SlideShare ist ein Scribd-Unternehmen logo

Normas tecnicas peruanas

Als PPT, PDF herunterladen
Elizabeth Sanchez
Elizabeth Sanchez

La norma ISO/IEC 17799 proporciona recomendaciones para la gestión de la seguridad de la información en 11 secciones. Establece los objetivos y controles de seguridad para asegurar la confidencialidad, integridad y disponibilidad de la información. En Perú, la norma es de uso obligatorio para instituciones públicas desde 2004 y está a cargo de su cumplimiento la ONGEI.

1 von 29
BASADO EN EL ISO 17799 SOBRE SEGURIDAD INFORMATICA
La Normalización es una actividad necesaria, de elevada importancia que según AENOR (1993) "pretende establecer un proceso por el cual se unifican criterios respecto a determinadas materias y se posibilita la utilización de un lenguaje común en un campo de actividad concreto", y que además puede ser creativa y apasionante si se enfoca adecuadamente.
Es la expresión práctica de la normalización mediante la cual el fabricante, consumidores, usuarios y administradores acuerdan las características técnicas que deberá reunir un producto o un servicio. La ISO (1992) la define como: "Especificación técnica accesible al público, establecida con la cooperación y el consenso o la aprobación general de todas las partes interesadas, basadas en los resultados conjuntos de la ciencia y la tecnología y la experiencia, que tiene por objetivo el beneficio óptimo de la comunidad y que ha sido aprobado por un organismo cualificado a nivel nacional, regional o internacional." Es decir que es un documento técnico voluntario que contiene especificaciones de calidad, terminología, métodos de ensayo, información de rotulado, etc.
Fabricantes a través de sus organizaciones sectoriales y en su condición de empresa; Usuarios y consumidores a través de sus organizaciones y a título personal; Administración pública, como veladora del bien público y de los intereses de los ciudadanos; Centros de investigación y laboratorios aportando su experiencia y dictamen técnico; Profesionales a través de asociaciones y colegios profesionales o empresas; Expertos en el tema que se normalice, nombrados a título personal"
En Perú, la Normalización como actividad sistemática y organizada es de origen reciente. Como primer intento de unificación, se dio la Ley de Pesas y Medidas el 16 de diciembre de 1862, siendo Presidente el General Miguel San Román, por la que se estableció el Sistema Métrico Decimal, cambiando las unidades de medida usadas hasta ese momento en el país, que se derivaran principalmente de las coloniales e incaicas. Posteriormente, la preocupación por la normalización se plasma en una serie de reglamentos y códigos de construcción.
La normalización tal como se entiende actualmente, se inicia con la creación del Instituto Nacional de Normas Técnicas Industriales y Certificación (INANTIC) con ley de Promoción Industrial Nº 13270 de noviembre de 1959, que continuó sus actividades hasta 1970. La Ley General de Industrias D.L. Nº 18350 y posteriormente, los D.L. 19262 y 19565 crean y fijan objetivos y funciones del Instituto Nacional de Investigación Tecnológica y Normas Técnicas (ITINTEC), que funcionó hasta noviembre de 1992. Actualmente las labores de normalización están a cargo del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI), creado por Ley 25818 del 24 de noviembre de 1992.
 La Organización Internacional para la Estandarización (ISO) es una federación de alcance mundial integrada por cuerpos de estandarización nacionales de 130 países, uno por cada país. La ISO es una organización no gubernamental establecida en 1947. La misión de la ISO es promover el desarrollo de la estandarización y las actividades con ella relacionada en el mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la cooperación en la esfera de lo intelectual, científico, tecnológico y económico. Todos los trabajos realizados por la ISO resultan en acuerdos internacionales los cuales son publicados como Estándares Internacionales.
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. ISO 17799 define la información como un activo que posee valor para organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.
La seguridad de la información se define como la preservación de Integridad, Disponibilidad y Confidencialidad de los activos de información. El objetivo de la norma es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad. La adaptación peruana de la norma es la NORMA TECNICA PERUANA NTP-ISO/IEC 17799
 La presente Norma Técnica Peruana fue elaborada por el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI), mediante el Sistema 1 u Adopción, durante los meses de agosto a noviembre del 2003, utilizando como antecedente a la Norma ISO/IEC 17799:2000 Information technology – Code of practice for information security management.  El Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI) presentó a la Comisión de Reglamentos Técnico y Comerciales -CRT, con fecha 2003-12-02, el PNTP-ISO/IEC 17799:2003 para su revisión y aprobación; siendo sometido a la etapa de Discusión Pública el 2004-01-27. No habiéndose presentado ninguna observación, fue oficializada como Norma Técnica Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, 1ª Edición, el 27 marzo del 2004.
En Perú la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde el año 2004, estandarizando de esta forma los diversos proyectos y metodologías en este campo, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales, la supervisión de su cumplimiento esta a cargo de la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI. ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información.
La seguridad de la Información se define en el estándar como la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran).
Política de seguridad Aspectos organizativos para la seguridad Clasificación y control de activos Seguridad ligada al personal Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Gestión de incidentes de seguridad de la información Gestión de continuidad de negocio Conformidad
Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades. Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos en el 2007.
Se encarga de dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos del negocio, las leyes y regulaciones. La gerencia debería establecer de forma clara las líneas de la política de actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una política de seguridad en toda la organización.
 Gestionar la seguridad de la información dentro de la organización.  Se deberá tomar una estructura de gestión para iniciar y controlar la implantación de la seguridad de la información dentro de la organización.  Es conveniente organizar foros de gestión adecuadas con las gerencias para aprobar la política de seguridad de la información, asignar roles de seguridad y coordinar la implantación de la seguridad en toda la organización.  Si fuera necesario, se debería facilitarse el acceso dentro de la organización a un equipo de consultores especializados en seguridad de la información. Deberían desarrollarse contactos con especialistas externos de seguridad para mantener al día en las tendencias de la industria. La evolución de las normas y los métodos de evaluación, así como tener un punto de enlace para tratar las incidencias de seguridad. Debería fomentarse un enfoque multidisciplinario de la seguridad de la información.
Mantener una protección adecuada sobre los activos de la organización. Todos los activos deben ser considerados y tener un propietario asignado. Deberían identificarse los propietarios para todos los activos importantes. Y se debería asignar la responsabilidad del mantenimiento de los controles apropiados. La responsabilidad de la implantación de controles debería delegarse. Pero la responsabilidad debería mantenerse en el propietario designado al activo.
Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades y que sean adecuados para los roles que han sido considerados, reduciendo el riesgo de hurto, fraude o mal uso de instalaciones. Las responsabilidades de la seguridad se deben tratar antes del empleo en funciones adecuadas descritas y en términos y condiciones del empleo. Todos los candidatos para empleo, contratistas y usuarios de terceros deben ser adecuadamente seleccionados, especialmente para trabajos sensibles. Empleados, contratistas, y terceros que utilizan las instalaciones del procedimiento de la información deben firmar un acuerdo de confidencialidad.
Evitar acceso no autorizados, daños de interferencias contra los locales u la información de la organización. Los recursos para el tratamiento de información crítica o sensible para la organización deberían ubicarse en áreas seguras protegidas por un perímetro de seguridad definido, con barreras de seguridad y controles de entrada apropiados. Se debería dar protección física contra accesos no autorizados, daños e interferencias. Dicha proporción debería ser proporcionada a los riesgos identificados.
Asegurar la operación correcta y segura de los recursos de tratamiento informáticos. Se debería establecer responsabilidades y procedimientos para la gestión y operaciones de todos los recursos de tratamiento de información. Esto incluye el desarrollo de instrucciones apropiadas de operación y procedimientos de la respuesta ante incidencias. Se impulsará la segregación de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso del sistema deliberado o por negligencia. 
Controlar los accesos a la información. Se debería controlar el acceso a la información y los procesos del negocio sobre la base de los requisitos de seguridad y negocios. Se deberían tener en cuenta para ellos las políticas de distribución de la información y de autorizaciones.
Asegurar que la seguridad esté imbuida dentro de los sistemas de información. Esto incluirá la infraestructura, las aplicaciones de negocios y las aplicaciones desarrolladas por usuarios. El diseño y la implantación de los procesos de negocios que soportan las aplicaciones o el servicio, pueden ser cruciales para la seguridad. Los requisitos de seguridad deberían ser identificados y consensuados antes de desarrollar los sistemas de información.
Asegurar que los eventos y debilidades en la seguridad de información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva a tiempo. El reporte formal de eventos y los procedimientos de escalada deben estar implementados. Todos los empleados, contratistas y terceros deben estar al tanto de los procedimientos para reportar los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad de los activos organizacionales. Se les debe requerir que reporten cualquier evento o debilidad en la seguridad de información, lo más rápido posible, al punto de contacto designado.
Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a grandes fallos de los sistemas de información o desastres.
Evitar los incumplimientos de cualquier ley civil o penal, reglamentario, regulación u oblicacion contractual, y de todo requisito de seguridad. El diseño, operación, uso y gestión de los sistemas de información puede estar sujeto a requisitos estatuarios, regulatorios y contractuales de seguridad. Se debería buscar el asesoramiento sobre requisitos legales específicos de los asesores legales de la organización, o de profesionales del derecho calificados. Los requisitos legales varían de un país a otro, al igual que en el caso de las transmisiones internacionales de datos(datos creados en un país y transmitidos a otro).
La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento.
Normas tecnicas peruanas

Empfohlen

Gtc 45-sura
Gtc 45-suraGtc 45-sura
Gtc 45-suraKristhian Barragán
 
Matriz de evaluación de riesgos obras set%27 s - arce ......
Matriz de evaluación de riesgos obras set%27 s - arce ......Matriz de evaluación de riesgos obras set%27 s - arce ......
Matriz de evaluación de riesgos obras set%27 s - arce ......Henry Neyra Collao
 
Normas tecnicas peruanas
Normas tecnicas peruanasNormas tecnicas peruanas
Normas tecnicas peruanasGloriaOrbegoso
 
Codificación de los documentos
Codificación de los documentosCodificación de los documentos
Codificación de los documentosAlexander Guanipa
 
Análisis qué pasa sí what if
Análisis qué pasa sí what if Análisis qué pasa sí what if
Análisis qué pasa sí what if SST Asesores SAC
 
Sistema gestion de seguridad y salud en el trabajo
Sistema gestion de seguridad y salud en el trabajoSistema gestion de seguridad y salud en el trabajo
Sistema gestion de seguridad y salud en el trabajoGianfranco Albarracin Copaja
 
Riesgos matriz
Riesgos matrizRiesgos matriz
Riesgos matrizAlexander Velasque Rimac
 
Diagrama de flujo para el mantenimiento preventivo
Diagrama de flujo para el mantenimiento preventivoDiagrama de flujo para el mantenimiento preventivo
Diagrama de flujo para el mantenimiento preventivoJudith Lucero Arellan Farfan
 

Empfohlen

Gtc 45-sura
Gtc 45-suraGtc 45-sura
Gtc 45-suraKristhian Barragán
 
Matriz de evaluación de riesgos obras set%27 s - arce ......
Matriz de evaluación de riesgos obras set%27 s - arce ......Matriz de evaluación de riesgos obras set%27 s - arce ......
Matriz de evaluación de riesgos obras set%27 s - arce ......Henry Neyra Collao
 
Normas tecnicas peruanas
Normas tecnicas peruanasNormas tecnicas peruanas
Normas tecnicas peruanasGloriaOrbegoso
 
Codificación de los documentos
Codificación de los documentosCodificación de los documentos
Codificación de los documentosAlexander Guanipa
 
Análisis qué pasa sí what if
Análisis qué pasa sí what if Análisis qué pasa sí what if
Análisis qué pasa sí what if SST Asesores SAC
 
Sistema gestion de seguridad y salud en el trabajo
Sistema gestion de seguridad y salud en el trabajoSistema gestion de seguridad y salud en el trabajo
Sistema gestion de seguridad y salud en el trabajoGianfranco Albarracin Copaja
 
Riesgos matriz
Riesgos matrizRiesgos matriz
Riesgos matrizAlexander Velasque Rimac
 
Diagrama de flujo para el mantenimiento preventivo
Diagrama de flujo para el mantenimiento preventivoDiagrama de flujo para el mantenimiento preventivo
Diagrama de flujo para el mantenimiento preventivoJudith Lucero Arellan Farfan
 
norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacionPrimala Sistema de Gestion
 
Politicas de mantenimiento
Politicas de mantenimientoPoliticas de mantenimiento
Politicas de mantenimientoNarciso Figueras
 
Actos y condiciones inseguras
Actos y condiciones insegurasActos y condiciones inseguras
Actos y condiciones insegurasNataliia Rodriguez
 
Matriz de riesgos laborales
Matriz de riesgos laboralesMatriz de riesgos laborales
Matriz de riesgos laboralesHoracio Andres Peña y Lillo Goya
 
Trabajo en alturas
Trabajo en alturasTrabajo en alturas
Trabajo en alturasMarthalgonzalez
 
Resumen explicativo de la norma iso 9001
Resumen explicativo de la norma iso 9001Resumen explicativo de la norma iso 9001
Resumen explicativo de la norma iso 9001Esteban Saavedra Sepúlveda
 
Mapa de procesos constructora
Mapa de procesos constructoraMapa de procesos constructora
Mapa de procesos constructoraClíder Gliserio Miguel Palmadera
 
4.3. procedimiento para el trabajo seguro
4.3. procedimiento para el trabajo seguro4.3. procedimiento para el trabajo seguro
4.3. procedimiento para el trabajo seguroJonathan Javier Salazar Valladares
 
Mapa de procesos
Mapa de procesosMapa de procesos
Mapa de procesososcarreyesnova
 
Formato registro de acciones preventivas y correctivas - Juan Carlos Hoyos C...
Formato registro de acciones preventivas y correctivas - Juan Carlos Hoyos C...Formato registro de acciones preventivas y correctivas - Juan Carlos Hoyos C...
Formato registro de acciones preventivas y correctivas - Juan Carlos Hoyos C...Juan Carlos Hoyos Calderón
 
SISTEMA DE SEGURIDAD Y SALUD EN EL TRABAJO
SISTEMA DE SEGURIDAD Y SALUD EN EL TRABAJOSISTEMA DE SEGURIDAD Y SALUD EN EL TRABAJO
SISTEMA DE SEGURIDAD Y SALUD EN EL TRABAJOAIRUTEC
 
Señalización y Código de Colores
Señalización y Código de ColoresSeñalización y Código de Colores
Señalización y Código de ColoresAIRUTEC
 
Matriz IPER Oficina y Operacional - MasGas.docx
Matriz IPER Oficina y Operacional - MasGas.docxMatriz IPER Oficina y Operacional - MasGas.docx
Matriz IPER Oficina y Operacional - MasGas.docxsaditmayorca
 
Sistemas de información
Sistemas de informaciónSistemas de información
Sistemas de informaciónguestd49fa4
 
244796993 triptico-de-senales-1-pdf
244796993 triptico-de-senales-1-pdf244796993 triptico-de-senales-1-pdf
244796993 triptico-de-senales-1-pdfana marin
 
Formato registro de accidentes de trabajo y enfermedades profesionales NTC ...
Formato registro de accidentes de trabajo y enfermedades profesionales NTC ...Formato registro de accidentes de trabajo y enfermedades profesionales NTC ...
Formato registro de accidentes de trabajo y enfermedades profesionales NTC ...Juan Carlos Hoyos Calderón
 
Gestion De Seguridad Y Salud Ocupacional
Gestion De Seguridad Y Salud OcupacionalGestion De Seguridad Y Salud Ocupacional
Gestion De Seguridad Y Salud OcupacionalFIREHACK
 
Trabajos de alto riesgo
Trabajos de alto riesgoTrabajos de alto riesgo
Trabajos de alto riesgoYanet Caldas
 
IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN DE RIESGOS Y MEDIDAS DE CONTROL (IPERC)
IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN DE RIESGOS Y MEDIDAS DE CONTROL (IPERC)IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN DE RIESGOS Y MEDIDAS DE CONTROL (IPERC)
IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN DE RIESGOS Y MEDIDAS DE CONTROL (IPERC)oscperutelecoms
 
Monitoreo ocupacional iluminacion
Monitoreo ocupacional iluminacionMonitoreo ocupacional iluminacion
Monitoreo ocupacional iluminacionRoy Villacorta
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoSole Leraguii
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 

Weitere ähnliche Inhalte

Was ist angesagt?

Politicas de mantenimiento
Politicas de mantenimientoPoliticas de mantenimiento
Politicas de mantenimientoNarciso Figueras
 
Formato registro de acciones preventivas y correctivas - Juan Carlos Hoyos C...
Formato registro de acciones preventivas y correctivas - Juan Carlos Hoyos C...Formato registro de acciones preventivas y correctivas - Juan Carlos Hoyos C...
Formato registro de acciones preventivas y correctivas - Juan Carlos Hoyos C...Juan Carlos Hoyos Calderón
 
SISTEMA DE SEGURIDAD Y SALUD EN EL TRABAJO
SISTEMA DE SEGURIDAD Y SALUD EN EL TRABAJOSISTEMA DE SEGURIDAD Y SALUD EN EL TRABAJO
SISTEMA DE SEGURIDAD Y SALUD EN EL TRABAJOAIRUTEC
 
Señalización y Código de Colores
Señalización y Código de ColoresSeñalización y Código de Colores
Señalización y Código de ColoresAIRUTEC
 
Matriz IPER Oficina y Operacional - MasGas.docx
Matriz IPER Oficina y Operacional - MasGas.docxMatriz IPER Oficina y Operacional - MasGas.docx
Matriz IPER Oficina y Operacional - MasGas.docxsaditmayorca
 
Sistemas de información
Sistemas de informaciónSistemas de información
Sistemas de informaciónguestd49fa4
 
244796993 triptico-de-senales-1-pdf
244796993 triptico-de-senales-1-pdf244796993 triptico-de-senales-1-pdf
244796993 triptico-de-senales-1-pdfana marin
 
Formato registro de accidentes de trabajo y enfermedades profesionales NTC ...
Formato registro de accidentes de trabajo y enfermedades profesionales NTC ...Formato registro de accidentes de trabajo y enfermedades profesionales NTC ...
Formato registro de accidentes de trabajo y enfermedades profesionales NTC ...Juan Carlos Hoyos Calderón
 
Gestion De Seguridad Y Salud Ocupacional
Gestion De Seguridad Y Salud OcupacionalGestion De Seguridad Y Salud Ocupacional
Gestion De Seguridad Y Salud OcupacionalFIREHACK
 
Trabajos de alto riesgo
Trabajos de alto riesgoTrabajos de alto riesgo
Trabajos de alto riesgoYanet Caldas
 
IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN DE RIESGOS Y MEDIDAS DE CONTROL (IPERC)
IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN DE RIESGOS Y MEDIDAS DE CONTROL (IPERC)IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN DE RIESGOS Y MEDIDAS DE CONTROL (IPERC)
IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN DE RIESGOS Y MEDIDAS DE CONTROL (IPERC)oscperutelecoms
 
Monitoreo ocupacional iluminacion
Monitoreo ocupacional iluminacionMonitoreo ocupacional iluminacion
Monitoreo ocupacional iluminacionRoy Villacorta
 

Was ist angesagt? (20)

norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion
 
Politicas de mantenimiento
Politicas de mantenimientoPoliticas de mantenimiento
Politicas de mantenimiento
 
Actos y condiciones inseguras
Actos y condiciones insegurasActos y condiciones inseguras
Actos y condiciones inseguras
 
Matriz de riesgos laborales
Matriz de riesgos laboralesMatriz de riesgos laborales
Matriz de riesgos laborales
 
Trabajo en alturas
Trabajo en alturasTrabajo en alturas
Trabajo en alturas
 
Resumen explicativo de la norma iso 9001
Resumen explicativo de la norma iso 9001Resumen explicativo de la norma iso 9001
Resumen explicativo de la norma iso 9001
 
Mapa de procesos constructora
Mapa de procesos constructoraMapa de procesos constructora
Mapa de procesos constructora
 
4.3. procedimiento para el trabajo seguro
4.3. procedimiento para el trabajo seguro4.3. procedimiento para el trabajo seguro
4.3. procedimiento para el trabajo seguro
 
Mapa de procesos
Mapa de procesosMapa de procesos
Mapa de procesos
 
Formato registro de acciones preventivas y correctivas - Juan Carlos Hoyos C...
Formato registro de acciones preventivas y correctivas - Juan Carlos Hoyos C...Formato registro de acciones preventivas y correctivas - Juan Carlos Hoyos C...
Formato registro de acciones preventivas y correctivas - Juan Carlos Hoyos C...
 
SISTEMA DE SEGURIDAD Y SALUD EN EL TRABAJO
SISTEMA DE SEGURIDAD Y SALUD EN EL TRABAJOSISTEMA DE SEGURIDAD Y SALUD EN EL TRABAJO
SISTEMA DE SEGURIDAD Y SALUD EN EL TRABAJO
 
Señalización y Código de Colores
Señalización y Código de ColoresSeñalización y Código de Colores
Señalización y Código de Colores
 
Matriz IPER Oficina y Operacional - MasGas.docx
Matriz IPER Oficina y Operacional - MasGas.docxMatriz IPER Oficina y Operacional - MasGas.docx
Matriz IPER Oficina y Operacional - MasGas.docx
 
Sistemas de información
Sistemas de informaciónSistemas de información
Sistemas de información
 
244796993 triptico-de-senales-1-pdf
244796993 triptico-de-senales-1-pdf244796993 triptico-de-senales-1-pdf
244796993 triptico-de-senales-1-pdf
 
Formato registro de accidentes de trabajo y enfermedades profesionales NTC ...
Formato registro de accidentes de trabajo y enfermedades profesionales NTC ...Formato registro de accidentes de trabajo y enfermedades profesionales NTC ...
Formato registro de accidentes de trabajo y enfermedades profesionales NTC ...
 
Gestion De Seguridad Y Salud Ocupacional
Gestion De Seguridad Y Salud OcupacionalGestion De Seguridad Y Salud Ocupacional
Gestion De Seguridad Y Salud Ocupacional
 
Trabajos de alto riesgo
Trabajos de alto riesgoTrabajos de alto riesgo
Trabajos de alto riesgo
 
IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN DE RIESGOS Y MEDIDAS DE CONTROL (IPERC)
IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN DE RIESGOS Y MEDIDAS DE CONTROL (IPERC)IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN DE RIESGOS Y MEDIDAS DE CONTROL (IPERC)
IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN DE RIESGOS Y MEDIDAS DE CONTROL (IPERC)
 
Monitoreo ocupacional iluminacion
Monitoreo ocupacional iluminacionMonitoreo ocupacional iluminacion
Monitoreo ocupacional iluminacion
 

Ähnlich wie Normas tecnicas peruanas

Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoSole Leraguii
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsisantosperez
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)""Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"Miguel A. Amutio
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacionC2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacionJesus Ponce
 
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...edwin damian pavon
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacionGeGuMe
 
Unidad 2 norma_iso17799
Unidad 2 norma_iso17799Unidad 2 norma_iso17799
Unidad 2 norma_iso17799ludemer
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadedwin damian pavon
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...Miguel A. Amutio
 

Ähnlich wie Normas tecnicas peruanas (20)

Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicano
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Tarea moncayo tunala
Tarea moncayo tunalaTarea moncayo tunala
Tarea moncayo tunala
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)""Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Superior
SuperiorSuperior
Superior
 
Expiso17799
Expiso17799Expiso17799
Expiso17799
 
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacionC2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
 
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacion
 
Unidad 2 norma_iso17799
Unidad 2 norma_iso17799Unidad 2 norma_iso17799
Unidad 2 norma_iso17799
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
 
NTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdfNTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdf
 

Normas tecnicas peruanas

  • 1. BASADO EN EL ISO 17799 SOBRE SEGURIDAD INFORMATICA
  • 2. La Normalización es una actividad necesaria, de elevada importancia que según AENOR (1993) "pretende establecer un proceso por el cual se unifican criterios respecto a determinadas materias y se posibilita la utilización de un lenguaje común en un campo de actividad concreto", y que además puede ser creativa y apasionante si se enfoca adecuadamente.
  • 3. Es la expresión práctica de la normalización mediante la cual el fabricante, consumidores, usuarios y administradores acuerdan las características técnicas que deberá reunir un producto o un servicio. La ISO (1992) la define como: "Especificación técnica accesible al público, establecida con la cooperación y el consenso o la aprobación general de todas las partes interesadas, basadas en los resultados conjuntos de la ciencia y la tecnología y la experiencia, que tiene por objetivo el beneficio óptimo de la comunidad y que ha sido aprobado por un organismo cualificado a nivel nacional, regional o internacional." Es decir que es un documento técnico voluntario que contiene especificaciones de calidad, terminología, métodos de ensayo, información de rotulado, etc.
  • 4. Fabricantes a través de sus organizaciones sectoriales y en su condición de empresa; Usuarios y consumidores a través de sus organizaciones y a título personal; Administración pública, como veladora del bien público y de los intereses de los ciudadanos; Centros de investigación y laboratorios aportando su experiencia y dictamen técnico; Profesionales a través de asociaciones y colegios profesionales o empresas; Expertos en el tema que se normalice, nombrados a título personal"
  • 5. En Perú, la Normalización como actividad sistemática y organizada es de origen reciente. Como primer intento de unificación, se dio la Ley de Pesas y Medidas el 16 de diciembre de 1862, siendo Presidente el General Miguel San Román, por la que se estableció el Sistema Métrico Decimal, cambiando las unidades de medida usadas hasta ese momento en el país, que se derivaran principalmente de las coloniales e incaicas. Posteriormente, la preocupación por la normalización se plasma en una serie de reglamentos y códigos de construcción.
  • 6. La normalización tal como se entiende actualmente, se inicia con la creación del Instituto Nacional de Normas Técnicas Industriales y Certificación (INANTIC) con ley de Promoción Industrial Nº 13270 de noviembre de 1959, que continuó sus actividades hasta 1970. La Ley General de Industrias D.L. Nº 18350 y posteriormente, los D.L. 19262 y 19565 crean y fijan objetivos y funciones del Instituto Nacional de Investigación Tecnológica y Normas Técnicas (ITINTEC), que funcionó hasta noviembre de 1992. Actualmente las labores de normalización están a cargo del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI), creado por Ley 25818 del 24 de noviembre de 1992.
  • 7.  La Organización Internacional para la Estandarización (ISO) es una federación de alcance mundial integrada por cuerpos de estandarización nacionales de 130 países, uno por cada país. La ISO es una organización no gubernamental establecida en 1947. La misión de la ISO es promover el desarrollo de la estandarización y las actividades con ella relacionada en el mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la cooperación en la esfera de lo intelectual, científico, tecnológico y económico. Todos los trabajos realizados por la ISO resultan en acuerdos internacionales los cuales son publicados como Estándares Internacionales.
  • 8. ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. ISO 17799 define la información como un activo que posee valor para organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.
  • 9. La seguridad de la información se define como la preservación de Integridad, Disponibilidad y Confidencialidad de los activos de información. El objetivo de la norma es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad. La adaptación peruana de la norma es la NORMA TECNICA PERUANA NTP-ISO/IEC 17799
  • 10.  La presente Norma Técnica Peruana fue elaborada por el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI), mediante el Sistema 1 u Adopción, durante los meses de agosto a noviembre del 2003, utilizando como antecedente a la Norma ISO/IEC 17799:2000 Information technology – Code of practice for information security management.  El Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI) presentó a la Comisión de Reglamentos Técnico y Comerciales -CRT, con fecha 2003-12-02, el PNTP-ISO/IEC 17799:2003 para su revisión y aprobación; siendo sometido a la etapa de Discusión Pública el 2004-01-27. No habiéndose presentado ninguna observación, fue oficializada como Norma Técnica Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, 1ª Edición, el 27 marzo del 2004.
  • 11. En Perú la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde el año 2004, estandarizando de esta forma los diversos proyectos y metodologías en este campo, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales, la supervisión de su cumplimiento esta a cargo de la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI. ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información.
  • 12. La seguridad de la Información se define en el estándar como la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran).
  • 13. Política de seguridad Aspectos organizativos para la seguridad Clasificación y control de activos Seguridad ligada al personal Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Gestión de incidentes de seguridad de la información Gestión de continuidad de negocio Conformidad
  • 14. Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades. Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos en el 2007.
  • 15. Se encarga de dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos del negocio, las leyes y regulaciones. La gerencia debería establecer de forma clara las líneas de la política de actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una política de seguridad en toda la organización.
  • 16.  Gestionar la seguridad de la información dentro de la organización.  Se deberá tomar una estructura de gestión para iniciar y controlar la implantación de la seguridad de la información dentro de la organización.  Es conveniente organizar foros de gestión adecuadas con las gerencias para aprobar la política de seguridad de la información, asignar roles de seguridad y coordinar la implantación de la seguridad en toda la organización.  Si fuera necesario, se debería facilitarse el acceso dentro de la organización a un equipo de consultores especializados en seguridad de la información. Deberían desarrollarse contactos con especialistas externos de seguridad para mantener al día en las tendencias de la industria. La evolución de las normas y los métodos de evaluación, así como tener un punto de enlace para tratar las incidencias de seguridad. Debería fomentarse un enfoque multidisciplinario de la seguridad de la información.
  • 17. Mantener una protección adecuada sobre los activos de la organización. Todos los activos deben ser considerados y tener un propietario asignado. Deberían identificarse los propietarios para todos los activos importantes. Y se debería asignar la responsabilidad del mantenimiento de los controles apropiados. La responsabilidad de la implantación de controles debería delegarse. Pero la responsabilidad debería mantenerse en el propietario designado al activo.
  • 18. Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades y que sean adecuados para los roles que han sido considerados, reduciendo el riesgo de hurto, fraude o mal uso de instalaciones. Las responsabilidades de la seguridad se deben tratar antes del empleo en funciones adecuadas descritas y en términos y condiciones del empleo. Todos los candidatos para empleo, contratistas y usuarios de terceros deben ser adecuadamente seleccionados, especialmente para trabajos sensibles. Empleados, contratistas, y terceros que utilizan las instalaciones del procedimiento de la información deben firmar un acuerdo de confidencialidad.
  • 19. Evitar acceso no autorizados, daños de interferencias contra los locales u la información de la organización. Los recursos para el tratamiento de información crítica o sensible para la organización deberían ubicarse en áreas seguras protegidas por un perímetro de seguridad definido, con barreras de seguridad y controles de entrada apropiados. Se debería dar protección física contra accesos no autorizados, daños e interferencias. Dicha proporción debería ser proporcionada a los riesgos identificados.
  • 20. Asegurar la operación correcta y segura de los recursos de tratamiento informáticos. Se debería establecer responsabilidades y procedimientos para la gestión y operaciones de todos los recursos de tratamiento de información. Esto incluye el desarrollo de instrucciones apropiadas de operación y procedimientos de la respuesta ante incidencias. Se impulsará la segregación de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso del sistema deliberado o por negligencia. 
  • 21. Controlar los accesos a la información. Se debería controlar el acceso a la información y los procesos del negocio sobre la base de los requisitos de seguridad y negocios. Se deberían tener en cuenta para ellos las políticas de distribución de la información y de autorizaciones.
  • 22. Asegurar que la seguridad esté imbuida dentro de los sistemas de información. Esto incluirá la infraestructura, las aplicaciones de negocios y las aplicaciones desarrolladas por usuarios. El diseño y la implantación de los procesos de negocios que soportan las aplicaciones o el servicio, pueden ser cruciales para la seguridad. Los requisitos de seguridad deberían ser identificados y consensuados antes de desarrollar los sistemas de información.
  • 23. Asegurar que los eventos y debilidades en la seguridad de información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva a tiempo. El reporte formal de eventos y los procedimientos de escalada deben estar implementados. Todos los empleados, contratistas y terceros deben estar al tanto de los procedimientos para reportar los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad de los activos organizacionales. Se les debe requerir que reporten cualquier evento o debilidad en la seguridad de información, lo más rápido posible, al punto de contacto designado.
  • 24. Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a grandes fallos de los sistemas de información o desastres.
  • 25. Evitar los incumplimientos de cualquier ley civil o penal, reglamentario, regulación u oblicacion contractual, y de todo requisito de seguridad. El diseño, operación, uso y gestión de los sistemas de información puede estar sujeto a requisitos estatuarios, regulatorios y contractuales de seguridad. Se debería buscar el asesoramiento sobre requisitos legales específicos de los asesores legales de la organización, o de profesionales del derecho calificados. Los requisitos legales varían de un país a otro, al igual que en el caso de las transmisiones internacionales de datos(datos creados en un país y transmitidos a otro).
  • 26.
  • 27.
  • 28. La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento.