curso ntp iso iec 17799 27002 1

Sesión N° 5Sistema de Seguridad de la Información

la Norma NTP ISO /IEC 17799

Expositor: Ing. Miguel Véliz GranadosDirector Ejecutivo de Consultora InnSolutions S.A.C.

Director Ejecutivo del Instituto de Normas Técnicas de CINSEYT

Secretario Técnico del CTN 63 Microformas Digitales CNB – INDECOPI

Consultor de Certificación de Sistemas ISO 9001, ISO 27001 y NTP 392.030-2

Líder de Certificaciones de Sistemas de producción de microformas de SGS del Perú

Noviembre 2012

COLEGIO DE ABOGADOS DE LIMADirección Académica y de Promoción Cultural

Curso de Formación de Fedatarios Informáticos 2012

Situación Actual

Algunos riesgos y su impacto en los negocios

2

Algunos datos

3

INFORMATICA

El objetivo del virus “Bugbear” no es colapsar

computadoras sino robar datos bancariosLos expertos confirmaron que envía la información que captura a miles de

direcciones de Internet. Además, también puede desactivar los sistemas de

seguridad de la PC, destruir sus archivos y descomponer impresoras.

INTERNET

Nadie logra controlar la epidemia: el “correo basura”

invade las casillas de todo el mundoApenas 150 “spammers” norteamericanos son los responsables del 90 por ciento

de los mensajes no deseados que atestan las computadoras de todo el mundo.

Todavía no hay leyes para limitar su impacto económico.

Algunos datos

4

Algunos datos

5

23-06-2003 Despido

Rechazan demanda de empleada por uso indebido de Internet

Buenos Aires, 23 de junio (Télam).- El juez del trabajo Jorge Finizzola consideró justo el despidode una empleada que usó las computadoras de la empresa para recibir y enviar correoselectrónicos ajenos a su tarea y de contenido pornográfico, indicaron fuentes tribunalicias.

El magistrado rechazó la demanda iniciada por una empleada, que fue identificada como R.I.V, ya que las fuentes mantuvieron en reserva su identidad, contra la firma Vestiditos S.A. e impuso a

la reclamante las costas del juicio.

NEGOCIOS

Una nueva fiebre “enferma” a las empresas de todo el

mundo: la seguridad de la informaciónLa gestión de las políticas de seguridad de la información obsesiona a miles de empresas

de todo el mundo. Ahora, ya no se conforman con controlar los datos circulantes; también

quieren ahorrar millones.

Por Daniela Blanco. Especial para Clarín.com.

Algunos datos

6

Algunos datos

7

No existe la “verdad absoluta” en Seguridad Informática.

No es posible eliminar todos los riesgos.

No se puede ser especialista en todos los temas.

La Dirección está convencida de que la Seguridad Informática no haceal negocio de la compañía.

Cada vez los riesgos y el impacto en los negocios son mayores.

No se puede dejar de hacer algo en este tema.

8

Algunas premisas

En mi compañía ya tenemos seguridad porque ...

... implementamos un firewall.

... contratamos una persona para el área.

... en la última auditoría de sistemas no me sacaronobservaciones importantes.

... ya escribí las políticas.

... hice un penetration testing y ya arreglamos todo.

9

Algunas realidades

En general todos coinciden en:

El 80% de los incidentes/fraudes/ataques son efectuados por personalinterno

Fuentes:

The Computer Security Institute

Cooperative Association for Internet Data Analysis (CAIDA)

CERT

SANS

10

Algunos datos

Según una encuesta del Departamento de Defensa de USA:

Sobre aprox 9000 computadores atacados,

7,900 fueron dañados.

400 detectaron el ataque.

Sólo 19 informaron el ataque.

11

Algunos datos

• en formato electrónico / magnético / óptico

• en formato impreso

• en el conocimiento de las personas

12

Qué Información proteger

Principales riesgos y su impacto en los negocios

13

Captura de PC desde el exterior

Violación de e-mailsViolación de contraseñas

Interrupción de los servicios

Intercepción y modificación de e-mails

Virus

Fraudes informáticos

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks

empleados deshonestos

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones

Destrucción de equipamiento

Programas “bomba”

Acceso indebido a documentos impresos

Software ilegal

Agujeros de seguridad de redes conectadas

Falsificación de información para terceros

Indisponibilidad de información clave

Spamming

Violación de la privacidad de los empleados

Ingeniería socialPropiedad de la Información

Mails “anónimos” con información crítica o con agresiones

14

Password cracking

Man in the middle

ExploitsDenegación de servicio

Escalamiento de privilegios

Replay attackKeylogging

Port scanning

Instalaciones default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentesÚltimos parches no instalados

15

En estos tipos de problemas es difícil:

• Darse cuenta que pasa, hasta que pasa.

• Poder cuantificarlos económicamente, por ejemplo

• ¿cuánto le cuesta a la compañía 4 horas sin sistemas?

• Poder vincular directamente sus efectos sobre los resultados de la compañía.

16

El impacto en los negocios

Es necesario estar preparado para que ocurran lo menos posible:

• sin grandes inversiones en software

• sin mucha estructura de personal

Tan solo:

• ordenando la gestión de seguridad

• gestionado indicadores de la seguridad propia de los sistemas

• utilizando herramientas licenciadas y libres en la web

17

El impacto en los negocios

Entre los distintos organismos relacionados comercial y/oinstitucionalmente con los temas de Seguridad de la Información,podemos encontrar los siguientes:

• Information Systems and Audit Control Association - ISACA: COBIT (Control Objectives for Information and related Technology).

Los estándares de calificación ITIL , Information Technology InfrastructureLibrary

• British Standards Institute: BS

• International Standards Organization: Normas ISO 20000

• Departamento de Defensa de USA: Orange Book

• ITSEC – Information Technology Security Evaluation Criteria: White Book

• Sans Institute

• Modelo de Capacidad y Madurez (CMM/CMMI)

Normas aplicables

18

http://es.wikipedia.org/wiki/COBIT

http://www.google.com.pe/url?sa=t&source=web&cd=3&sqi=2&ved=0CF0QFjAC&url=http://www.itil-officialsite.com/&ei=xE2LToSxA5SIhQfymfjaAw&usg=AFQjCNFAS0jjWu6l_ixXV8V5DrYWGnFVEg

http://es.wikipedia.org/wiki/ISO_20000

http://es.wikipedia.org/wiki/Modelo_de_Capacidad_y_Madurez

La NTP ISO /IEC 17799

19

Norma ISO 17799 Seguridad de la Información

• 4 Evaluación y tratamiento del riesgo

• 5. Política de seguridad

• 6. Organización de seguridad de la información

• 7. Gestión de activos

• 8. Seguridad en recursos humanos

• 9. Seguridad física y del entorno

• 10. Gestión de comunicaciones y operaciones

• 11. Control de accesos

• 12. Adquisición desarrollo y mantenimiento de sistemas de la información

• 13. Gestión de incidentes de seguridad de la información

• 14. Gestión de continuidad del negocio

• 15. Cumplimiento

20

Introducción• La seguridad de las tecnologías de información, y por ende la

informática, se convierte en un tema de importancia crucial para elcontinuo y rápido progreso de nuestra sociedad, e incluso para supropia supervivencia.

• Por otro lado, el desarrollo en los últimos años de las redesinformáticas y fundamentalmente la Internet, ha sido el factorfundamental que ha hecho que la Seguridad Informática cobrase unaimportancia vital en el uso de sistemas informáticos conectados.

• Desde el momento en que nuestro ordenador se conecta a Internet,se abren ante nosotros toda una nueva serie de posibilidades, sinembargo éstas traen consigo toda una serie de nuevos y en ocasionescomplejos tipos de ataque.

21

¿Qué es seguridad de la información?

La seguridad de la información es la protección de lainformación de un rango amplio de amenazas para poderasegurar la continuidad del negocio, minimizar el riesgocomercial y maximizar el retorno de las inversiones y lasoportunidades comerciales.

Se logra implementando un adecuado conjunto de controles;incluyendo políticas, procesos, procedimientos, estructurasorganizacionales y funciones de software y hardware.

Se requiere establecer, implementar, monitorear, revisar ymejorar estos controles cuando sea necesario para asegurar quese cumplan los objetivos específicos de seguridad y comerciales.

22

¿Por qué se necesita seguridad de la información?

Las organizaciones y sus sistemas y redes de informaciónenfrentan amenazas de seguridad de un amplio rango de fuentes;incluyendo fraude por computadora, espionaje, sabotaje,vandalismo, fuego o inundación. Las causas de daño como códigomalicioso, pirateo computarizado o negación de ataques deservicio se hacen cada vez más comunes, más ambiciosas y cadavez más sofisticadas.

La gestión de la seguridad de la información requiere, comomínimo, la participación de los accionistas, proveedores, terceros,clientes u otros grupos externos. También se puede requerirasesoría especializada de organizaciones externas.

23

Establece recomendaciones y principios generalespara iniciar, implantar o mantener y mejorar laseguridad de la información en una organización.

Los objetivos de control y los controles de norma sondiseñados para ser implementados para cumplir losrequerimientos identificados por una evaluación delriesgo.

Objetivo

24

4 Evaluación y tratamiento del riesgo

4.1 Evaluación de los riesgos de seguridad

Las evaluaciones del riesgo deben identificar, cuantificar y priorizar los riesgos encomparación con el criterio para la aceptación del riesgo y los objetivosrelevantes para la organización.

Los resultados deben guiar y determinar la acción de gestión apropiada y lasprioridades para manejar los riesgos de la seguridad de la información y paraimplementar los controles seleccionados para protegerse contra estos riesgos.

La evaluación del riesgo debe incluir el enfoque sistemático de calcular lamagnitud de los riesgos (análisis del riesgo) y el proceso de comparar los riesgosestimados con un criterio de riesgo para determinar la importancia de los riesgos(evaluación del riesgo). Los ejemplos de las tecnologías de evaluación del riesgose discuten en ISO/IEC TR 13335-3 (Lineamientos para la Gestión de la SeguridadTI: Técnicas para la Gestión de la Seguridad TI).

25

4 Evaluación y tratamiento del riesgo

4.2 Tratamiento de los riesgos de seguridad

Para cada uno de los riesgos definidos después de una evaluación del riesgo senecesita tomar una decisión de tratamiento del riesgo. Las opciones posiblespara el tratamiento del riesgo incluyen:

a) Aplicar los controles apropiados para reducir los riesgos;

b) Aceptar los riesgos consciente y objetivamente, siempre que cumplanclaramente con la política y el criterio de aceptación de la organización dela organización;

c) Evitar los riesgos no permitiendo acciones que podrían causar que elriesgo ocurra;

d) Transferir los riesgos asociados a otros grupos; por ejemplo, aseguradoreso proveedores.

26

5 Política de seguridad

Debe incluir:

• objetivos y alcance generales de seguridad

• apoyo expreso de la dirección

• breve explicación de los valores de seguridad de laorganización

• definición de las responsabilidades generales yespecíficas en materia de gestión de la seguridad dela información

• referencias a documentos que puedan respaldar lapolítica

27

Dirigir y dar soporte a la gestión de la seguridad de la información enconcordancia con los requerimientos del negocio, las leyes y lasregulaciones.

Política de Seguridad

Autorización

Protección Física

Propiedad

Eficacia

Eficiencia

Exactitud

Integridad

Legalidad

Disponibilidad

Confidencialidad

Confiabilidad

Alcance de la política de seguridad

28

Comités de Gestión

• aprobar la política de seguridad de la información,

• asignar funciones de seguridad

• actualizarse ante cambios

• coordinar la implementación

• definir metodologías y procesos específicos deseguridad

• monitorear incidentes de seguridad

• lidera el proceso de concientización de usuarios

6 Aspectos organizativos para la seguridad

6.1 Organización Interna

29

Debe establecerse una estructura de gestión para iniciar y controlar laimplantación de la seguridad de la información dentro de la organización

• Gestión del compromiso con la seguridad de la información,

• Coordinación de la seguridad de la información

• Asignación de responsabilidades de seguridad de información

• Proceso de autorización para instalaciones de procesamiento dela información

• Acuerdos de confidencialidad

• Contacto con las autoridades

• Contacto con grupos especiales de interés

• Revisión independiente de la seguridad de la información


6.1 Organización Interna

30

• Identificación de riesgos relativos a terceras partes

• Gestión de la seguridad cuando se trata con terceros.

• Gestión de la seguridad en los acuerdos con terceraspartes (clientes).

31


6.2 Entidades externas

Mantener la seguridad de que los recursos de tratamiento de la información yde los activos de información de la organización sean accesibles por terceros

Ejemplo de terceros

• personal de mantenimiento y soporte de hardware ysoftware;

• limpieza, "catering", guardia de seguridad y otrosservicios de soporte tercerizados;

• pasantías de estudiantes y otras designacionescontingentes de corto plazo;

• consultores.

32

• Inventarios de Información e Instalaciones

• Designar un propietario para cada uno de ellos

• Uso aceptable de los activos

7 Gestión de Activos

7.1 Responsabilidad por los activos

33

Mantener una protección adecuada sobre los activos de la organización.

7.2 Clasificación de la informaciónAsegurar un nivel de protección adecuado a los activos de información.

• Lineamientos para la clasificación

• Rotulado y manipulación de la información

• Roles y responsabilidades definidas y documentadas

• Selección de todos los candidatos para un empleo

• Términos y condiciones de empleo claramentedefinidos

8 Seguridad del personal

8.1 Antes del empleo

34

Asegurar que los empleados, contratistas y terceros entiendan susresponsabilidades y que sean adecuados para los roles para los que han sidoconsiderados, reduciendo el riesgo de hurto, fraude o mal uso de lasinstalaciones

Asegurar que los empleados, contratistas, y usuarios de terceros esténconsientes de las amenazas y riesgos en el ámbito de la seguridad de lainformación, y que están preparados para sostener la política de seguridadde la organización en el curso normal de su trabajo y de reducir el riesgo deerror humano.

• Gestión de responsabilidades

• Advertencias, educación y capacitación en seguridad de información

• Proceso disciplinario

35


8.2 Durante el empleo

Asegurar que los empleados, contratistas y usuarios de terceros salgan de laorganización o cambien de empleo de una forma ordenada.

• Responsabilidades de la terminación laboral

• Devolución de activos

• Retiro de derechos de acceso

36


8.3 Terminación o cambio de empleo

Evitar accesos no autorizados, daños e interferencias contra los locales y la

Información de la organización.

• Perímetro de seguridad física

• Controles de entrada físicos

• Seguridad de oficinas, habitaciones e instalaciones

• Protección contra amenazas externas y ambientales

• Trabajo en áreas seguras

• Áreas de acceso público, entrega y cargas

37

9 Seguridad física y del entorno

9.1 Áreas seguras

Evitar pérdidas, daños o comprometer los activos así como la interrupción delas actividades de la organización.

• Ubicación y protección del equipo

• Servicios de apoyo

• Seguridad en el cableado

• Mantenimiento de equipo

• Seguridad del equipo fuera del local

• Eliminación segura o reutilización de los equipos

• Remoción de propiedad

38

9 Seguridad física y del entorno

9.1 Seguridad del equipo

Asegurar la operación correcta y segura de los recursos de tratamiento deinformación..

• Procedimientos de operación documentados

• Gestión de cambios

• Segregación de deberes

• Separación de las áreas de desarrollo, prueba y operaciones

39

10 Gestión de comunicaciones y operaciones

10.1 Procedimientos y responsabilidades operacionales

Implementar y mantener un nivel apropiado de seguridad y de entrega deservicio en línea con los acuerdos con terceros.

• Entrega de servicio

• Monitoreo y revisión de los servicios de terceros

• Manejar los cambios en los servicios de terceros

40


10.2 Gestión de la entrega de servicio de terceros

Minimizar el riesgo de fallos de los sistemas. Se hace necesario unaplanificación y preparación para asegurar la disponibilidad de capacidad y derecursos adecuados para entregar en funcionamiento el sistema requerido.

• Gestión de capacidad

• Aceptación del sistema

41


10.3 Planificación y aceptación del sistema

Mantener la integridad y la disponibilidad de los servicios de tratamiento de

información y comunicación.

• Back-up o respaldo de la información• Se deben hacer regularmente copias de seguridad de toda la información esencial del

negocio y del software, en concordancia con la política acordada de recuperación.

42


10.5 Respaldo (back-up)

Asegurar la salvaguarda de la información en las redes y la protección de su

infraestructura de apoyo.

• Controles de red

• Seguridad en los servicios de red• Las características de seguridad, niveles de servicio y los requisitos de gestión de todos

los servicios de red deben ser identificados e incluidos en cualquier acuerdo de serviciode red, así estos servicios sean provistos dentro o fuera de la organización.

43


10.6 Gestión de seguridad en redes

Asegurar la salvaguarda de la información en las redes y la protección de su

infraestructura de apoyo.

• Gestión de medios cambiables

• Retiro de medios

• Procedimientos de procesamiento de la información

• Documentación de la seguridad de la información

44


10.7 Gestión de medios

Evitar la pérdida, modificación o mal uso del intercambio de informaciónentre organizaciones.

• Política y procedimientos de intercambio de la información

• Acuerdos de intercambio

• Medios físicos en tránsito

• Mensajería electrónica

• Sistemas de información del negocio

45


10.8 Intercambio de información

Asegurar las transacciones de los servicios de comercio electrónico.

• Comercio electrónico

• Transacciones en línea

• Información disponible públicamente

46


10.9 Servicios de comercio electrónico

Detectar las actividades de procesamiento de información no autorizadas.

• Registro de la auditoría

• Uso del sistema de monitoreo

• Protección de la información del registro

• Registros de administrador y operador

• Registro de fallas

• Sincronización de relojes

47


10.10 Monitoreo

Controlar los accesos a la información.

• Política de control de acceso

• La política debe ser establecida, documentada y revisada y debe estarbasada en los requerimientos de seguridad y del negocio

48

11 Control de Acceso

11.1 Requerimientos del negocio para el control de acceso

Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados alos sistemas de información.

• Inscripción del usuario

• Gestión de privilegios

• Gestión de la claves del usuario

• Revisión de los derechos de acceso del usuario

49


11.2 Gestión de acceso del usuario

Evitar el acceso de usuarios no autorizados y el compromiso o hurto de lainformación y de las instalaciones del procesamiento de información.

• Uso de clave

• Equipo de usuario desatendido

• Política de pantalla y escritorio limpio

50


11.3 Responsabilidades del usuario

Prevenir el acceso no autorizado de los servicios de la red.

• Política sobre uso de servicios en red

• Autenticación de usuario para conexiones externas

• Identificación del equipo en red

• Protección de puertos de diagnóstico remoto

• Segregación en redes

• Control de conexión a las redes

• Control de routing de redes

51


11.4 Control de acceso a redes

Evitar accesos no autorizados a los computadores. Los controles deben sercapaces de:

a) Identificar y verificar la identidad de cada usuario autorizado enconcordancia con una política definida de control de acceso.

b) Registrar los accesos satisfactorios y fallidos al sistema.

c) Registrar el uso de privilegios especiales del sistema.

d) Alarmas para cuando la política del sistema de seguridad sea abierta.

e) Suministrar mecanismos, adecuados de autenticación.

f) Cuando proceda, restringir los tiempos de conexión de usuarios.

52


11.5 Control de acceso al sistema operativo

• Procedimientos de registro seguro en terminales

• Identificación y autenticación de usuario

• Sistemas de gestión de claves

• Uso de utilidades del sistema

• Sesión inactiva

• Limitación de tiempo de conexión

53


11.5 Control de acceso al sistema operativo

Prevenir el acceso no autorizado a la información contenida en los sistemas.

Se deben restringir el acceso lógico al software y a la información sólo a losusuarios autorizados. Las aplicaciones deben:

a) Controlar el acceso de los usuarios a la información y las funciones del sistemade aplicación, de acuerdo con la política de control de accesos.

b) Protegerse de accesos no autorizados desde otras facilidades o software desistemas operativos que sean capaces de eludir los controles del sistema o delas aplicaciones.

c) No comprometer la seguridad de otros sistemas con los que se compartanrecursos de información.

• Restricciones al acceso a la información

• Aislamiento del sistema sensible

54


11.6 Control de acceso a las aplicaciones e información

Garantizar la seguridad de la información cuando se usan dispositivos de

informática móvil y teletrabajo

• Computación móvil y comunicaciones

• Tele trabajo

55


11.7 Computación móvil y teletrabajo

Asegurar que la seguridad esté imbuida dentro de los sistemas deinformación

• Análisis y especificación de los requerimientos de seguridad

56

12 Adquisición, desarrollo y mantenimiento desistemas

12.1 Requisitos de seguridad de los sistemas

Evitar pérdidas, modificaciones o mal uso de los datos de usuario en lasaplicaciones

• Validación de datos de ingreso

• Control del procesamiento interno

• Integridad del mensaje

• Validación de los datos de salida

57


12.2 Procesamiento correcto en las aplicaciones

Proteger la confidencialidad, autenticidad o integridad de la información

• Política de uso de los controles criptográficos

• Gestión de claves

58


12.3 Controles criptográficos

12.4 Seguridad de los archivos del sistemaAsegurar la protección de los archivos del sistema

• Control del software operacional

• Protección de la data de prueba del sistema

• Control de acceso al código fuente del programa

Mantener la seguridad del software de aplicación y la información

• Procedimientos de control de cambios en el sistema operativo

• Revisión técnica de las aplicaciones después de cambios en el sistemaoperativo

• Restricciones sobre los cambios en los paquetes de software

• Filtración de información

• Desarrollo de software externo

59


12.5 Seguridad en los procesos de desarrollo y soporte

Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicaspublicadas

• Control de las vulnerabilidades técnicas

• Se debe obtener a tiempo la información sobre las vulnerabilidades técnicas de lossistemas información utilizadas. Igualmente, se debe evaluar la exposición de laorganización a tales vulnerabilidades y las medidas apropiadas para tratar a los riegosasociados.

60


12.6 Gestión de la vulnerabilidad técnica

Asegurar que los eventos y debilidades en la seguridad de informaciónasociados con los sistemas de información sean comunicados de una maneraque permita que se realice una acción correctiva a tiempo

• Reporte de los eventos en la seguridad de información

• Reporte de debilidades en la información

61

13 Gestión de incidentes en la seguridad deinformación

13.1 Reporte de eventos y debilidades de la seguridad deinformación

Asegurar un alcance consistente y efectivo aplicado a la gestión de incidentesen la seguridad de información

• Responsabilidades y procedimientos

• Aprendizaje de los incidentes en la seguridad de información

• Recolección de evidencia

62

13 Gestión de incidentes en la seguridad deinformación

13.2 Gestión de incidentes y mejoras en la seguridad de lainformación.

Reaccionar a la interrupción de actividades del negocio y proteger susprocesos críticos frente a grandes fallos de los sistemas de información odesastres.

• Inclusión de la seguridad de información en el proceso de gestión de lacontinuidad del negocio

• Continuidad del negocio y evaluación del riesgo

• Desarrollar e implementar planes de continuidad incluyendo seguridadde la información.

• Estructura de planificación para la continuidad del negocio

• Prueba, mantenimiento y reevaluación de los planes de continuidad delnegocio

63

14 Gestión de continuidad del negocio

14.1 Aspectos de la seguridad de la información en la gestiónde continuidad del negocio.

Principales etapas

• Clasificación de los distintos escenarios de desastres

• Evaluación de impacto en el negocio

• Desarrollo de una estrategia de recupero

• Implementación de la estrategia

• Documentación del plan de recupero

• Prueba y mantenimiento del plan

64

14 Gestión de continuidad del negocio

Etapas de planificación

Evitar los incumplimientos de cualquier ley civil o penal, requisitoreglamentario, regulación u obligación contractual, y de todo requisito deseguridad.

• Identificación de la legislación aplicable

• Derechos de propiedad intelectual (IPR)

• Protección de los registros organizacionales.

• Protección de data y de la privacidad de la información personal

• Prevención de mal uso de medios de procesamiento de la información

• Regulación de los controles criptográficos

65

15 Cumplimiento

15.1 Cumplimiento con los requisitos legales.

Asegurar la conformidad de los sistemas con las políticas y normas deseguridad.

• Conformidad con la política de seguridad y los estándares de seguridad

• Comprobación del cumplimiento técnico.

66

15 Cumplimiento

15.2 Cumplimiento de las políticas y estándares de seguridad yel cumplimiento técnico.

Maximizar la efectividad y minimizar las interferencias en el proceso de

auditoría del sistema.

• Controles de auditoría de sistemas de información

• Protección de las herramientas de auditoría de sistemas la información.

67

15 Cumplimiento

15.3 Consideraciones de la auditoría de los sistemas deinformación.

• RM 216-2006-MINCETRUR Aprueban documento “Lineamientos General dede Política de Seguridad de la información del Ministerio de Comercio Exteriory Turismo” – 08-08-2006

• RM 575-2006/MINSA Aprueban “Directiva Administrativa de Gestión de laSeguridad de la Información del Ministerio de Salud” -23-06-2006

• RM 520-2006/MINSA Aprueban Documento Técnico “Lineamientos de dePolítica de seguridad de la Información del Ministerio de Salud 23-06-2006

• RM 224-2004-PCM Aprueban uso obligatorio de la Norma Técnica PeruanaNTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. Código de buenasprácticas para la gestión de la seguridad de la información 1º 26-07-2004

• RM 310-2004-PCM Autorizan ejecución de la “Primera Encuesta de Seguridadde la Información en la Administración Pública”

• Resolución Nª 030-2008 /CRT-INDECOPI Aprueban Guías de acreditación deEntidades de Certificación Digital, Entidades de Registro o Verificación dedatos y Entidades de Prestación de Servicios de Valor Añadido, así como laGuía para la Acreditación del Software de Firmas Digitales 19-03-2008

Legislación en materia de Seguridad de la Informaciónen el Perú

68

Gracias por su atención

[email protected]

mailto:[email protected]