Documente Academic
Documente Profesional
Documente Cultură
EN LA GESTIN DE LA
SEGURIDAD DE LA
INFORMACIN
NTP-ISO/IEC 17799
Introduccin:
Nuestro pas no es ajeno a la evolucin de la sociedad de la informacin, tal es as
que, cuenta con un Plan para el Desarrollo de la Sociedad de la Informacin elaborada
por la Comisin Multisectorial para el Desarrollo de la Sociedad de la Informacin
Introduccin:
Una de las estrategias para el logro de este objetivo consiste en desarrollar un plan de
seguridad de la informacin en el sector pblico (CODESI, 2005), como uno de los
componentes fundamentales para la creacin de la infraestructura de Gobierno
Electrnico.
Contenido de la sesin:
1. Directrices de la NTP-ISO/IEC 17799 - I
Objeto y campo de aplicacin
Trminos y definiciones
Estructura del estndar
Evaluacin y tratamiento del riesgo
Poltica de seguridad
2. TRMINOS Y DEFINICIONES
TRMINOS Y DEFINICIONES
Activo: Algo que tenga valor para la organizacin.
Control: Herramienta de la gestin de riesgo, incluido polticas, pautas, estructuras organizacionales, que
pueden ser de naturaleza administrativa, tcnica, gerencial o legal.
Incidente de seguridad de informacin: Es indicado por una a varias series de incidentes inesperados y
no deseados que tiene una gran probabilidad de comprometer las operaciones de negocios y de amenazar
la seguridad de informacin.
Gestin de riesgos: Actividades coordinadas para dirigir y controlar una organizacin considerando el
riesgo.
Amenaza: Causa potencial de un incidente no deseado que puede resultar en dao al sistema u
organizacin.
Vulnerabilidad: Debilidad de un activo o grupo de activos que pueden ser explotados por una o ms
amenazas.
Clusulas:
11
5. POLTICA DE SEGURIDAD
POLTICA DE SEGURIDAD
5.1. Poltica de seguridad de la informacin
7. GESTIN DE ACTIVOS
GESTIN DE ACTIVOS
7.1. Responsabilidad de los activos
7.1.1 Inventario de activos
7.1.2 Propiedad de activos
7.1.3 Uso adecuado de activos
7.2. Clasificacin de la informacin
7.2.1 Gua para la clasificacin
7.2.2 Identificacin y manejo de la informacin
CONTROL DE ACCESO
11.1. Requerimientos de negocio para el control del acceso
11.1.1 Poltica de control de acceso
11.2. Gestin de accesos de usuarios
11.2.1 Registro de usuarios
11.2.2 Gestin de privilegios
11.2.3 Gestin de contraseas de usuarios
11.2.4 Revisin de los derechos de acceso de los usuarios
11.3. Responsabilidades de usuario
11.3.1 Uso de contraseas
11.3.2 Equipos de usuarios desatendidos
11.3.3 Poltica de escritorio y pantalla limpia
CONTROL DE ACCESO
11.4. Control de acceso a redes
11.4.1 Poltica para el uso de servicios de red
11.4.2 Autenticacin de usuarios para conexiones externas
11.4.3 Identificacin de equipos en las redes
11.4.4 Proteccin de puerto de diagnstico y configuracin remota
11.4.5 Segregacin en redes
11.4.6 Control de conexiones a la red
11.4.7 Control de enrutamiento en la red
11.5. Control de acceso al sistema operativo
11.5.1 Procedimientos de inicio seguro de sesin
11.5.2 Identificacin y autenticacin de usuarios
11.5.3 Sistema de gestin de contraseas
11.5.4 Uso de las utilidades del sistema
11.5.5 Control de tiempo para terminales
11.5.6 Limitacin en el tiempo de conexin
CONTROL DE ACCESO
11.6. Control de acceso a la informacin y las aplicaciones
11.6.1 Restriccin de acceso a la informacin
11.6.2 Aislamiento de los sistemas sensibles
11.7. Informtica mvil y teletrabajo
11.7.1 Computacin y comunicaciones mviles
11.7.2 Teletrabajo
15. CUMPLIMIENTO
CUMPLIMIENTO
15.1. Cumplimiento de los requerimientos legales
15.1.1 Identificacin de la legislacin aplicable
15.1.2 Derechos de propiedad intelectual (IPR)
15.1.3 Proteccin de los registros de la organizacin
15.1.4 Proteccin y privacidad de la informacin personal
15.1.5 Prevencin del mal uso de la infraestructura de procesamiento
15.1.6 Regulacin de controles de cifrado
15.2. Cumplimiento de polticas y estndares, y cumplimiento tcnico
15.2.1 Cumplimiento de polticas y estndares de seguridad
15.2.2 Verificacin del cumplimiento tcnico
15.3. Consideraciones de auditoria de sistemas de informacin
15.3.1 Controles de auditora de los sistemas de informacin
15.3.2 Proteccin de las herramientas de auditoria de los sistemas de informacin
CMO ADAPTARSE?
CMO ADAPTARSE?