Normativa de Seguridad de la Información para proveedores NCS-1-2... · como no automatizados, ......

NCS-1 / 2 Normativa de Seguridad de la Informacin para proveedores

Revisin: 00 Rble. elaboracin y mantenimiento: Departamento de Seguridad Fecha de entrada en vigor: 02/05/11

Pgina 1 de 13

1. OBJETO 2. ALCANCE

Establece la normativa de seguridad de la informacin aplicable a los proveedores que presten servicios a Lantik.

Proveedores de servicios de Lantik.

NDICE

1. OBJETO 1 2. ALCANCE 1 3. LA SEGURIDAD DE LA INFORMACIN PARA LANTIK 2 4. ORGANIZACIN DE LA NORMATIVA, REVISIN Y ACTUALIZACIN 2 5. INCUMPLIMIENTO DE LA NORMATIVA DE SEGURIDAD DE LA INFORMACIN 2 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIN 3 7. GESTIN DE ACTIVOS 3 8. SEGURIDAD FSICA Y AMBIENTAL 4 9. GESTIN DE COMUNICACIONES Y OPERACIONES 5 10. CONTROL DE ACCESO 7 11. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE

INFORMACIN 9 12. GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN 11 13. GESTIN DE LA CONTINUIDAD DE LANTIK 12 14. CUMPLIMIENTO 12 15. AUDITORA 13 16. DOCUMENTOS RELACIONADOS 13 17. HISTORIAL DE REVISIONES 13


Revisin: 00 Fecha de entrada en vigor: 02/05/11

Pgina 2 de 13

3. La Seguridad de la Informacin para Lantik

La importancia de la Seguridad de la Informacin para Lantik

La informacin, as como las personas, los procesos, sistemas, redes, etc. que la soportan son considerados activos importantes. La disponibilidad, integridad, confidencialidad, autenticacin y trazabilidad de la informacin, y de los activos que la soportan, son esenciales para mantener la seguridad de la informacin, el cumplimiento de la legalidad vigente, la competitividad, y la buena imagen para con los clientes.

Para lograr una adecuada seguridad de la informacin es imprescindible la gestin de la misma apoyndose en unas normativas y procedimientos adecuados a cumplir por todas las personas que actan sobre activos de Lantik en el desarrollo de sus funciones.

Objetivos de la Normativa de Seguridad de la Informacin

Los objetivos globales de la Normativa de Seguridad de la Informacin son los siguientes:

Marco Jurdico

Se adquiere el compromiso de velar por el cumplimiento de la legislacin vigente en materia de proteccin y seguridad de la informacin y de los sistemas aplicable a todos sus procesos de negocio.

Marco Normativo

Cumplimiento de las obligaciones contractuales establecidas tanto con clientes como proveedores, en relacin a la seguridad de la informacin.

Cumplimiento de los requisitos y buenas prcticas de Seguridad de la Informacin incluidas en las Normas ISO27001 e ISO27002.

4. Organizacin de la normativa, revisin y actualizacin

Esta normativa ser revisada peridicamente. No obstante, debido a la propia evolucin de la tecnologa, las amenazas en relacin a la seguridad de la informacin y a las nuevas obligaciones legales en la materia, Lantik se reserva el derecho a modificar esta normativa cuando sea necesario. Los cambios realizados sern divulgados a todas las partes interesadas mediante la publicacin en la pgina web de lantik y la notificacin de la nueva versin mediante correo electrnico por parte del CAU. Es responsabilidad de todo el personal que desarrolle actividades para Lantik, la lectura, conocimiento y cumplimiento de esta Normativa de Seguridad de la Informacin para proveedores.

5. Incumplimiento de la Normativa de Seguridad de la Informacin

Lantik se reserva el derecho adoptar las medidas que se consideren pertinentes en relacin a la empresa contratada, y que pueden llegar a la resolucin de los contratos que se tenga vigentes con dicha empresa.



Pgina 3 de 13

6. Aspectos organizativos de la seguridad de la informacin

Objetivos Mantener la seguridad de la informacin sobre los activos de informacin de Lantik que son objeto

de acceso, tratamiento, comunicacin o gestin por proveedores de servicio.

1. Proveedores .1 Los acuerdos (contratos) que impliquen acceder, procesar, comunicar o gestionar la informacin de

la organizacin o los servicios de procesado de informacin, o aadir productos o servicios a los servicios de procesado de informacin, indicarn los controles de seguridad requeridos por parte de Lantik previa a la prestacin del servicio.

7. Gestin de activos

Objetivos Establecer y mantener una proteccin adecuada a los activos de Lantik

Asegurar que la informacin recibe un nivel adecuado de proteccin

1. Responsabilidades sobre los activos .1 Se cumplirn, por parte del proveedor, las normas de uso aceptable de los activos establecidas por

Lantik en su gestin de la seguridad de la informacin.

Norma Interna NCS-1/1 Norma de Seguridad: Cdigo de Conducta Informtico para Proveedores

2. Clasificacin de la informacin .1 Toda la informacin relacionada con las actividades de Lantik se considera confidencial. El

proveedor debern cumplir las funciones y obligaciones aplicadas a la utilizacin de los sistemas de informacin segn la normativa establecida por Lantik.

.2 Se garantizar el manejo de de la informacin de acuerdo al criterio de clasificacin establecido.

http://lantik.bizkaia.net/pdf/Norma%20NCS-1-1_CAS.pdf



Pgina 4 de 13

8. Seguridad fsica y ambiental

Objetivos Prevenir e impedir accesos no autorizados, daos e interferencia a las instalaciones e informacin

de Lantik.

Proteger los sistemas de Lantik, ubicndolos en reas protegidas por un permetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados.

Contemplar la proteccin de los sistemas de Lantik en su traslado y permanencia fuera de las reas seguras, por motivos de mantenimiento u otros.

Controlar los factores externos o del entorno que pudieran perjudicar el correcto funcionamiento de los sistemas de informacin que albergan la informacin de Lantik.

Implementar medidas para proteger la informacin manejada por el personal, en el marco normal de sus labores habituales.

1. reas seguras .1 Se utilizarn correctamente los controles fsicos de entrada establecidos para asegurar que

nicamente accede el personal autorizado a los espacios de los que dispone Lantik: oficinas, despachos e instalaciones.

.2 Se seguirn las directrices y medidas de proteccin establecidas por Lantik contra las posibles amenazas externas y de origen ambiental.

.3 Se cumplirn las directrices establecidas para trabajar en las reas protegidas.

.4 Llevar la identificacin mientras permanezcan en instalaciones de Lantik.

2. Seguridad de los equipos .1 La infraestructura tecnolgica se ubicar en emplazamientos securizados y protegidos con el fin de

reducir los riesgos derivados de las amenazas externas.

.2 Se proteger la infraestructura tecnolgica, que as lo necesite, contra fallos de provisin en el suministro elctrico.

.3 La conexin de cualquier equipamiento a los circuitos tanto elctrico como de comunicaciones estar previamente validado, con el fin de evitar interceptaciones o daos.

.4 Se deber solicitar validacin previa y se implementarn medidas de control indicadas, sobre toda la infraestructura que por necesidades puntuales se tenga que ubicar fuera de las reas protegidas en Lantik o fuera de la organizacin.

.5 Salvo en aquellos casos en que se reciba actualizacin expresa, se prohbe sacar de las instalaciones cualquier infraestructura TIC o software propiedad de Lantik



Pgina 5 de 13

9. Gestin de comunicaciones y operaciones

Objetivos Garantizar el funcionamiento correcto y seguro de los activos que ofrecen los diferentes servicios a

Lantik.

Establecer responsabilidades y facilitar procedimientos para su gestin y operacin, incluyendo instrucciones operativas, procedimientos para la respuesta ante incidentes y separacin de funciones.

1. Responsabilidades y procedimientos de operacin .1 Lantik facilitar, en funcin de las necesidades identificadas, procedimientos de operacin

actualizados a los proveedores que los necesiten.

.2 Se prohben los cambios sobre las infraestructuras y los recursos.

.3 Se definirn reas de responsabilidad y tareas de manera segregada en los contratos de relacin y en los acuerdos de nivel de servicio que se establezcan, con el fin de evitar modificaciones no autorizadas.

.4 Se deber garantizar, en funcin del servicio prestado por el proveedor, la utilizacin correcta de los entornos de desarrollo y pruebas.

2. Gestin de la provisin de servicios .1 Se realizarn por parte de Lantik, controles para verificar que los requerimientos de seguridad

establecidos de forma previa a la prestacin de servicio han sido implementados y se mantienen en el tiempo correctamente.

.2 Los servicios prestados sern supervisados y revisados peridicamente. En funcin del tipo de servicio se podrn establecer auditoras de cumplimiento.

.3 En funcin de la criticidad y/o riesgo del servicio contratado, los cambios en la provisin del mismo debern ser validados previamente por Lantik.

3. Planificacin y aceptacin del sistema .1 Se establecer una supervisin de la utilizacin de los recursos propiedad de Lantik empleados por

el proveedor, con el fin de garantizar una correcta capacidad de los mismos tanto en el presente mediante su monitorizacin, como en el futuro mediante el anlisis de tendencias.

.2 Se establecern criterios de aceptacin para nuevos sistemas o la modificacin de los existentes, realizadas por proveedores. En los entornos de desarrollo y prueba se realizarn las pruebas que garanticen un correcto paso al entorno de produccin. nicamente tras una aceptacin formal se migrar al entorno de produccin.

4. Proteccin contra cdigo malicioso y descargable .1 Se prohbe la ejecucin de cdigo no autorizado. La configuracin de los equipos garantizar que el

cdigo autorizado funciona de acuerdo con lo definido en la normativa establecida al respecto.



Pgina 6 de 13

5. Gestin de la seguridad de las redes .1 No se evitarn los mecanismos y actividades de gestin establecidos por Lantik que permitan

proteger frente a las amenazas que les puedan afectar las redes y a las aplicaciones que las utilizan.

.2 Se identificarn tanto las caractersticas de seguridad, los niveles de servicio y los mecanismos de gestin para garantizar la seguridad del servicio de red prestados por proveedores.

6. Manipulacin de los soportes .1 La utilizacin de soportes extrables de informacin deber ser validada previamente por Lantik y

con la finalidad exclusiva recogida en el contrato de relacin.

.2 A la finalizacin de la relacin contractual con Lantik, los soportes extrables facilitados al proveedor para el desarrollo de sus funciones, debern ser devueltos.

.3 El uso y almacenamiento de informacin en soportes extrables y la manipulacin de los soportes estar regulado mediante la normativa establecida en Lantik.

.4 Se prohbe el acceso a la documentacin de Lantik, ubicada tanto en repositorios automatizados como no automatizados, a la que no se haya dado acceso expreso para el fin descrito en la prestacin del servicio contratado.

7. Intercambio de informacin .1 Sobre los intercambios de informacin realizados entre el proveedor de servicio y Lantik se

establecern, en funcin de la criticidad considerada por Lantik, controles normativos, procedimentales y tcnicos que protejan el intercambio de dicha informacin.

.2 El intercambio de informacin y el tratamiento de la misma, quedar regulado mediante el correspondiente acuerdo o contrato de relacin entre Lantik y el proveedor receptor de la misma.

.3 En los casos en los que la prestacin del servicio incluya el trnsito de informacin, se implementarn por parte del proveedor los controles normativos y tcnicos que eviten el uso indebido o el deterioro de la misma. Lantik se reservar el derecho de auditar estos controles o requerir la implantacin de protecciones adicionales.

.4 Lantik podr requerir que la informacin transmitida mediante mensajera electrnica est adecuadamente protegida por parte del proveedor, requiriendo el cumplimiento de una normativa especfica y/o la implementacin de controles tcnicos auditables.

.5 Se prohbe la transmisin de informacin de Lantik a otras organizaciones. En caso de necesidad para la prestacin del servicio contratado, el proveedor de servicio deber solicitar a Lantik validacin previa a la transmisin de dicha informacin. En funcin de los niveles de clasificacin y los requerimientos legales establecidos, Lantik solicitar controles de seguridad especficos y que podrn ser auditados.

8. Supervisin .1 Lantik dispondr de elementos de monitorizacin que permitan la auditora de las actividades, las

excepciones y eventos de seguridad del proveedor en funcin de las necesidades de la organizacin, disponiendo de estos registros durante el tiempo que se considere con el fin de servir como prueba forense y/o en la supervisin del control de accesos.

.2 Se supervisar el uso de los sistemas de informacin, por parte del proveedor y esta informacin se tratar peridicamente.

.3 Las actividades de administracin y operacin que pudieran ser realizadas por parte del proveedor de servicio sobre los sistemas de informacin de Lantik, sern registradas.



Pgina 7 de 13

10. Control de acceso

Objetivos Impedir el acceso no autorizado a la informacin y los sistemas de informacin.

Implementar seguridad en los accesos del proveedor por medio de tcnicas de autenticacin y autorizacin.

Controlar la seguridad en la conexin entre la red de Lantik y otras redes pblicas o privadas.

Registrar y revisar eventos y actividades crticas llevadas a cabo por el proveedor en los sistemas.

Concienciar al proveedor respecto de su responsabilidad frente a la utilizacin de contraseas y equipos.

Garantizar la seguridad de la informacin cuando se utilizan porttiles e instalaciones remotas.

Adquisicin, desarrollo y mantenimiento de los sistemas de informacin

1. Requisitos de Lantik para el control de acceso .1 El proveedor nicamente tendrn acceso a aquellos recursos de red, aplicaciones e informacin que

sean necesarios para el desempeo de las labores propias del servicio contratado. Los derechos de acceso a las mismas sern los mnimos posibles en funcin de dichas necesidades. Las reglas de control de accesos se establecern de acuerdo a la necesidad de saber.

2. Gestin de acceso de usuario .1 Todo proveedor, previa a la prestacin y a la finalizacin del servicio en lantik, deber solicitar el alta

y baja de usuarios en base al procedimiento formal de registro y anulacin de usuarios que concede y revoca el acceso a los sistemas de informacin.

.2 Todo cambio en la prestacin del servicio que suponga cambio en las personas que participan en el mismo deber ser notificada a la mayor brevedad a Lantik con el fin de realizar las bajas y altas correspondientes. Lantik se reserva el derecho de auditar peridicamente las asignaciones realizadas.

3. Responsabilidades del usuario .1 Se requerir al proveedor el uso de buenas prcticas de seguridad en la seleccin y uso de

contraseas sobre sus sistemas de informacin, sobre todo en aquellos que no dispongan de polticas automticas de calidad de contrasea.

.2 Se requerir al proveedor el puesto de trabajo despejado de papeles y de soportes de informacin si no se estn utilizando y la ocultacin de informacin de la pantalla del equipo si no se est delante.

4. Control de acceso a red .1 Se proporcionar al proveedor acceso a los servicios de red requeridos para la prestacin del

servicio contratado.

.2 Las conexiones externas de un proveedor a infraestructuras de Lantik, debern ser previamente validadas. En funcin del anlisis del riesgo de la conexin, se requerirn controles de seguridad auditables.



Pgina 8 de 13

.3 Se prohbe el acceso fsico y lgico a los puertos de diagnstico y de configuracin de las infraestructuras de Lantik. En caso de requerirse por definicin del servicio, se registrarn dichos accesos.

.4 En base a la arquitectura de red segregada, las conexiones a las mismas se realizarn en funcin de las necesidades concretas de conectividad para la prestacin del servicio. Se prohbe la configuracin de rutas o accesos no validados previamente por Lantik.

5. Control de acceso a los sistemas operativos .1 Para el equipamiento de usuario, el acceso a los sistemas operativos requerir inicio de sesin

vlido sobre el dominio de Lantik si as lo exige el servicio. Para los servidores y equipamiento de comunicaciones se requerir la asignacin especfica de funciones de administracin. En los casos en los que lo exija el servicio.

.2 Todos los usuarios dispondrn de identificador nico de usuario para su uso personal y exclusivo.

.3 Se prohbe de manera explcita el uso de aplicaciones y/o utilidades que pudieran invalidar los controles de acceso y/o aplicacin y las no asociadas a la prestacin del servicio contratado.

.4 Sobre los sistemas de informacin sobre los que se identifiquen niveles de riesgo extraordinarios se utilizarn restricciones en los tiempos de conexin.

6. Control de acceso a las aplicaciones y a la informacin .1 El acceso a la informacin ser restringida en funcin a su necesidad de conocer para los servicios

contratados a cada proveedor.



Pgina 9 de 13

11. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin

Objetivos Cumplir los controles de seguridad en el ciclo de vida de los sistemas de informacin.

Cumplir las normas y procedimientos que se aplican durante el ciclo de vida de las aplicaciones y en la infraestructura de base en la cual se apoyan.

Regular el uso de informacin confidencial.

Garantizar el procesamiento correcto de las aplicaciones.

Garantizar el uso correcto de la informacin en los distintos entornos de desarrollo, prueba y produccin.

Minimizar las vulnerabilidades tcnicas.

1. Requisitos de seguridad de los sistemas de informacin .1 Previa a la contratacin y/o adquisicin de nuevos servicios se realizar un anlisis previo en

relacin a la seguridad de la informacin por parte de Lantik. Si se considera oportuno, se incluirn requerimientos especficos en esta materia junto a los requisitos funcionales.

2. Tratamiento correcto de las aplicaciones .1 Se establecer la validacin de los datos de entrada en las aplicaciones desarrolladas con el fin de

garantizar que los mismos son correctos y adecuados.

.2 Sobre las aplicaciones desarrolladas se establecern controles de procesamiento interno que permitan la deteccin de cualquier modificacin de la integridad de la informacin tanto por error como de manera intencionada.

.3 Se establecern controles de seguridad que garanticen los mecanismos de comunicacin entre procesos, la autenticacin e integridad de los mensajes.

.4 Se establecern controles para la validacin de datos de salida de las aplicaciones que permitan garantizar que la informacin almacenada es correcta y adecuada.

.5 Se aplicara la sistemtica de Desarrollo y Mantenimiento de aplicaciones existente en Lantik (procedimientos, instrucciones tcnicas y formatos).

3. Controles criptogrficos .1 El cifrado de informacin seguir los requerimientos establecidos por lantik para el cumplimiento de

requisitos legales y de negocio, empleando algoritmo de cifrado fuerte que no padezca vulnerabilidades ni debilidades conocidas y utilizando una herramienta informtica adecuada para la utilizacin del algoritmo y clave.

.2 Las claves criptogrficas utilizadas por parte del proveedor estarn protegidas contra modificacin, prdida y destruccin. Se tendr en cuenta la autenticidad de las claves pblicas empleadas. El proceso de autenticacin se llevar a cabo utilizando certificados de clave pblica expedidos por una autoridad de certificacin reconocida que contar con los controles y procedimientos adecuados para ofrecer el grado de confianza necesario.

4. Seguridad de los archivos del sistema



Pgina 10 de 13

.1 Se utilizarn los procedimientos de los que se dispone en Lantik para la instalacin y actualizacin de software en los entornos de produccin.

.2 Se evitarn el uso de datos reales en el entorno de pruebas. En caso de recurrir a datos de este tipo, el proveedor deber disponer de la correspondiente validacin por parte de Lantik y previa a su utilizacin en el entorno de pruebas se garantizar la disociacin de dicha informacin. En todo caso la informacin utilizada para pruebas estarn en todo momento protegida y controlada.

.3 El acceso al cdigo fuente de los programas y a los elementos relacionados con l (diseos, especificaciones, planes de verificacin y validacin) estarn estrictamente controlados por Lantik, para evitar cambios involuntarios o la introduccin de funciones no autorizadas.

5. Seguridad en los procesos de desarrollo y soporte .1 Previos a la introduccin de nuevos sistemas o de cambios importantes en los ya existentes, el

proveedor seguir el proceso de gestin de cambios establecido en Lantik

.2 Se evitarn las situaciones que permitan que se produzcan fugas de informacin. El proveedor tendr la obligacin de notificar a Lantik a la mayor brevedad estas situaciones.

.3 El desarrollo realizado por el proveedor ser supervisado y controlado por Lantik en base a los requerimientos previamente establecidos en el correspondiente contrato de relacin.

6. Gestin de las vulnerabilidades tcnicas .1 Las vulnerabilidades tcnicas identificadas en los sistemas de informacin no sern explotadas por

el proveedor de servicios. Sern notificadas a la mayor brevedad a Lantik.



Pgina 11 de 13

12. Gestin de incidentes de seguridad de la informacin

Objetivos Establecer canales de comunicacin de eventos y debilidades relativos a la seguridad de la

informacin.

Gestionar los incidentes de seguridad.

Aprender de los incidentes de seguridad.

1. Notificacin de eventos y puntos dbiles de la seguridad de la informacin .1 El proveedor estar obligado a notificar cualquier incidente de seguridad que se produzca en la

prestacin del servicio. Esta notificacin deber realizarse a la mayor brevedad a travs del centro de atencin al usuario (CAU). Se emplearn adems los elementos de supervisin, alertas y vulnerabilidades de que se dispone para detectar incidentes de seguridad de la informacin.

.2 Cualquier punto dbil, en relacin a la seguridad de la informacin, deber ser notificado a travs del centro de atencin al usuario (CAU). No se deber intentar comprobar ningn punto dbil de seguridad que se sospeche que exista.

2. Gestin de incidentes de seguridad de la informacin y mejoras .1 Todos los incidentes de seguridad sern gestionados por Lantik y podrn requerir la colaboracin

del proveedor para su resolucin.

.2 En base a la gestin anteriormente indicada se dispondr de informacin que permita su explotacin para el anlisis y aprendizaje de las partes implicadas.

.3 Las evidencias recopiladas en la gestin de un incidente de seguridad podrn ser requeridas por el rgano judicial competente por lo que sern convenientemente almacenadas y custodiadas.



Pgina 12 de 13

13. Gestin de la continuidad de Lantik

Objetivos Establecer las pautas de actuacin a seguir para garantizar la continuidad de los procesos de

negocio.

Establecer las pautas a seguir para llevar a cabo la activacin y desactivacin del plan.

1. Aspectos de seguridad de la informacin en la gestin de la continuidad de Lantik .1 Los planes de contingencia derivados del plan de continuidad de negocio, que permiten mantener o

restaurar las operaciones y garantizar la disponibilidad de la informacin en el nivel y tiempo requerido, pueden requerir la intervencin de proveedor de servicio.

.2 El plan de continuidad de negocio y los planes de contingencia derivados sern probados y actualizados peridicamente para asegurar su efectividad. Se garantizar que todos los miembros de los equipos de recuperacin, as como cualquier proveedor afectado, conoce sus responsabilidades.

14. Cumplimiento

Objetivos Cumplir con las disposiciones legales, normativas y contractuales a fin de evitar sanciones

administrativas a Lantik y/o al empleado, o que incurran en responsabilidad civil o penal como resultado de su incumplimiento.

Garantizar que el proveedor cumplan con la poltica, normas y procedimientos de seguridad de Lantik.

Revisar la seguridad del proveedor de Lantik peridicamente a efectos de garantizar la adecuada aplicacin de la poltica, normas y procedimientos de seguridad, sobre las plataformas tecnolgicas y los sistemas de informacin utilizados para la prestacin.

Optimizar la eficacia del proceso de auditora sobre el proveedor de servicio.

1. Cumplimiento de los requerimientos legales .1 El proveedor garantizar el cumplimiento de la normativa establecida en relacin al uso de material

sobre el que puedan existir derechos de propiedad intelectual.

.2 El proveedor velar por la proteccin de los activos de Lantik frente a distintas amenazas, durante el tiempo y forma que se establezca en la relacin contractual, en base a los requerimientos legales, reglamentarios y empresariales.

.3 El proveedor garantizar el cumplimiento de los requerimientos establecidos por la Ley Orgnica de Proteccin de Datos de Carcter Personal (LOPD) y las medidas identificadas en el Real Decreto que la desarrolla. Del mismo modo, el proveedor asignado como encargado de tratamiento de ficheros de Lantik con datos de carcter personal cumplir los requerimientos establecidos por Lantik como propietario de dichos ficheros.

.4 La presente Normativa de Seguridad de la Informacin para proveedores as como la derivada de la misma constituyen elementos que previenen el uso indebido tanto de la informacin como de los recursos de tratamiento de la informacin.



Pgina 13 de 13

2. Cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico .1 El proveedor se asegurar, dentro de su mbito, del cumplimiento de las normativas establecidas en

relacin a la seguridad de la informacin. El resultado de las revisiones de cumplimiento y las acciones correctivas derivadas constituirn evidencias de gestin de la seguridad de la informacin en cada mbito de responsabilidad, a considerar en las revisiones de la provisin.

.2 En funcin del servicio contratado y las necesidades de Lantik, se realizarn comprobaciones de cumplimiento tcnico sobre los recursos de tratamiento de la informacin, en base a la normativa establecida en Lantik para la gestin de la seguridad de la informacin.

3. Consideracin sobre la auditora de los sistemas de informacin .1 Las auditoras de cumplimiento sern previamente planificadas con el fin de evitar riesgos sobre los

activos de Lantik y los servicios prestados.

.2 Tanto las herramientas de auditora como los registros obtenidos en el proceso se mantendrn en entornos diferentes a los de desarrollo u operativos con el fin de evitar cualquier peligro o uso indebido. Si en la auditora participa o la realiza enteramente un proveedor, se podr considerar la evaluacin del riesgo previo que esto suponga y el requerimiento de controles de seguridad especficos sobre el proveedor.

15. Auditora

A requerimiento de Lantik, se podrn realizar auditoras de cumplimiento sobre los puntos indicados, con el fin de determinar el grado de cumplimiento de la Normativa de Seguridad de la Informacin para proveedores y establecer acciones correctivas en su caso.

16. Documentos relacionados

Norma Interna NCS-1/1 Norma de Seguridad: Cdigo de Conducta Informtico para Proveedores

17. HISTORIAL DE REVISIONES

Revisin Fecha Modificaciones 00 24/03/11 Aprobacin de la norma

http://lantik.bizkaia.net/pdf/Norma%20NCS-1-1_CAS.pdf

1. OBJETO2. ALCANCE3. La Seguridad de la Informacin para LantikLa importancia de la Seguridad de la Informacin para LantikObjetivos de la Normativa de Seguridad de la Informacin

4. Organizacin de la normativa, revisin y actualizacin 5. Incumplimiento de la Normativa de Seguridad de la Informacin6. Aspectos organizativos de la seguridad de la informacinObjetivos1. Proveedores

7. Gestin de activos Objetivos1. Responsabilidades sobre los activos2. Clasificacin de la informacin

8. Seguridad fsica y ambiental Objetivos1. reas seguras2. Seguridad de los equipos

9. Gestin de comunicaciones y operaciones Objetivos1. Responsabilidades y procedimientos de operacin2. Gestin de la provisin de servicios 3. Planificacin y aceptacin del sistema4. Proteccin contra cdigo malicioso y descargable5. Gestin de la seguridad de las redes6. Manipulacin de los soportes7. Intercambio de informacin8. Supervisin

10. Control de acceso Objetivos1. Requisitos de Lantik para el control de acceso2. Gestin de acceso de usuario3. Responsabilidades del usuario4. Control de acceso a red5. Control de acceso a los sistemas operativos6. Control de acceso a las aplicaciones y a la informacin

11. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin Objetivos1. Requisitos de seguridad de los sistemas de informacin2. Tratamiento correcto de las aplicaciones 3. Controles criptogrficos4. Seguridad de los archivos del sistema5. Seguridad en los procesos de desarrollo y soporte6. Gestin de las vulnerabilidades tcnicas

12. Gestin de incidentes de seguridad de la informacin Objetivos1. Notificacin de eventos y puntos dbiles de la seguridad de la informacin2. Gestin de incidentes de seguridad de la informacin y mejoras

13. Gestin de la continuidad de Lantik Objetivos1. Aspectos de seguridad de la informacin en la gestin de la continuidad de Lantik

14. CumplimientoObjetivos1. Cumplimiento de los requerimientos legales2. Cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico3. Consideracin sobre la auditora de los sistemas de informacin

15. Auditora16. Documentos relacionados17. HISTORIAL DE REVISIONES

Normativa de Seguridad de la Información para proveedores NCS-1-2... · como no automatizados, ......

Documents

Transcript of Normativa de Seguridad de la Información para proveedores NCS-1-2... · como no automatizados, ......