IMPLEMENTACION DE LA NTP-ISO/IEC 27001:2008 “Sistema de Gestión de Seguridad de la...
72
IMPLEMENTACION DE LA NTP-ISO/IEC 27001:2008 “Sistema de Gestión de Seguridad de la Información”
-
Upload
theresa-pan -
Category
Documents
-
view
216 -
download
0
Transcript of IMPLEMENTACION DE LA NTP-ISO/IEC 27001:2008 “Sistema de Gestión de Seguridad de la...
IMPLEMENTACION DE LA NTP-ISO/IEC 27001:2008
“Sistema de Gestión de Seguridad de la Información”
“Adopción de SGSI en el Sector Gobierno del PERÚ”
De manera creciente las organizaciones públicas o privadas requieren contar con sistemas de gestión que preserven la seguridad de la información que ingresa, es procesada o producida al interior de las mismas. En el caso del Perú, se han aprobado dispositivos legales (Resolución Ministerial Nº129-2012-PCM) que obligan a las organizaciones del Estado a contar con un Sistema de Gestión de la Seguridad de la Información (SGSI).
¿Qué es Seguridad de la Información?
¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?
CICLO DE DEMING – ESTRATEGIA DE MEJORA CONTINUA DE CALIDAD
“Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”. ISO/IEC 27001:2005
•11 Dominios•39 Objetivos de control•133 Controles
Objetivos de control y controles
Continuidaddel Negocio
Cumplimiento
Gestión de Activos
SeguridadRec.Humanos Seguridad
Fisica y Amb.Gestión Com.y Operaciones
Políticas deSeguridad
Desarrollo deSistemas
Incidentes deSeguridad
Sistema deControl Acceso
Organizaciónde Seguridad
Política de Seguridad (2 Controles): Se necesita una política que refleje las expectativas de la organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso.
Aspectos organizativos para la seguridad (11 Controles)Sugiere diseñar una estructura de administración dentro la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.
Clasificación y Control de Activos (5 Controles)Inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección.
Seguridad de Recursos Humanos (9 Controles)Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.
Seguridad física y del Entorno (13 Controles)Responde a la necesidad de proteger las áreas, el equipo y los controles generales.
Gestión de Comunicaciones y Operaciones (32 Controles)Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.Minimizar el riesgo de falla de los sistemas.Proteger la integridad del software y la información.Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. Garantizar la protección de la información en las redes y de la infraestructura de soporte.Evitar daños a los recursos de información e interrupciones en las actividades de la institución. Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones
Control de accesos (25 Controles)Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos.
Adquisición, Desarrollo y Mantenimiento de los Sistemas (16 Controles)Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.
Gestión de Incidentes de la Seguridad de la información (5 Controles)Asegurar que los eventos y debilidades en la seguridad de la información sean comunicados de manera que permitan una acción correctiva a tiempo.
Gestión de Continuidad del Negocio (5 Controles)Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organización y para proteger los procesos importantes de la organización en caso de una falla grave o desastre.
Cumplimiento (10 Controles)Evitar brechas de cualquier ley civil o penal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.
NORMATIVAS PERUANAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACIÓN
Resolución Ministerial Nº 246-2007-PCM (22/08/2007)
No se Cumplió
Resolución Ministerial Nº 197-2011-PCM (14/07/2011)
No se Cumplió
Resolución Ministerial Nº 129-2012-PCM (23/05/2012)
Artículo 1º.- De la aprobaciónApruébese el uso obligatorio de la Norma Técnica Peruana “NTP ISO/IEC 27001:2008 EDI Tecnología de la información. Técnicas de Seguridad. Sistemas de gestión de seguridad de la información. Requisitos” en todas las entidades integrantes del Sistema Nacional de Informática.Artículo 3º.- De la ImplementaciónDan un Plazo no mayor de 180 días calendarios, contados a partir de la fecha de publicación de la resolución para establecer el cronograma de implementación.Artículo 5º.- De la CoordinaciónLa ONGEI de la PCM coordinará con las entidades públicas respecto a la aplicación de la resolución. Cada entidad designará un coordinador que hará las veces de oficial de seguridad de la información.
No se Cumplió
IMPLEMENTACION DE LA NTP-ISO/IEC 27001:2008
“Sistema de Gestión de Seguridad de la Información”
Gracias
