Monitoreo y Revisión de la Implementación de la Solución... 41 Anexo A (informativo) Temas de "tecnología" - riesgos, técnicas de diseño y problemas de control... 42 Anexo B (informativo) Referencias cruzadas entre las normas ISO/IEC 27001 e ISO/IEC 27002 sobre controles de seguridad de redes relacionados y capítulos de esta parte de ISO/IEC 27033... 70 Anexo C (informativo) Ejemplo de plantilla para un documento de procedimientos operativos de seguridad... 75 Bibliografía... 78 iii

Prólogo ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema mundial especializado de normalización. Los organismos nacionales, miembros de la ISO o de la IEC, participan en el desarrollo de Normas Internacionales por medio de comités técnicos establecidos por la respectiva organización para tratar los campos particulares de las actividades técnicas. Los comités técnicos de ISO e IEC colaboran en campos de mutuo interés. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con ISO e IEC, también participan en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un comité conjunto, ISO/IEC JTC 1. Las Normas Internacionales son redactadas de acuerdo con las reglas dadas en las Directivas de ISO/IEC, Parte 2. La principal tarea del comité técnico conjunto es preparar Normas Internacionales. Los proyectos de las Normas Internacionales adoptados por el comité técnico conjunto son distribuidos a los organismos nacionales para su votación. Su publicación como una Norma Internacional requiere la aprobación de por lo menos un 75% de los organismos nacionales con derecho a voto. Se llama la atención sobre la posibilidad de que algunos elementos de este documento puedan ser sujetos a derechos de patentes. ISO e IEC no deben ser responsables de la identificación de alguno o de todos los derechos de patentes antes señalados. ISO/IEC 27033-1 fue preparada por el Comité Técnico ISO/IEC JTC 1, Tecnología de la Información, Subcomité SC 7, Técnicas de Seguridad Informática. Esta primera edición de ISO/IEC 27033-1 cancela y reemplaza a ISO/IEC 18028-1:2006. ISO/IEC 27033 contiene las siguientes partes bajo el título general de Tecnología de la información Técnicas de seguridad Seguridad de la red de TI: - Parte 1: Guías para la seguridad de la red Las siguientes partes están en preparación: - Parte 2: Guías para el diseño e implementación de la seguridad en la red - Parte 3: Escenarios de redes de referencia - Riesgos, técnicas de diseño y problemas de control Los riesgos, técnicas de diseño y problemas de control para - asegurar las comunicaciones entre redes que utilizan puertas de enlace de seguridad, - asegurar las redes privadas virtuales, - Convergencia IP, y - redes inalámbricas formarán el objeto de partes futuras. iv

Introducción En el mundo actual, la mayoría de organizaciones tanto comerciales como gubernamentales tienen sus sistemas de información conectados mediante redes (ver Figura 1), con conexiones de red que son una o más de las siguientes: - dentro de la organización, - entre organizaciones diferentes, - entre la organización y el público en general. Figura 1 - Tipos generales de conexión de red Además, con la rápida evolución de la tecnología de red a disposición del público (en particular, con el Internet) ofreciendo importantes oportunidades de negocio, las organizaciones están utilizando cada vez más el comercio electrónico a escala global y prestando servicios públicos en línea. Las oportunidades incluyen un menor costo en la comunicación de datos, el uso del Internet simplemente como un medio de conexión global, a través de servicios más sofisticados prestados por los proveedores de servicios de Internet (ISP). Esto puede significar el uso local de puntos de conexión a relativamente un bajo costo en cada extremo de un circuito para el comercio electrónico en línea y sistemas de entrega de servicios en línea a gran escala mediante la utilización de aplicaciones y servicios basados en la Web. Además, la nueva tecnología (incluyendo la integración de datos, voz y vídeo) aumenta las oportunidades de trabajo a distancia (también conocido como teletrabajo o telecomunicación ) que permiten al personal operar lejos de su base de trabajo madre durante períodos de tiempo significativos. Las personas pueden mantenerse en contacto a través del uso de las instalaciones remotas para acceder a la organización y a redes comunitarias, y a la información y los servicios de soporte a los negocios pertinentes. Sin embargo, mientras que este entorno proporciona ventajas comerciales importantes, existen nuevos riesgos de seguridad a enfrentar. Según las organizaciones se basan en gran medida en el uso de la información y redes asociadas para llevar a cabo sus negocios, la pérdida de confidencialidad, integridad y disponibilidad de la información y de los servicios podría tener impactos adversos significativos en las operaciones comerciales. Por lo tanto, existe un requisito importante para proteger adecuadamente las redes y sistemas de información, y la información correspondientes. En otras palabras: la implementación y mantenimiento de una seguridad de red v

adecuada es absolutamente fundamental para el éxito de las operaciones comerciales de cualquier organización. En este contexto, las industrias de telecomunicaciones y tecnología de la información están buscando soluciones de seguridad integrales rentables, encaminadas a proteger las redes contra los ataques maliciosos y acciones incorrectas inadvertidas, y al cumplimiento de los requisitos del negocio de confidencialidad, integridad y disponibilidad de la información y los servicios. La seguridad de una red también es esencial para mantener la exactitud de la facturación o el uso de la información como corresponda. Las prestaciones de seguridad en los productos son cruciales para la seguridad global de la red (incluyendo aplicaciones y servicios). Sin embargo, a medida que más productos se combinan para proporcionar soluciones totales, la interoperabilidad, o la falta de ella, definirán el éxito de la solución. La seguridad no debe ser sólo un asunto de preocupación para cada producto o servicio, sino que debe ser desarrollada de manera que promueva la integración de las capacidades de seguridad en la solución global de seguridad. El propósito de ISO/IEC 27033 es proporcionar una guía detallada sobre los aspectos de gestión, operación y uso de las redes de sistemas de información y sus interconexiones. Las personas dentro de una organización que son responsables de la seguridad de la información en general, y de la seguridad de la red en particular, deben ser capaces de adaptar el material en esta norma nacional para satisfacer sus necesidades específicas. Los principales objetivos son los siguientes. - ISO/IEC 27033-1, Descripción y conceptos, para definir y describir los conceptos relacionados, y proporcionar una guía sobre la gestión de la seguridad de la red. Esto incluye el suministro de una descripción de seguridad de la red y las definiciones correspondientes, y una guía sobre la manera de identificar y analizar los riesgos de seguridad de red para luego definir los requisitos de seguridad de la red. También presenta la forma de lograr arquitecturas de seguridad técnica de buena calidad, el riesgo, y los aspectos de diseño y control asociados con los escenarios típicos de red, y las áreas "tecnológicas" de la red (que se tratan en detalle en el desarrollo de ISO/IEC 27033). - ISO/IEC 27033-2, Guías para el diseño e implementación de la seguridad de red, para definir cómo las organizaciones deberían lograr arquitecturas de red de seguridad técnica, diseños e implementaciones que garanticen la seguridad de red adecuada para sus entornos de negocio, utilizando un enfoque coherente de planificación, diseño e implementación de seguridad de la red, según el caso, con la ayuda de la utilización de modelos/marcos de referencia (en este contexto, se utiliza un modelo/marco de referencia para delinear una representación o descripción que muestre la estructura y el alto nivel de funcionamiento de una arquitectura/diseño técnicamente seguros), y es relevante para todo el personal que participa en la planificación, diseño e implementación de los aspectos arquitectónicos de la seguridad de red (por ejemplo, los arquitectos de la red y diseñadores, administradores de red y los agentes de seguridad de red). - ISO/IEC 27033-3, Riesgos, Técnicas de diseño y los problemas de control para los escenarios de red de referencia, para definir los riesgos específicos, las técnicas de diseño y los problemas de control asociados con los escenarios típicos de red. Es relevante para todo el personal que participe en la planificación, diseño e implementación de los aspectos arquitectónicos de la seguridad de la red (por ejemplo, los arquitectos y diseñadores de red, los administradores de red, y los agentes de seguridad de la red). Se propone que las futuras partes de ISO/IEC 27033 aborden los siguientes temas. - ISO/IEC 27033-4, Riesgos, técnicas de diseño y problemas de control para asegurar las comunicaciones entre redes que utilizan puertas de enlace de protección, para determinar los riesgos específicos, técnicas de diseño y problemas de control para asegurar el flujo de información entre redes que utilizan puertas de enlace de seguridad. Será relevante para todo el personal que participa en la planificación detallada, el diseño y la implementación de puertas de enlace de seguridad (por ejemplo, los arquitectos y diseñadores de red, los administradores de red, y los agentes de seguridad de la red). vi

- ISO/IEC 27033-5, Riesgos, técnicas de diseño y problemas de control para la seguridad de las redes privadas virtuales, para definir los riesgos específicos, técnicas de diseño y problemas de control para la seguridad de las conexiones que se establecen utilizando redes privadas virtuales (VPNs). Es aplicable para todo el personal que participe en la planificación detallada, el diseño y la implementación de la seguridad de redes privadas virtuales VPN (por ejemplo, los arquitectos y diseñadores de red, los administradores de red y los agentes de seguridad de la red). - ISO/IEC 27033-6, Convergencia IP, para definir los riesgos específicos, técnicas de diseño y problemas de control para asegurar las redes de convergencia IP, es decir, aquellas con la convergencia de datos, voz y video. Es aplicable para todo el personal que participe en la planificación detallada, el diseño y la implementación de la seguridad de redes de convergencia IP (por ejemplo, los arquitectos y diseñadores de red, los administradores de red, y los agentes de seguridad de la red). - ISO/IEC 27033-7, Inalámbrica, para definir los riesgos específicos, técnicas de diseño y problemas de control de seguridad de las redes inalámbricas y de radio. Es aplicable para todo el personal que participe en la planificación detallada, el diseño y la implementación de la seguridad de redes inalámbricas y de radio (por ejemplo, los arquitectos y diseñadores de red, los administradores de red, y los agentes de seguridad de la red). Se enfatiza que ISO/IEC 27033 proporciona una guía más detallada sobre la aplicación de los controles de seguridad de red que se describen en un nivel básico estandarizado en ISO/IEC 27002. Si hubiere otras partes en el futuro, éstas serán relevantes para todo el personal que participe en la planificación detallada, el diseño y la implementación de los aspectos de la red cubiertos por estas partes (por ejemplo, los arquitectos y diseñadores de red, los administradores de red, y los agentes de seguridad de red). Cabe señalar que esta norma nacional no es una referencia o un documento normativo de los requisitos reglamentarios y legislativos de seguridad. Aunque se hace hincapié en la importancia de estas influencias, no puede identificarlas específicamente, ya que dependen del país, del tipo de negocio, etc. A menos que se indique lo contrario, a lo largo de esta parte de ISO/IEC 27033 la guía a la que se hace referencia es aplicable a las redes actuales o planificadas, pero sólo se hará referencia a ellas como redes o la red. vii

Tecnologías de la información Técnicas de seguridad Seguridad en la red Parte 1: Generalidades y conceptos 1 Objeto y campo de aplicación Esta parte de ISO/IEC 27033 proporciona una descripción de la seguridad de la red y las definiciones relacionadas. Define y describe los conceptos asociados, y proporciona orientación sobre la gestión de la seguridad de la red. (La seguridad de la red se aplica a la seguridad de los dispositivos, la seguridad de las actividades de gestión relacionadas con los dispositivos, aplicaciones/servicios y los usuarios finales, además de la seguridad de la información que se transfiere a través de los enlaces de comunicación). Tiene aplicación para cualquier persona involucrada que posee, opera o utiliza una red. Esto incluye a los altos directivos y otros administradores no técnicos o usuarios, además de los gerentes y administradores que tienen responsabilidades específicas para la seguridad de la información o seguridad de la red, el funcionamiento de la red, o que son responsables del programa general de seguridad de la organización y del desarrollo de políticas de seguridad. También es útil para cualquier persona involucrada en la planificación, diseño e implementación de los aspectos arquitectónicos de la seguridad de red. Esta parte de ISO/IEC 27033 también - proporciona orientación sobre la manera de identificar y analizar los riesgos de seguridad de red y la definición de los requisitos de seguridad de la red en base a ese análisis, - ofrece una descripción de los controles que soportan a las arquitecturas de red de seguridad técnica y a los controles técnicos relacionados, así como los controles no técnicos y los controles técnicos que son aplicables no sólo a las redes, - presenta la forma de alcanzar arquitectura técnica de seguridad de red de buena calidad, y el riesgo, el diseño y control de los aspectos asociados con los escenarios típicos de la red y las áreas tecnológicas de la red (que se tratan en detalle en las partes posteriores de ISO/IEC 27033), y - brevemente trata las cuestiones relacionadas con la aplicación y operación de los controles de seguridad de la red, y el continuo seguimiento y revisión de su implementación. En general, se ofrece una descripción de la serie ISO/IEC 27033 y una hoja de ruta para todas las demás partes. 2 Referencias normativas Los siguientes documentos de referencia son indispensables para la aplicación de este documento. Para las referencias con fecha sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición del documento de referencia (incluyendo cualquier modificación). ISO/IEC 7498 (todas las partes), Tecnología de la información - Interconexión de sistemas abiertos - Modelo de referencia básico ISO/IEC 27000:2009, Tecnología de la información - Técnicas de seguridad Sistemas de gestión de seguridad de la información - Información general y vocabulario ISO/IEC 27001:2005, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información Requisitos 1 de 79

Documento: NTE INEN- ISO/IEC 27033 INFORMACIÓN COMPLEMENTARIA TÍTULO: TECNOLOGÍA DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE LA RED PARTE 1: DESCRIPCIÓN Y CONCEPTOS Código: ICS 35.040 ORIGINAL: Fecha de iniciación del estudio: REVISIÓN: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficialización con el Carácter de Obligatorio por Resolución No. publicado en el Registro Oficial No. Fecha de iniciación del estudio: Fechas de consulta pública: Subcomité Técnico de: Fecha de iniciación: Integrantes del Subcomité: NOMBRES: Ing. Ing. Ing. Ing. Ing. Fecha de aprobación: INSTITUCIÓN REPRESENTADA: Dirección Ejecutiva Dirección de Metrología Dirección de Reglamentación Dirección de Normalización Dirección de Certificación y Validación Otros trámites: Esta NTE INEN-ISO XX:XX (XXXX), reemplaza a la NTE INEN XX:XX (XX) La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficializada como: Por Resolución No. Registro Oficial No. 80 de 79

Instituto Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre Casilla 17-01-3999 - Telfs: (593 2)2 501885 al 2 501891 - Fax: (593 2) 2 567815 Dirección General: E-Mail: direccion@normalizacion.gob.ec Área Técnica de Normalización: E-Mail: normalizacion@normalizacion.gob.ec Área Técnica de Certificación: E-Mail: certificacion@normalizacion.gob.ec Área Técnica de Verificación: E-Mail: verificacion@normalizacion.gob.ec Área Técnica de Servicios Tecnológicos: E-Mail: inenlaboratorios@normalizacion.gob.ec Regional Guayas: E-Mail: inenguayas@normalizacion.gob.ec Regional Azuay: E-Mail: inencuenca@normalizacion.gob.ec Regional Chimborazo: E-Mail: inenriobamba@normalizacion.gob.ec URL: www.normalizacion.gob.ec

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback