Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

OFIN: Proyecto seguridad del producto software

473 Aufrufe

Veröffentlicht am

OFIN: Proyecto seguridad del producto software

Veröffentlicht in: Business
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

OFIN: Proyecto seguridad del producto software

  1. 1. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 1 de 10 Norma de Seguridad del Producto Software
  2. 2. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 2 de 10 Identificación del documento Historial de cambios Rol Nombre Cargo Fecha Firma Elaboración Elia Muñoz Responsable del Equipo de Calidad 05/07/2013 Revisión Elia Muñoz Responsable del Equipo de Calidad 15/11/2013 Revisión Jack Cáceres Responsable del Área de Calidad, Seguridad de la Información y PIP 15/11/2013 Revisión Grover Cerquera Jefe del Área de Operaciones Aprobación Sandro Marcone Jefe de OFIN Versión Autor Descripción Fecha V 1.0 Elia Muñoz Documento original 05/07/2013 V 1.1 Jack Cáceres Actualización técnica 18/11/2013 V 1.2
  3. 3. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 3 de 10 Tabla de contenido 1 OBJETIVO............................................................................................................................... 4 2 ALCANCE................................................................................................................................ 4 3 RESPONSABILIDADES............................................................................................................. 4 4 NORMAS CONSULTADAS....................................................................................................... 4 5 DEFINICIONES........................................................................................................................ 5 6 CONDICIONES GENERALES..................................................................................................... 7 7 CONDICIONES ESPECÍFICAS.................................................................................................... 9 8 DESCRIPCION DEL PROCEDIMIENTO...................................................................................... 9 9 FORMATOS.......................................................................................................................... 10 10 ANEXOS ............................................................................................................................... 10
  4. 4. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 4 de 10 1 OBJETIVO Normar las actividades necesarias para asegurar que el producto software a implementarse en el Ministerio de Educación cuentecon las condiciones mínimasde seguridad lógica establecidas por la institución. 2 ALCANCE Incluye el producto software resultante de un proyecto, cuyo desarrollo ha sido realizado con recursos propios o ha sido encargado a terceros. Incluye el producto software sujeto a mantenimiento, y que ha sido realizado con recursos propios o por terceros. 3 RESPONSABILIDADES El equipo comprometido con la seguridad del producto software es el siguiente: • Gestor de Soluciones TIC: Promueve reuniones y participa en ellas, elabora las actas de reunión sobre los acuerdos tomados. Estarán informados acerca del avance del proyecto. Informan al líder usuario sobre la evaluación del aseguramiento y control de calidad y de la evaluación de seguridad del producto software que OFIN realizará. • Responsable de Desarrollo: Tiene a su cargo a los gestores de proyectos. Es responsable de controlar, cumplir y hacer cumplir las normas institucionales en cuanto al mantenimiento, desarrollo y seguridad del producto software. • Gestor de Proyecto: Es el responsable del proyecto. Tiene a su cargo al Analista Funcional, Líder Técnico, Programador. Es responsable de cumplir y hacer cumplir la norma. • Especialista de Seguridad de la Información: Valida que las condiciones de seguridad mínimas establecidas por la institución hayan sido incorporadas en el mantenimiento o desarrollo del producto software. 4 NORMAS CONSULTADAS RM Nº 246-2007-PCM, aprueban uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de
  5. 5. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 5 de 10 la seguridad de la información. 2a. Edición” en todas las entidades integrantes del Sistema Nacional de Informática. RM Nº 129-2012-PCM, aprueban el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de seguridad de la Información. Requisitos” en todas las entidades integrantes del Sistema Nacional de Informática. NTP ISO 9000 2007 Sistemas de gestión de la calidad. Fundamentos y vocabulario. NTP ISO 9001:2009 Sistemas de gestión de la calidad. Requisitos. 5 DEFINICIONES Auditoría Una auditoría es un proceso sistémico, crítico, cuantitativo y detallista, basado en la evidencia, y realizado por un tercero, competente, distinto y sin relación con quien preparó o se relaciona con la información motivo de la auditoría, y que tampoco tiene relación directa con la información que se audita. Este proceso es necesario para determinar la autenticidad, integridad y calidad de la información que se produce, con el propósito de determinar e informar sobre el grado de correspondencia existente entre la información cuantificable y los criterios establecidos. El objetivo de la auditoría es garantizar objetividad e imparcialidad durante el proceso. Es evitar que el auditor sea juez y parte en cuanto a la evaluación que se realiza ya que contraviene toda recomendación moderna de auditoría y buena práctica operativa. Requisito La ISO 9000 distingue entre requisitos para los sistemas de gestión de la calidad y requisitos para los productos. Los requisitos para los sistemas de gestión de la calidad se especifican en la norma ISO 9001. Los requisitos para los sistemas de gestión de la calidad son genéricos y aplicables a organizacionesdecualquiersector económico eindustrialcon dependencia de la categoría del producto ofrecido. La norma ISO 9001 no establece requisitos para los productos.
  6. 6. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 6 de 10 Los requisitos para los productos pueden ser especificados por los clientes, por la organización anticipándose a los requisitos del cliente, o por disposiciones reglamentarias. Los requisitos para los productos y, en algunos casos, los procesos asociados pueden estar contenidos en, por ejemplo: especificaciones técnicas, normas de producto, normas de proceso, acuerdos contractuales y requisitos reglamentarios. Según INTECO: un requisito es una condición o capacidad necesitada por un usuario para solucionar un problema o conseguir un objetivo que debe ser satisfecho o poseído por un sistema o un componente de un sistema para satisfacer un contrato, estándar, especificación u otro tipo de documento. Un requisito es parte del diseño del servicio. Es una declaración formal de lo que se necesita. Por ejemplo, un requisito de nivel de servicio, un requisito de proyecto o de los servicios a prestar que se requiere para un proceso. (ITIL® V3 Glosario v2.1, 30 de mayo del 2007). En este contexto, la seguridad de la información es un requisito que debe estar incorporado en el producto software, desde su concepción. Seguridad de la información La seguridad de la información implica "Preservar la confidencialidad, integridad y disponibilidad de la información; además, también pueden ser involucradas otras características como autenticación, responsabilidad, no-repudio y fiabilidad". [ISO/IEC 17799:2005] Según la ISO/IEC 13335-1:2004, norma que trata los conceptos y modelos para la gestión de la seguridad de las tecnologías de la información y comunicaciones: • La disponibilidad implica "Garantizar que los usuarios autorizados tengan acceso a la información y activos asociados cuando sea necesario". • La confidencialidad implica "Garantizar que la información sea accesible únicamente para quienes tengan acceso autorizado". • La integridad implica "Salvaguardar la exactitud e integridad de la información y activos asociados".
  7. 7. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 7 de 10 6 CONDICIONES GENERALES La evaluación a realizar debe ser de conocimiento previo del propietario del producto software o líder usuario. El Comité de Proyectos (PMO, o la organización que cumpla este cometido o alguien que haga sus veces) deberá informar sobre los requerimientos de Proyectos que se desarrollarán con el fin de planificar la asignación del personal que estará a cargo de la Seguridad de la Información. El Gestor de Soluciones TIC o el Gestor del Proyecto deben concientizar al usuario que solicitó el desarrollo del proyecto a cerca de la propiedad de los activos de información. Según el control A.7.1.2 de la NTP ISO/IEC 27001:2008, la propiedad de los activos está descrita como sigue: La aplicabilidad del Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información dependerá, tanto de la envergadura del desarrollo o mantenimiento del producto software, como de su condición de haber sido desarrollado por OFIN o por terceros. La conducción de las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información tiene carácter de auditoría interna. La auditoría interna se realiza en cumplimiento de la cláusula 6 de la NTP ISO/IEC 27001:2008:
  8. 8. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 8 de 10 Laspruebascontenidas en dicha lista de chequeo buscan verificarelcumplimiento delproducto software evaluado teniendo como referencia la norma técnica peruana NTP ISO/IEC 27001:2008. • "La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización [ISO/IEC 13335-1:2004] y requiere en consecuencia una protección adecuada. Esto es muy importante en el creciente ambiente interconectado de negocios. Como resultado de esta creciente interconectividad, la información está expuesta a un mayor rango de amenazas y vulnerabilidades. • La información adopta diversas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en video o hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.
  9. 9. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 9 de 10 • La seguridad de la información protege a ésta de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio [enfoque social]. • La seguridad de la información se consigue implantando un conjunto adecuado de controles, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y funciones de software y hardware. • Estos controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario, para asegurar que se cumplan los objetivos específicos de seguridad y negocios de la organización". [RM Nº 246-2007-PCM: Uso obligatorio de la NTP ISO/IEC 17799:2007]. 7 CONDICIONES ESPECÍFICAS Durante la ejecución de las pruebas el Especialista en Seguridad de la Información actúa como Auditor Interno. El Especialista en Seguridad de la Información supervisará la ejecución de las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información, y certificará los resultados obtenidos. La responsabilidad por la ejecución de las pruebas es del usuario o del especialista a quien se ha delegado la tarea. El Especialista en Seguridad de la Información anota el resultado obtenido (CONFORME / NO CONFORME) en la misma lista de chequeo. Todos los participantes en las pruebas firman la lista de chequeo. El Especialista en Seguridad de la Información emite el informe correspondiente con el detalle de los resultados obtenidos. 8 DESCRIPCION DEL PROCEDIMIENTO N° ACCIÓN RESPONSABLE 1 Ejecutar las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información Usuario o especialista responsabilizado
  10. 10. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 10 de 10 N° ACCIÓN RESPONSABLE 2 Supervisar la ejecución de las pruebas Especialista en Seguridad de la Información 3 Anotar los resultados de la ejecución en la lista de chequeo: CONFORME o NO CONFORME Especialista en Seguridad de la Información 4 Firmar la lista de chequeo Todos los participantes en las pruebas 5 Emitir el informe correspondiente con el detalle de los resultados obtenidos Especialista en Seguridad de la Información 9 FORMATOS Ninguno. 10 ANEXOS  CheckList de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información

×