You are on page 1of 43

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

TABLA DE CONTENIDO Pgina 0. 0.1 0.2 0.3 1. 1.1 1.2 2. 3. 4. 4.1 4.2 4.3 5. 5.1 5.2 6. INTRODUCCIN..........................................................................................................I GENERALIDADES......................................................................................................I ENFOQUE BASADO EN PROCESOS........................................................................I COMPATIBILIDAD CON OTROS SISTEMAS DE GESTIN....................................III OBJETO......................................................................................................................1 GENERALIDADES.....................................................................................................1 APLICACIN..............................................................................................................1 REFERENCIAS NORMATIVAS .................................................................................2 TRMINOS Y DEFINICIONES....................................................................................2 SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN......................4 REQUISITOS GENERALES.......................................................................................4 ESTABLECIMIENTO Y GESTIN DEL SGSI............................................................4 REQUISITOS DE DOCUMENTACIN........................................................................9 RESPONSABILIDAD DE LA DIRECCIN...............................................................11 COMPROMISO DE LA DIRECCIN.........................................................................11 GESTIN DE RECURSOS.......................................................................................11 AUDITORAS INTERNAS DEL SGSI .......................................................................12

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Pgina 7. 7.1 7.2 7.3 8. 8.1 8.2 8.3 REVISIN DEL SGSI POR LA DIRECCIN............................................................13 GENERALIDADES....................................................................................................13 INFORMACIN PARA LA REVISIN......................................................................13 RESULTADOS DE LA REVISIN............................................................................13 MEJORA DEL SGSI..................................................................................................14 MEJORA CONTINUA...............................................................................................14 ACCIN CORRECTIVA............................................................................................14 ACCIN PREVENTIVA.............................................................................................15

ANEXO A OBJETIVOS DE CONTROL Y CONTROLES.......................................................................16 ANEXO B PRINCIPIOS DE OCDE Y DE ESTA NORMA INTERNACIONAL........................................34 ANEXO C CORRESPONDENCIA ENTRE LA ISO 9001:2000, LA ISO 14001:1996, Y LA PRESENTE NORMA INTERNACIONAL..................................................................35

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

0. 0.1

INTRODUCCIN GENERALIDADES

Esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora de un sistema de gestin de la seguridad de la informacin (SGSI). La adopcin de un SGSI debera ser una decisin estratgica para una organizacin. El diseo e implementacin del SGSI de una organizacin estn influenciados por las necesidades y objetivos, los requisitos de seguridad, los procesos empleados y el tamao y estructura de la organizacin. Se espera que estos aspectos y sus sistemas de apoyo cambien con el tiempo. Se espera que la implementacin de un SGSI se ajuste de acuerdo con las necesidades de la organizacin, por ejemplo, una situacin simple requiere una solucin de SGSI simple. Esta norma se puede usar para evaluar la conformidad, por las partes interesadas, tanto internas como externas. 0.2 ENFOQUE BASADO EN PROCESOS

Esta norma promueve la adopcin de un enfoque basado en procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de una organizacin. Para funcionar eficazmente, una organizacin debe identificar y gestionar muchas actividades. Se puede considerar como un proceso cualquier actividad que use recursos y cuya gestin permita la transformacin de entradas en salidas. Con frecuencia, el resultado de un proceso constituye directamente la entrada del proceso siguiente. La aplicacin de un sistema de procesos dentro de una organizacin, junto con la identificacin e interacciones entre estos procesos, y su gestin, se puede denominar como un enfoque basado en procesos. El enfoque basado en procesos para la gestin de la seguridad de la informacin, presentado en esta norma, estimula a sus usuarios a hacer nfasis en la importancia de: a) comprender los requisitos de seguridad de la informacin del negocio, y la necesidad de establecer la poltica y objetivos en relacin con la seguridad de la informacin; implementar y operar controles para manejar los riesgos de seguridad de la informacin de una organizacin en el contexto de los riesgos globales del negocio de la organizacin; el seguimiento y revisin del desempeo y eficacia del SGSI, y la mejora continua basada en la medicin de objetivos. I

b)

c) d)

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Esta norma adopta el modelo de procesos Planificar-Hacer-Verificar-Actuar (PHVA), que se aplica para estructurar todos los procesos del SGSI. La Figura 1 ilustra cmo el SGSI toma como elementos de entrada los requisitos de seguridad de la informacin y las expectativas de las partes interesadas, y a travs de las acciones y procesos necesarios produce resultados de seguridad de la informacin que cumplen estos requisitos y expectativas. La Figura 1 tambin ilustra los vnculos en los procesos especificados en los numerales 4, 5, 6, 7 y 8. La adopcin del modelo PHVA tambin reflejar los principios establecidos en las Directrices OCDE (2002) 1 que controlan la seguridad de sistemas y redes de informacin. Esta norma brinda un modelo robusto para implementar los principios en aquellas directrices que controlan la evaluacin de riesgos, diseo e implementacin de la seguridad, gestin y reevaluacin de la seguridad.
EJEMPLO 1 Un requisito podra ser que las violaciones a la seguridad de la informacin no causen dao financiero severo a una organizacin, ni sean motivo de preocupacin para sta. EJEMPLO 2 Una expectativa podra ser que si ocurre un incidente serio, como por ejemplo el hacking del sitio web de una organizacin, haya personas con capacitacin suficiente en los procedimientos apropiados, para minimizar el impacto.

P a r te s in te r e s a d a s

P la n ific a r E s ta b le c e r el SG SI

P a r te s in te re s a d a s

Im p le m e n ta r A c tu a r y o p e r a r el SG SI

M a n te n e r y m e jo r a r A c tu a r el SG SI

R e q u is ito s y e x p e c ta tiv a s d e s e g u r id a d d e la in fo rm a c i n

H acer s e g u im ie n to y re v is a r e l S G S I V e r ific a r

S e g u r id a d d e la in fo r m a c i n g e s tio n a d a

Figura 1. Modelo PHVA aplicado a los procesos de SGSI

Directrices OCDE para la seguridad de sistemas y redes de informacin. Hacia una cultura de la seguridad. Pars: OCDE, Julio de 2002. www.oecd.org.

II

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA


Planificar (establecer el SGSI)

NTC

DE 204/05
Establecer la poltica, los objetivos, procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la informacin, con el fin de entregar resultados acordes con las polticas y objetivos globales de una organizacin. Implementar y operar la poltica, los controles, procesos y procedimientos del SGSI. Evaluar, y, en donde sea aplicable, medir el desempeo del proceso contra la poltica y los objetivos de seguridad y la experiencia prctica, y reportar los resultados a la direccin, para su revisin. Emprender acciones correctivas y preventivas con base en los resultados de la auditora interna del SGSI y la revisin por la direccin, para lograr la mejora continua del SGSI.

Hacer (implementar y operar el SGSI) Verificar (hacer seguimiento y revisar el SGSI)

Actuar (mantener y mejorar el SGSI)

0.3

COMPATIBILIDAD CON OTROS SISTEMAS DE GESTIN

Esta norma est alineada con la ISO 9001:2000 y la ISO 14001:2004, con el fin de apoyar la implementacin y operacin, consistentes e integradas con sistemas de gestin relacionados. Un sistema de gestin diseado adecuadamente puede entonces satisfacer los requisitos de todas estas normas. La Tabla C.1 ilustra la relacin entre los numerales de esta norma, la norma ISO 9001:2000 y la ISO 14001:2004. Esta norma est diseada para permitir que una organizacin alinee o integre su SGSI con los requisitos de los sistemas de gestin relacionados.

III

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

TECNOLOGA DE LA INFORMACIN. TCNICAS DE SEGURIDAD. SISTEMAS DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN (SGSI). REQUISITOS
IMPORTANTE esta publicacin no pretende incluir todas las disposiciones necesarias de un contrato. Los usuarios son responsables de su correcta aplicacin. El cumplimiento con una norma en s misma no confiere exencin de las obligaciones legales.

1. 1.1

OBJETO GENERALIDADES

Esta norma cubre todo tipo de organizaciones (por ejemplo: empresas comerciales, agencias gubernamentales, organizaciones si nimo de lucro). Esta norma especifica los requisitos para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organizacin. Especifica los requisitos para la implementacin de controles de seguridad adaptados a las necesidades de las organizaciones individuales o a partes de ellas. El SGSI est diseado para asegurar controles de seguridad suficientes y proporcionales que protejan los activos de informacin y brinden confianza a las partes interesadas.
NOTA 1 Las referencias que se hacen en esta norma a negocio se deberan interpretar ampliamente como aquellas actividades que son esenciales para la existencia de la organizacin. NOTA 2 La ISO/IEC 17799 brinda orientacin sobre la implementacin, que se puede usar cuando se disean controles.

1.2

APLICACIN

Los requisitos establecidos en esta norma son genricos y estn previstos para ser aplicables a todas las organizaciones, independientemente de su tipo, tamao y naturaleza. No es aceptable la exclusin de cualquiera de los requisitos especificados en los numerales 4, 5, 6, 7 y 8 cuando una organizacin declara conformidad con la presente norma. Cualquier exclusin de controles, considerada necesaria para satisfacer los criterios de aceptacin de riesgos, necesita justificarse y debe suministrarse evidencia de que los riesgos asociados han sido aceptados apropiadamente por las personas responsables. En donde se excluya cualquier control, las declaraciones de conformidad con esta norma no son aceptables a menos que dichas exclusiones no afecten la capacidad de la organizacin y/o la responsabilidad para ofrecer seguridad de la informacin que satisfaga los requisitos de seguridad determinados por la valoracin de riesgos y los requisitos reglamentarios aplicables.
NOTA Si una organizacin ya tiene en funcionamiento un sistema de gestin de los procesos de su negocio (por ejemplo: en relacin con la ISO 9001 o ISO 14001), en la mayora de los casos es preferible satisfacer los requisitos de la presente norma dentro de este sistema de gestin existente.

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA


2. REFERENCIAS NORMATIVAS

NTC

DE 204/05

Los siguientes documentos referenciados son indispensables para la aplicacin de esta norma. Para referencias fechadas, slo se aplica la edicin citada. Para referencias no fechadas, se aplica la ltima edicin del documento referenciado (incluida cualquier correccin). ISO/IEC 17799:2005, Information Technology. Security Techniques. Code of Practice for Information Security Management. 3. TRMINOS Y DEFINICIONES

Para los propsitos de esta norma, se aplican los siguientes trminos y definiciones: 3.1 aceptacin del riesgo decisin de asumir un riesgo. [Gua ISO/IEC 73:2002] 3.2. activo cualquier cosa que tiene valor para la organizacin. [ISO/IEC 13335-1:2004] 3.3 anlisis de riesgo uso sistemtico de la informacin para identificar las fuentes y estimar el riesgo. [Gua ISO/IEC 73:2002] 3.4 confidencialidad condicin de que la informacin no est disponible ni sea revelada a individuos, entidades o procesos no autorizados. [ISO/IEC 13335-1:2004] 3.5 declaracin de aplicabilidad documento que describe los objetivos de control y los controles pertinentes y aplicables para el SGSI de la organizacin.
NOTA Los objetivos de control y los controles se basan en los resultados y conclusiones de los procesos de valoracin y tratamiento de riesgos, requisitos legales o reglamentarios, obligaciones contractuales y los requisitos del negocio de la organizacin en cuanto a la seguridad de la informacin.

3.6 disponibilidad propiedad de que la informacin sea accesible y utilizable por solicitud de una entidad autorizada. [ISO/IEC 13335-1:2004] 2

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

3.7 evaluacin del riesgo proceso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar la importancia del riesgo. [Gua ISO/IEC 73:2002] 3.8 evento de seguridad de la informacin presencia identificada de una condicin de un sistema, servicio o red, que indica una posible violacin de la poltica de seguridad de la informacin o la falla de las salvaguardas, o una situacin desconocida previamente que puede ser pertinente a la seguridad. [ISO/IEC TR 18044:2004] 3.9 gestin del riesgo actividades coordinadas para dirigir y controlar una organizacin en relacin con el riesgo. [Gua ISO/IEC 73:2002] 3.10 incidente de seguridad de la informacin. un evento o serie de eventos de seguridad de la informacin no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la informacin. [ISO/IEC TR 18044:2004] 3.11 integridad propiedad de salvaguardar la exactitud y estado completo de los activos. [ISO/IEC 13335-1:2004] 3.12 riesgo residual nivel restante de riesgo despus del tratamiento del riesgo. [Gua ISO/IEC 73:2002] 3.13 seguridad de la informacin preservacin de la confidencialidad, la integridad y la disponibilidad de la informacin; adems, puede involucrar otras propiedades tales como: autenticidad, responsabilidad con obligacin de reportar (accountability), no repudio y fiabilidad. [ISO/IEC 17799:2005] 3.14 sistema de gestin de la seguridad de la informacin SGSI parte del sistema de gestin global, basada en un enfoque hacia los riesgos de un negocio, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la informacin. 3

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

NOTA El sistema de gestin incluye la estructura organizacional, polticas, actividades de planificacin, responsabilidades, prcticas, procedimientos, procesos y recursos.

3.15 tratamiento del riesgo proceso de seleccin e implementacin de medidas para modificar el riesgo. [Gua ISO/IEC 73:2002]
NOTA En la presente norma el trmino control se usa como sinnimo de medida.

3.16 valoracin del riesgo proceso global de anlisis y evaluacin del riesgo. [Gua ISO/IEC 73:2002] 4. 4.1 SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN REQUISITOS GENERALES

La organizacin debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado, en el contexto de las actividades globales del negocio de la organizacin y de los riesgos que enfrenta. Para los propsitos de esta norma, el proceso usado se basa en el modelo PHVA que se ilustra en la Figura 1. 4.2 4.2.1 ESTABLECIMIENTO Y GESTIN DEL SGSI Establecimiento del SGSI

La organizacin debe: a) Definir el alcance y lmites del SGSI en trminos de las caractersticas del negocio, la organizacin, su ubicacin, sus activos, tecnologa, e incluir los detalles y justificacin de cualquier exclusin del alcance (vase el numeral 1.2). Definir una poltica de SGSI en trminos de las caractersticas del negocio, la organizacin, su ubicacin, sus activos y tecnologa, que: 1) incluya un marco de referencia para fijar objetivos y establezca un sentido general de direccin y principios para la accin con relacin a la seguridad de la informacin; tenga en cuenta los requisitos del negocio, los legales o reglamentarios, y las obligaciones de seguridad contractuales; est alineada con el contexto organizacional estratgico de gestin del riesgo en el cual tendr lugar el establecimiento y mantenimiento del SGSI; 4

b)

2) 3)

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA


4) 5) c)

NTC

DE 204/05

establezca los criterios contra los cuales se evaluar el riesgo. (Vase el numeral 4.2.1, literal c) y; haya sido aprobada por la direccin.

Definir el enfoque organizacional para la valoracin del riesgo. 1) Identificar una metodologa de valoracin del riesgo que sea adecuada al SGSI y a los requisitos reglamentarios, legales y de seguridad de la informacin del negocio, identificados. Desarrollar criterios para la aceptacin de riesgos, e identificar los niveles de riesgo aceptables. (Vase el numeral 5.1, literal f).

2)

La metodologa seleccionada para valoracin de riesgos debe asegurar que dichas valoraciones producen resultados comparables y reproducibles.
NOTA Existen diferentes metodologas para la valoracin de riesgos. En el documento ISO/IEC TR 13335-3, Information technology. Guidelines for the management of IT security techniques for the management of IT security se presentan algunos ejemplos.

d)

Identificar los riesgos 1) 2) 3) 4) identificar los activos dentro del alcance del SGSI y los propietarios2 de estos activos. identificar las amenazas a estos activos. identificar las vulnerabilidades que podran ser aprovechadas por las amenazas. Identificar los impactos que la prdida de confidencialidad, integridad y disponibilidad puede tener sobre estos activos.

e)

Analizar y evaluar los riesgos. 1) valorar el impacto de negocios que podra causar una falla en la seguridad, sobre la organizacin, teniendo en cuenta las consecuencias de la prdida de confidencialidad, integridad o disponibilidad de los activos. valorar la posibilidad realista de que ocurra una falla en la seguridad, considerando las amenazas, las vulnerabilidades, los impactos asociados con estos activos, y los controles implementados actualmente. estimar los niveles de los riesgos.

2)

3)
2

El trmino propietario identifica a un individuo o entidad que tiene la responsabilidad, designada por la gerencia, de controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino propietario no quiere decir que la persona realmente tenga algn derecho de propiedad sobre el activo.

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA


4)

NTC

DE 204/05

determinar la aceptacin del riesgo o la necesidad de su tratamiento a partir de los criterios establecidos en el numeral 4.2.1, literal c).

f)

Identificar y evaluar las opciones para el tratamiento de los riesgos. Las posibles acciones incluyen: 1) 2) aplicar los controles apropiados. aceptar los riesgos con conocimiento y objetividad, siempre y cuando satisfagan claramente la poltica y los criterios de la organizacin para la aceptacin de riesgos (vase el numeral 4.2.1,literal c)); evitar riesgos, y transferir a otras partes los riesgos asociados con el negocio, por ejemplo: aseguradoras, proveedores, etc.

3) 4) g)

Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos. Los objetivos de control y los controles se deben seleccionar e implementar de manera que cumplan los requisitos identificados en el proceso de valoracin y tratamiento de riesgos. Esta seleccin debe tener en cuenta los criterios para la aceptacin de riesgos (vase el numeral 4.2.1. literal c)), al igual que los requisitos legales, reglamentarios y contractuales. Los objetivos de control y los controles del Anexo A se deben seleccionar como parte de este proceso, en tanto sean adecuados para cubrir estos requisitos. Los objetivos de control y los controles presentados en el Anexo A no son exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y controles adicionales.
NOTA El Anexo A contiene una lista amplia de objetivos de control y controles que comnmente se han encontrado pertinentes en las organizaciones. Se sugiere a los usuarios de esta norma consultar el Anexo A como punto de partida para la seleccin de controles, con el fin de asegurarse de que no se pasan por alto opciones de control importantes.

h) i) j)

Obtener la aprobacin de la direccin sobre los riesgos residuales propuestos. Obtener autorizacin de la direccin para implementar y operar el SGSI. Elaborar una declaracin de aplicabilidad. Se debe elaborar una declaracin de aplicabilidad que incluya: 1) 2) Los objetivos de control y los controles, seleccionados en el numeral 4.2.1, literal g) y las razones para su seleccin. Los objetivos de control y los controles implementados actualmente (vase el numeral 4.2.1., literal e) 2)), y

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA


3)

NTC

DE 204/05

La exclusin de cualquier objetivo de control y controles enumerados en el Anexo A y la justificacin para su exclusin.

NOTA La declaracin de aplicabilidad proporciona un resumen de las decisiones concernientes al tratamiento de los riesgos. La justificacin de las exclusiones permite validar que ningn control se omita involuntariamente.

4.2.2

Implementacin y operacin del SGSI

La organizacin debe: a) formular un plan para el tratamiento de riesgos que identifique la accin de gestin apropiada, los recursos, responsabilidades y prioridades para manejar los riesgos de seguridad de la informacin (vase el numeral 5); implementar el plan de tratamiento de riesgos para lograr los objetivos de control identificados, que incluye considerar la financiacin y la asignacin de funciones y responsabilidades; implementar los controles seleccionados en el numeral 4.2.1, literal g) para cumplir los objetivos de control; definir cmo medir la eficacia de los controles o grupos de controles seleccionados, y especificar cmo se van a usar estas mediciones con el fin de valorar la eficacia de los controles para producir resultados comparables y reproducibles (vase el numeral 4.2.3 literal c));
NOTA La medicin de la eficacia de los controles permite a los gerentes y al personal determinar la medida en que se cumplen los objetivos de control planificados.

b)

c) d)

e) f) g) h)

implementar programas de formacin y de toma de conciencia, (vase el numeral 5.2.2); gestionar la operacin del SGSI; gestionar los recursos del SGSI (vase el numeral 5.2); implementar procedimientos y otros controles para detectar y dar respuesta oportuna a los incidentes de seguridad (vase numeral 4.2.3).

4.2.3

Seguimiento y revisin del SGSI

La organizacin debe: a) Ejecutar procedimientos de seguimiento y revisin y otros controles para: 1) 2) 3) detectar rpidamente errores en los resultados del procesamiento; identificar con prontitud los incidentes e intentos de violacin a la seguridad, tanto los que tuvieron xito como los que fracasaron; posibilitar que la direccin determine si las actividades de seguridad 7

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

delegadas a las personas o implementadas mediante tecnologa de la informacin se estn ejecutando en la forma esperada; 4) 5) ayudar a detectar eventos de seguridad, y de esta manera impedir incidentes de seguridad mediante el uso de indicadores, y determinar si las acciones tomadas para solucionar un problema de violacin a la seguridad fueron eficaces.

b)

Emprender revisiones regulares de la eficacia del SGSI (que incluyen el cumplimiento de la poltica y objetivos del SGSI, y la revisin de los controles de seguridad) teniendo en cuenta los resultados de las auditorias de seguridad, incidentes, medicin de la eficacia sugerencias y retroalimentacin de todas las partes interesadas. Medir la eficacia de los controles para verificar que se han cumplido los requisitos de seguridad. Revisar las valoraciones de los riesgos a intervalos planificados, y revisar el nivel de riesgo residual y riesgo aceptable identificado, teniendo en cuenta los cambios en: 1) 2) 3) la organizacin, la tecnologa, los objetivos y procesos del negocio, 1) 2) las amenazas identificadas, la eficacia de los controles implementados, y

c) d)

3) eventos externos, tales como cambios en el entorno legal o reglamentario, en las obligaciones contractuales, y en el clima social. e) Realizar auditoras internas del SGSI a intervalos planificados (vase el numeral 6).
NOTA Las auditoras internas, denominadas algunas veces auditoras de primera parte, las realiza la propia organizacin u otra organizacin en su nombre, para propsitos internos.

f)

Emprender una revisin del SGSI, realizada por la direccin, en forma regular para asegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al proceso de SGSI (vase el numeral 7.1). Actualizar los planes de seguridad para tener en cuenta las conclusiones de las actividades de seguimiento y revisin. Registrar acciones y eventos que podran tener impacto en la eficacia o el desempeo del SGSI (vase el numeral 4.3.3).

g) h)

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA


4.2.4

NTC

DE 204/05

Mantenimiento y mejora del SGSI

La organizacin debe, regularmente: a) b) Implementar las mejoras identificadas en el SGSI; Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y las de la propia organizacin; Comunicar las acciones y mejoras a todas las partes interesadas, con un nivel de detalle apropiado a las circunstancias, y en donde sea pertinente, llegar a acuerdos sobre cmo proceder; Asegurar que las mejoras logran los objetivos previstos.

c)

d) 4.3 4.3.1

REQUISITOS DE DOCUMENTACIN Generalidades

La documentacin del SGSI debe incluir registros de las decisiones de la direccin, asegurar que las acciones sean trazables a las decisiones y polticas de la gerencia, y que los resultados registrados sean reproducibles. Es importante estar en capacidad de demostrar la relacin entre los controles seleccionados y los resultados del proceso de valoracin y tratamiento de riesgos, y seguidamente, con la poltica y objetivos del SGSI. La documentacin del SGSI debe incluir: a) b) c) d) e) f) g) declaraciones documentadas de la poltica y objetivos del SGSI (vase el numeral 4.2.1, literal b)); el alcance del SGSI (vase el numeral 4.2.1, literal a)) los procedimientos y controles que apoyan el SGSI; una descripcin de la metodologa de valoracin de riesgos (vase el numeral 4.2.1, literal c)); el informe de valoracin de riesgos (vase el numeral 4.2.1. literales c) a g)); el plan de tratamiento de riesgos (vase el numeral 4.2.2, literal b)); Los procedimientos documentados que necesita la organizacin para asegurar la eficacia de la planificacin, operacin y control de sus procesos de seguridad de la informacin, y para describir cmo medir la eficacia de los controles (vase el numeral 4.2.3. literal c)); Los registros exigidos por esta norma (vase el numeral 4.3.3), y La declaracin de aplicabilidad. 9

h) i)

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

NOTA 1 En esta norma, el trmino procedimiento documentado significa que el procedimiento est establecido, documentado, implementado y mantenido. NOTA 2 NOTA 3 El alcance de la documentacin del SGSI puede ser diferente de una organizacin a otra debido a: El tamao de la organizacin y el tipo de sus actividades, y El alcance y complejidad de los requisitos de seguridad y del sistema que se est gestionando. Los documentos y registros pueden tener cualquier forma o estar en cualquier tipo de medio.

4.3.2

Control de documentos

Los documentos exigidos por el SGSI se deben proteger y controlar. Se debe establecer un procedimiento documentado para definir las acciones de gestin necesarias para: a) b) c) d) e) f) aprobar los documentos en cuanto a su suficiencia antes de su publicacin; revisar y actualizar los documentos segn sea necesario y reaprobarlos; asegurar que los cambios y el estado de actualizacin de los documentos estn identificados; asegurar que las versiones ms recientes de los documentos pertinentes estn disponibles en los puntos de uso; asegurar que los documentos permanezcan legibles y fcilmente identificables; asegurar que los documentos estn disponibles para quienes los necesiten, y que se apliquen los procedimientos pertinentes, de acuerdo con su clasificacin, para su transferencia, almacenamiento y disposicin final. asegurar que los documentos de origen externo estn identificados; asegurar que la distribucin de documentos est controlada; impedir el uso no previsto de los documentos obsoletos, y aplicar la identificacin adecuada a los documentos obsoletos, si se retienen para cualquier propsito.

g) h) i) j)

4.3.3

Control de registros

Se deben establecer y mantener registros para brindar evidencia de la conformidad con los requisitos y la operacin eficaz del SGSI. Los registros deben estar protegidos y controlados. El SGSI debe tener en cuenta cualquier requisito legal o reglamentario y las obligaciones contractuales pertinentes. Los registros deben permanecer legibles, fcilmente identificables y recuperables. Los controles necesarios para la identificacin, almacenamiento, proteccin, recuperacin, tiempo de retencin y disposicin de registros se deben documentar e implementar. Se deben llevar registros del desempeo del proceso, como se esboza en el numeral 4.2, y de todos los casos de incidentes de seguridad significativos relacionados con el SGSI. 10

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA


EJEMPLO

NTC

DE 204/05

Algunos ejemplos de registros son: un libro de visitantes, informes de auditoras y formatos de autorizacin de acceso diligenciados.

5. 5.1

RESPONSABILIDAD DE LA DIRECCIN COMPROMISO DE LA DIRECCIN

La direccin debe brindar evidencia de su compromiso con el establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del SGSI: a) b) c) d) mediante el establecimiento de una poltica del SGSI; asegurando que se establezcan los objetivos y planes del SGSI; estableciendo funciones y responsabilidades de seguridad de la informacin; comunicando a la organizacin la importancia de cumplir los objetivos de seguridad de la informacin y de la conformidad con la poltica de seguridad de la informacin, sus responsabilidades bajo la ley, y la necesidad de la mejora continua; brindando los recursos suficientes para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI (vase el numeral 5.2.1); decidiendo los criterios para aceptacin de riesgos, y los niveles de riesgo aceptables; asegurando que se realizan auditoras internas del SGSI (vase el numeral 6), y efectuando las revisiones por la direccin, del SGSI (vase el numeral 7).

e) f) g) h) 5.2 5.2.1

GESTIN DE RECURSOS Provisin de recursos

La organizacin debe determinar y suministrar los recursos necesarios para: a) b) c) d) establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI; asegurar que los procedimientos de seguridad de la informacin brindan apoyo a los requisitos del negocio; identificar y atender los requisitos legales y reglamentarios, as como las obligaciones de seguridad contractuales; mantener la seguridad suficiente mediante la aplicacin correcta de todos los controles implementados;

11

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA


e) f) 5.2.2

NTC

DE 204/05

llevar a cabo revisiones cuando sea necesario, y reaccionar apropiadamente a los resultados de estas revisiones; y en donde se requiera, mejorar la eficacia del SGSI.

Formacin, toma de conciencia y competencia

La organizacin debe asegurar que todo el personal al que se asigne responsabilidades definidas en el SGSI sea competente para realizar las tareas exigidas, mediante: a) b) c) d) la determinacin de las competencias necesarias para el personal que ejecute el trabajo que afecta el SGSI; el suministro de formacin o realizacin de otras acciones (por ejemplo, la contratacin de personal competente) para satisfacer estas necesidades; la evaluacin de la eficacia de las acciones emprendidas, y el mantenimiento de registros de la educacin, formacin, habilidades, experiencia y calificaciones (vase el numeral 4.3.3).

La organizacin tambin debe asegurar que todo el personal apropiado tiene conciencia de la pertinencia e importancia de sus actividades de seguridad de la informacin y cmo ellas contribuyen al logro de los objetivos del SGSI. 6. AUDITORIAS INTERNAS DEL SGSI

La organizacin debe llevar a cabo auditoras internas del SGSI a intervalos planificados, para determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI: a) b) c) d) cumplen los requisitos de la presente norma y de la legislacin o reglamentaciones pertinentes; cumplen los requisitos identificados de seguridad de la informacin; estn implementados y se mantienen eficazmente, y tienen un desempeo acorde con lo esperado.

Se debe planificar un programa de auditoras tomando en cuenta el estado e importancia de los procesos y las reas que se van a auditar, as como los resultados de las auditoras previas. Se deben definir los criterios, el alcance, la frecuencia y los mtodos de la auditora. La seleccin de los auditores y la realizacin de las auditoras deben asegurar la objetividad e imparcialidad del proceso de auditora. Los auditores no deben auditar su propio trabajo. Se deben definir en un procedimiento documentado las responsabilidades y requisitos para la planificacin y realizacin de las auditoras, para informar los resultados, y para mantener los registros (vase el numeral 4.3.3). 12

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

La direccin responsable del rea auditada debe asegurarse de que las acciones para eliminar las no conformidades detectadas y sus causas, se emprendan sin demora injustificada. Las actividades de seguimiento deben incluir la verificacin de las acciones tomadas y el reporte de los resultados de la verificacin.
NOTA La norma ISO 19011:2002, Directrices para la auditora de los sistemas de gestin de la calidad y/o ambiente puede brindar orientacin til para la realizacin de auditoras internas del SGSI.

7. 7.1

REVISIN DEL SGSI POR LA DIRECCIN GENERALIDADES

La direccin debe revisar el SGSI de la organizacin a intervalos planificados(por lo menos una vez al ao), para asegurar su conveniencia, suficiencia y eficacia continuas. Esta revisin debe incluir la evaluacin de las oportunidades de mejora y la necesidad de cambios del SGSI, incluidos la poltica de seguridad y los objetivos de seguridad. Los resultados de las revisiones se deben documentar claramente y se deben llevar registros (vase el numeral 4.3.3). 7.2 INFORMACIN PARA LA REVISIN

Las entradas para la revisin por la direccin deben incluir: a) b) c) d) e) f) g) h) i) 7.3 resultados de las auditoras y revisiones del SGSI; retroalimentacin de las partes interesadas; tcnicas, productos o procedimientos que se pueden usar en la organizacin para mejorar el desempeo y eficacia del SGSI; estado de las acciones correctivas y preventivas; vulnerabilidades o amenazas no tratadas adecuadamente en la valoracin previa de los riesgos; resultados de las mediciones de eficacia; acciones de seguimiento resultantes de revisiones anteriores por la direccin; cualquier cambio que pueda afectar el SGSI; y recomendaciones para mejoras.

RESULTADOS DE LA REVISIN

Los resultados de la revisin por la direccin deben incluir cualquier decisin y accin relacionada con: a) b) la mejora de la eficacia del SGSI; la actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos. 13

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA


c)

NTC

DE 204/05

La modificacin de los procedimientos y controles que afectan la seguridad de la informacin, segn sea necesario, para responder a eventos internos o externos que pueden tener impacto en el SGSI, incluidos cambios a: 1) 2) 3) 4) 5) 6) los requisitos del negocio, los requisitos de seguridad, los procesos del negocio que afectan los requisitos del negocio existentes, los requisitos reglamentarios o legales, las obligaciones contractuales, y los niveles de riesgo y/o niveles de aceptacin de riesgos.

d) e) 8. 8.1

los recursos necesarios. la mejora a la manera en que se mide la eficacia de los controles.

MEJORA DEL SGSI MEJORA CONTINUA

La organizacin debe mejorar continuamente la eficacia del SGSI mediante el uso de la poltica de seguridad de la informacin, los objetivos de seguridad de la informacin, los resultados de la auditora, el anlisis de los eventos a los que se les ha hecho seguimiento, las acciones correctivas y preventivas y la revisin por la direccin. 8.2 ACCIN CORRECTIVA

La organizacin debe emprender acciones para eliminar la causa de no conformidades asociadas con los requisitos del SGSI, con el fin de prevenir que ocurran nuevamente. El procedimiento documentado para la accin correctiva debe definir requisitos para: a) b) c) d) e) f) identificar las no conformidades; determinar las causas de las no conformidades; evaluar la necesidad de acciones que aseguren que las no conformidades no vuelven a ocurrir; determinar e implementar la accin correctiva necesaria; registrar los resultados de la accin tomada (vase el numeral 4.3.3); y revisar la accin correctiva tomada.

14

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA


8.3 ACCIN PREVENTIVA

NTC

DE 204/05

La organizacin debe determinar acciones para eliminar la causa de no conformidades potenciales con los requisitos del SGSI y evitar que ocurran. Las acciones preventivas tomadas deben ser apropiadas al impacto de los problemas potenciales. El procedimiento documentado para la accin preventiva debe definir requisitos para: a) b) c) d) e) identificar no conformidades potenciales y sus causas; evaluar la necesidad de acciones para impedir que las no conformidades ocurran. determinar e implementar la accin preventiva necesaria; registrar los resultados de la accin tomada (vase el numeral 4.3.3), y revisar la accin preventiva tomada.

La organizacin debe identificar los cambios en los riesgos e identificar los requisitos en cuanto acciones preventivas, concentrando la atencin en los riesgos que han cambiado significativamente. La prioridad de las acciones preventivas se debe determinar con base en los resultados de la valoracin de los riesgos.
NOTA Las acciones para prevenir no conformidades con frecuencia son ms rentables que la accin correctiva.

15

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC
ANEXO A (Normativo)

DE 204/05

OBJETIVOS DE CONTROL Y CONTROLES A.1 INTRODUCCIN

Los objetivos de control y los controles enumerados en la Tabla A.1 se han obtenido directamente de los de la ISO/IEC 17799:2005, numerales 5 a 15, y estn alineados con ellos. Las listas de estas tablas no son exhaustivas, y la organizacin puede considerar que se necesitan objetivos de control y controles adicionales. Los objetivos de control y controles de estas tablas se deben seleccionar como parte del proceso de SGSI especificado en el numeral 4.2.1. La norma ISO/IEC 17799:2005, numerales 5 a 15, proporciona asesora y orientacin sobre las mejores prcticas de apoyo a los controles especificados en el literal A.5 a A.15.
Tabla A.1 Objetivos de control y controles A.5 POLTICA DE SEGURIDAD A.5.1 Poltica de seguridad de la informacin Objetivo: brindar orientacin y apoyo de la direccin para la seguridad de la informacin, de acuerdo con los requisitos del negocio y con las regulaciones y leyes pertinentes. A.5.1.1 Documento de la poltica de Control seguridad de la informacin. La direccin debe aprobar, publicar y comunicar a todos los empleados y partes externas pertinentes, un documento de poltica de seguridad de la informacin. A.5.1.2 Revisin de la poltica de Control seguridad de la informacin. Se debe revisar la poltica de seguridad de la informacin a intervalos planificados, o si ocurren cambios significativos, para asegurar su conveniencia, suficiencia y eficacia continuas. A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN A.6.1 Organizacin interna Objetivo: gestionar la seguridad de la informacin dentro de la organizacin. A.6.1.1 Compromiso de la direccin Control con la seguridad de la informacin. La direccin debe apoyar activamente la seguridad dentro de la organizacin a travs de una orientacin clara, la demostracin del compromiso, y la asignacin y el reconocimiento explcitos de las responsabilidades de seguridad de la informacin. A.6.1.2 Coordinacin de la seguridad Control de la informacin. Las actividades de seguridad de la informacin deben estar coordinadas por representantes de diferentes partes de la organizacin con funciones y roles pertinentes. Asignacin de Control responsabilidades de seguridad de la informacin. Se deben definir claramente todas las responsabilidades en cuanto a seguridad de la informacin. Contina . . .

A.6.1.3

16

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN A.6.1.4 Proceso de autorizacin para Control las instalaciones de procesamiento de informacin. Se debe definir e implementar un proceso de autorizacin de la direccin para nuevas instalaciones de procesamiento de informacin. A.6.1.5 Acuerdos de confidencialidad Control Se deben identificar y revisar regularmente los requisitos sobre acuerdos de confidencialidad o no divulgacin que reflejan las necesidades de la organizacin en cuanto a proteccin de la informacin. Control

A.6.1.6

Contacto con las autoridades

A.6.1.7

Se deben mantener contactos apropiados con las autoridades pertinentes. Contacto con grupos de inters Control especiales Se deben mantener los contactos apropiados con grupos de inters especiales, otros foros especializados en seguridad de la informacin, y asociaciones de profesionales.

A.6.1.8

Revisin independiente de la Control seguridad de la informacin. El enfoque de la organizacin para la gestin de la seguridad de la informacin y su implementacin (es decir, objetivos de control, controles, polticas, procesos y procedimientos para seguridad de la informacin) se debe revisar independientemente a intervalos planificados, o cuando ocurran cambios significativos en la implementacin de la seguridad. A.6.2 Partes externas Objetivo: mantener la seguridad de la informacin y las instalaciones de procesamiento de la informacin organizacional a las que tienen acceso las partes externas, o que son procesadas, comunicadas o gestionadas por ellas. A.6.2.1 Identificacin de riesgos Control relacionados con partes externas. Se deben identificar los riesgos asociados con la informacin y las instalaciones de procesamiento de informacin organizacional de los procesos de negocio que involucran partes externas, y se deben implementar los controles apropiados antes de otorgar el acceso. A.6.2.2 Tener en cuenta la seguridad Control cuando se trata con clientes Todos los requisitos de seguridad identificados se deben tener en cuenta antes de permitir a los clientes acceso a activos o informacin de la organizacin. A.6.2.3 Tener en cuenta la seguridad Control en acuerdos con terceras partes Los acuerdos con terceras partes, que involucran acceso, procesamiento, comunicacin o gestin de la informacin o instalaciones de procesamiento de informacin de la organizacin, o la adicin de productos o servicios a las instalaciones de procesamiento de informacin, deben cubrir todos los requisitos de seguridad pertinentes.

17

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.7 GESTIN DE ACTIVOS A.7.1 Responsabilidad por los activos Objetivo: lograr y mantener la proteccin apropiada de los activos organizacionales. A.7.1.1 Inventario de activos Control Todos los activos se deben identificar claramente y se debe elaborar y mantener un inventario de todos los activos importantes. Control Toda la informacin y activos asociados con las instalaciones de procesamiento de informacin deben tener un dueo 3, que es la parte designada de la organizacin. Control Se deben identificar, documentar e implementar las reglas para el uso aceptable de informacin y activos asociados con las instalaciones de procesamiento de informacin A.7.2 Clasificacin de la informacin Objetivo: asegurar que la informacin reciba un nivel apropiado de proteccin. A.7.2.1 Directrices para clasificacin Control La informacin se debe clasificar en cuanto a su valor, requisitos legales, sensibilidad y criticidad para el sistema. de Control Se debe desarrollar e implementar un conjunto apropiado de procedimientos para etiquetado y manejo de la informacin, de acuerdo con el esquema de clasificacin adoptado por la organizacin. A.8 SEGURIDAD DE LOS RECURSOS HUMANOS A.8.1 Antes de la relacin laboral 4 Objetivo: asegurar que los empleados, contratistas y usuarios por tercera parte entienden sus responsabilidades y son adecuados para los roles para los que se los considera, y reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones. A.8.1.1 Roles y responsabilidades Control Las responsabilidades y roles de seguridad de los empleados, contratistas y usuarios por tercera parte* se deben definir y documentar de acuerdo con la poltica de seguridad de la informacin de la organizacin.

A.7.1.2 Dueos de los activos

A.7.1.3 Uso aceptable de los activos

A.7.2.2 Etiquetado informacin

manejo

Explicacin: El trmino dueo identifica a un individuo o entidad que ha aprobado la responsabilidad de la gestin aprobada en cuanto el control de la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino dueo no significa que la persona realmente tenga derechos de propiedad sobre el activo. Explicacin: La palabra relacin laboral busca cubrir las siguientes situaciones diferentes: empleo de personal (temporal o de mayor duracin), asignacin y cambio de roles de trabajo, asignacin de contratos, y la finalizacin de estos acuerdos.

18

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.8 SEGURIDAD DE LOS RECURSOS HUMANOS A.8.1.2 Seleccin Control Las revisiones de verificacin de los antecedentes de todos los candidatos a empleos, contratistas y usuarios por tercera parte se deben llevar a cabo de acuerdo con las leyes, reglamentaciones y tica pertinentes y proporcional a los requisitos del negocio; la clasificacin de la informacin a la que se va a tener acceso y los riesgos percibidos. A.8.1.3 Trminos y condiciones de la Control relacin laboral. Como parte de su obligacin contractual, los empleados, contratistas y usuarios por tercera parte deben acordar y firmar los trminos y condiciones de su contrato laboral, el cual debe indicar sus responsabilidades y las de la organizacin en cuanto a seguridad de la informacin. A.8.2 Durante la relacin laboral Objetivo: asegurar que todos los empleados, contratistas y usuarios por tercera parte tengan conciencia sobre las amenazas y problemas relacionados con la seguridad de la informacin, sus responsabilidades y obligaciones, y que estn preparados para brindar apoyo a la poltica de seguridad de la informacin organizacional en el curso de su trabajo normal, y para reducir el riesgo de error humano. A.8.2.1 Responsabilidades direccin de la Control

La direccin debe exigir a los empleados, contratistas y usuarios por tercera parte aplicar la seguridad de acuerdo con las polticas y procedimientos establecidos por la organizacin. A.8.2.2 Toma de conciencia, educacin Control y formacin en seguridad de la informacin. Todos los empleados de la organizacin, y en donde sea pertinente, los contratistas y usuarios por tercera parte, deben recibir formacin apropiada sobre toma de conciencia y actualizaciones regulares sobre las polticas y procedimientos organizacionales, en cuanto sean pertinentes para su funcin laboral. A.8.2.3 Proceso disciplinario Control Debe haber procesos disciplinarios para los empleados que cometan violaciones a la seguridad.

19

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.8 SEGURIDAD DE LOS RECURSOS HUMANOS A.8.3 Terminacin o cambio de la relacin laboral Objetivo: asegurar que los empleados, contratistas y usuarios por tercera parte abandonan una organizacin o cambian de empleo de una manera ordenada. A.8.3.1 Responsabilidades de Control terminacin Se deben definir y asignar claramente las responsabilidades relativas a la terminacin o cambio de relacin laboral. A.8.3.2 Devolucin de activos Control Todos los empleados, contratistas y usuarios por tercera parte deben devolver los activos de la organizacin que se encuentran en su poder, al terminar su relacin laboral, contrato o acuerdo. Control Se debe retirar el derecho de acceso de los empleados, contratistas y usuarios por tercera parte, a la informacin y a las instalaciones de procesamiento de informacin, al terminar su relacin laboral, contrato o acuerdo, o se debe ajustar de acuerdo con el cambio. A.9 SEGURIDAD FSICA Y DEL ENTORNO A.9.1 reas seguras Objetivo: evitar el acceso fsico no autorizado, el dao e interferencia a las instalaciones e informacin de la empresa. A.9.1.1 Permetro fsico de seguridad Control Se deben usar permetros de seguridad (barreras tales como muros, puertas de entrada controladas con tarjetas, o reas de recepcin con personal) para proteger las reas que contengan informacin y las instalaciones de procesamiento de informacin. A.9.1.2 Controles de acceso fsico. Control Las reas seguras deben estar protegidas por controles de entrada apropiados que aseguren que slo se permite el acceso a personal autorizado. A.9.1.3 Seguridad de oficinas, Control recintos e instalaciones. Se debe disear y aplicar seguridad fsica a oficinas, recintos e instalaciones. A.9.1.4 Proteccin contra amenazas Control ambientales y externas. Se debe disear y aplicar proteccin fsica contra incendios, inundaciones, terremotos, explosiones, disturbios u otras formas de desastres naturales o causados por el hombre. A.9.1.5 Trabajo en reas seguras. Control Se debe disear y aplicar proteccin fsica y directrices para trabajo en reas seguras.

A.8.3.3 Retiro del derecho de acceso

20

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.9 SEGURIDAD FSICA Y DEL ENTORNO A.9.2 Seguridad de los equipos Objetivo: evitar prdida, dao, robo o puesta en peligro de los activos e interrupcin de las actividades de la organizacin. A.9.2.1 Ubicacin y proteccin Control de equipos. Los equipos deben estar ubicados o protegidos para reducir los riesgos de amenazas y peligros del entorno y las oportunidades de acceso en forma no autorizada. A.9.2.2 Servicios pblicos de Control apoyo Los equipos deben estar protegidos contra fallas en el suministro de energa y otras interrupciones causadas por fallas en los servicios pblicos de apoyo. A.9.2.3 Seguridad del cableado. Control El cableado de energa elctrica y de telecomunicaciones que porta datos o presta soporte a servicios de informacin debe estar protegido contra interceptacin o dao. de Control

A.9.2.4

Mantenimiento equipos.

A.9.2.5

A.9.2.6

A.9.2.7

Los equipos deben recibir el mantenimiento correcto que permita su permanente disponibilidad e integridad. Seguridad de los Control equipos fuera de las instalaciones. Se deben aplicar medidas de seguridad a los equipos que se encuentran fuera de las instalaciones, teniendo en cuenta los diferentes existentes al trabajar fuera de la organizacin. Seguridad en la Control reutilizacin o eliminacin de equipos. Se deben revisar todos los elementos de equipos que contienen medios de almacenamiento, para asegurar que cualquier dato sensible y software con licencia haya sido eliminado o sobrescrito en forma segura antes de su eliminacin. Control Retiro de activos No se deben retirar de su sitio equipos, informacin o software sin autorizacin previa.

A.10 GESTIN DE COMUNICACIONES Y OPERACIONES A.10.1 Procedimientos operacionales y responsabilidades Objetivo: asegurar la operacin correcta y segura de las instalaciones de procesamiento de informacin. A.10.1.1 Procedimientos de Control operacin documentados. Los procedimientos de operacin se deben documentar, mantener y deben estar disponibles para todos los usuarios que los necesiten. A.10.1.2 Gestin del cambio. Control Se deben controlar los cambios en las instalaciones y sistemas de procesamiento de informacin.

21

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.10 GESTIN DE COMUNICACIONES Y OPERACIONES A.10.1.3 Separacin de Control funciones. Los deberes y reas de responsabilidad se deben separar para reducir oportunidades de modificacin no autorizada o utilizacin inapropiada de los activos de la organizacin. A.10.1.4 Separacin de las Control instalaciones de desarrollo, ensayo y Las instalaciones de desarrollo, ensayo y operacionales. operacionales deben estar separadas para reducir los riesgos de acceso no autorizado o cambios al sistema operacional. A.10.2 Gestin de la prestacin del servicio por tercera parte Objetivo: implementar y mantener el nivel apropiado de seguridad de la informacin y prestacin del servicio en lnea con los acuerdos de prestacin de servicios por una tercera parte. A.10.2.1 Prestacin del servicio Control Se debe asegurar que las terceras partes implementen, operen y mantengan los controles de seguridad, las definiciones y niveles de prestacin del servicio incluidos en el acuerdo de prestacin de servicios. A.10.2.2 Seguimiento y revisin Control de los servicios prestados por terceras Se debe hacer seguimiento y se deben revisar partes regularmente los servicios, informes y registros suministrados por una tercera parte, y se deben llevar a cabo auditoras regularmente. A.10.2.3 Gestin de cambios en los Control servicios suministrados por terceras partes Los cambios en la prestacin de los servicios, incluido el mantenimiento y la mejora de las polticas, procedimientos y controles de seguridad de la informacin existentes, se deben gestionar teniendo en cuenta la criticidad de los sistemas y procesos de los negocios involucrados y la revaloracin de los riesgos. A.10.3 Planificacin y aceptacin del sistema Objetivo: minimizar el riesgo de fallas de los sistemas. A.10.3.1 Gestin de la Control capacidad. Se deben hacer seguimiento y ajustes al uso de los recursos, y se deben hacer proyecciones de los requisitos de capacidad futura, para asegurar el desempeo requerido del sistema. A.10.3.2 Aceptacin del sistema. Control Se deben establecer criterios de aceptacin para sistemas de informacin nuevos, actualizaciones y nuevas versiones, y se deben llevar a cabo los ensayos adecuados del sistema, durante el desarrollo y antes de su aceptacin.

22

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.10 GESTIN DE COMUNICACIONES Y OPERACIONES A.10.4 Proteccin contra cdigos maliciosos y mviles Objetivo: proteger la integridad del software y la informacin. A.10.4.1 Controles contra Control cdigos maliciosos. Se deben implementar controles de deteccin, prevencin y recuperacin para protegerse contra cdigos maliciosos, y se deben implementar procedimientos apropiados de toma de conciencia de los usuarios. A.10.4.2 Controles contra Control cdigos mviles En donde se autoriza el uso de cdigos mviles, la configuracin debe asegurar que el cdigo mvil autorizado opera de acuerdo con una poltica de seguridad definida claramente, y se debe impedir la ejecucin de cdigos mviles no autorizados. A.10.5 Respaldo Objetivo: mantener la integridad y disponibilidad de la informacin y de las instalaciones de procesamiento de informacin. A.10.5.1 Informacin de respaldo. Control Se deben informacin prueba con de respaldo A.10.6 Gestin de la seguridad de redes hacer copias de respaldo de la y del software, y se deben poner a regularidad de acuerdo con la poltica acordada.

Objetivo: asegurar la proteccin de la informacin de las redes y la proteccin de la infraestructura de soporte. A.10.6.1 Controles de redes. Control Las redes se deben gestionar y controlar en forma adecuada, con el fin de protegerlas contra amenazas y mantener la seguridad en los sistemas y aplicaciones que usan la red, incluida la informacin en trnsito. los Control Las caractersticas de seguridad, niveles de servicio y requisitos de gestin de todos los servicios de la red se deben identificar e incluir en cualquier acuerdo de servicios de red, ya sea que estos servicios se suministren internamente o se contraten externamente A.10.7 Manejo de medios Objetivo: evitar la divulgacin, modificacin, retiro o destruccin de activos no autorizada, y la interrupcin en las actividades del negocio. A.10.7.1 Administracin de los Control medios removibles. Debe haber implementados procedimientos para la gestin de los medios removibles. A.10.7.2 Eliminacin de medios. Control Cuando ya no se requieran estos medios, su disposicin final debe ser en forma segura y sin riesgo, usando procedimientos formales.

A.10.6.2

Seguridad de servicios de la red.

23

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.10 GESTIN DE COMUNICACIONES Y OPERACIONES A.10.7..3 Procedimientos para el Control manejo de la informacin. Se deben establecer procedimientos para el manejo y almacenamiento de la informacin, con el fin de protegerla contra divulgacin o uso no autorizado. A.10.7.4 Seguridad de la Control documentacin del sistema. La documentacin del sistema debe estar protegida contra uso no autorizado. A.10.8 Intercambio de informacin Objetivo: mantener la seguridad de la informacin y el software que se intercambia dentro de la organizacin y con cualquier entidad externa. A.10.8.1 Polticas y Control procedimientos para intercambio de Se deben implementar polticas, procedimientos y informacin controles para proteger el intercambio de informacin mediante el uso de todo tipo de instalaciones de comunicacin. A.10.8.2 Acuerdos de Control intercambio Se deben establecer acuerdos para el intercambio de informacin y de software entre la organizacin y partes externas. A.10.8.3 Medios fsicos en Control trnsito. Los medios que contienen informacin se deben proteger contra acceso no autorizado, uso inadecuado o corrupcin durante el transporte ms all de los lmites fsicos de la organizacin. A.10.8.4 Mensajera electrnica. Control La informacin involucrada en la mensajera electrnica se debe proteger apropiadamente. A.10.8.5 Sistemas de Control informacin del negocio. Se deben desarrollar e implementar polticas y procedimientos para proteger la informacin asociada con la interconexin de los sistemas de informacin del negocio. A.10.9 Servicios de comercio electrnico Objetivo: garantizar la seguridad de los servicios de comercio electrnico, y su uso seguro. A.10.9.1 Comercio electrnico Control La informacin involucrada en el comercio electrnico que se transmite por redes pblicas se debe proteger contra actividad fraudulenta, disputas contractuales y divulgacin y modificacin no autorizadas. Control La informacin involucrada en transacciones en lnea debe estar protegida para impedir su transmisin incompleta, enrutamiento errado, alteracin de mensajes no autorizada, divulgacin no autorizada, y duplicacin o repeticin de mensajes no autorizada.

A.10.9.2

Transacciones en lnea

24

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.10 GESTIN DE COMUNICACIONES Y OPERACIONES A.10.9.3 Informacin disponible Control pblicamente. La integridad de la informacin que est disponible en un sistema disponible pblicamente se debe proteger para impedir modificaciones no autorizadas. A.10.10 Seguimiento Objetivo: detectar actividades de procesamiento de informacin no autorizadas. A.10.10.1 Registro de auditoras Control Se deben elaborar registros de auditora para las actividades de los usuarios, excepciones y eventos de seguridad de la informacin, y se deben mantener durante un perodo acordado para ayudar a futuras investigaciones y tener acceso a seguimiento de control. de Control

A.10.10.2 Uso del sistema seguimiento

Se deben establecer procedimientos para hacer el seguimiento al uso de las instalaciones de procesamiento de la informacin, y se deben revisar regularmente los resultados de las actividades de seguimiento. A.10.10.3 Proteccin de la Control informacin del registro Las instalaciones de registro y la informacin de registro se deben proteger contra alteracin y acceso no autorizado. A.10.10.4 Registros del Control administrador y el operador Las actividades del operador y del administrador del sistema se deben registrar. A.10.10.5 Registro de fallas Control Las fallas se deben registrar, analizar y se deben tomar las medidas apropiadas. de Control Los relojes de todos los sistemas de procesamiento de informacin pertinente dentro de una organizacin o dominio de seguridad deben estar sincronizados con una fuente de tiempo exacto acordada. A.11 CONTROL DE ACCESO A.11.1 Requisito del negocio para control del acceso Objetivo: controlar el acceso a la informacin. A.11.1.1 Poltica de control de Control acceso Se debe establecer, documentar y revisar una poltica de control de acceso con base en los requisitos de acceso del negocio y de seguridad. A.11.2 Gestin de acceso de usuarios Objetivo: asegurar el acceso autorizado a los usuarios e impedir el acceso no autorizado a sistemas de informacin.

A.10.10.6 Sincronizacin relojes

25

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.11 CONTROL DE ACCESO A.11.2.1 Registro* de usuarios.

Control Debe haber un procedimiento formal de registro* y cancelacin del registro* a usuarios, para conceder y anular el acceso a todos los sistemas y servicios de informacin. Control

A.11.2.2 Gestin de privilegios.

Se debe restringir y controlar la asignacin y uso de privilegios. A.11.2.3 Gestin de contraseas Control para usuarios. La asignacin de contraseas se debe controlar mediante un proceso de gestin formal. A.11.2.4 Revisin de los derechos Control de acceso de los usuarios. La direccin debe establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. A.11.3 Responsabilidades de los usuarios Objetivo: evitar el acceso a usuarios no autorizados, y el robo o la puesta en peligro de informacin y de instalaciones de procesamiento de informacin. A.11.3.1 Uso de contraseas. Control Se debe exigir a los usuarios el cumplimiento de buenas prcticas de seguridad en la seleccin y uso de las contraseas. usuario Control Los usuarios deben asegurarse de que a los equipos desatendidos se les da proteccin apropiada. de Control y Se debe adoptar una poltica de puesto de trabajo despejado para papeles y medios de almacenamiento removibles, y una poltica de bloqueo de pantalla para instalaciones de procesamiento de informacin.

A.11.3.2 Equipo de desatendido.

A.11.3.3 Poltica de puesto trabajo despejado bloqueo de pantalla.

A.11.4 Control de acceso a redes Objetivo: impedir el acceso no autorizado a servicios en red. A.11.4.1 Poltica de uso de los Control servicios de red. Los usuarios slo deben tener acceso directo a los servicios para los que han sido autorizados especficamente. A.11.4.2 Autenticacin de usuarios Control para conexiones externas. Se deben usar mtodos de autenticacin apropiados para controlar el acceso de usuarios remotos. A.11.4.3 Identificacin de equipos Control en redes. La identificacin de equipos automticos se debe considerar como un medio para autenticar conexiones desde lugares y equipos especficos.

26

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.11 CONTROL DE ACCESO A.11.4.4 Proteccin de puertos de Control diagnstico y configuracin remotos. El acceso fsico y lgico a los puertos de diagnstico y configuracin se debe controlar. A.11.4.5 Subdivisin de redes. Control Los grupos de servicios de informacin, usuarios y sistemas de informacin se deben subdividir en las redes. A.11.4.6 Control de conexin a las Control redes. Para redes compartidas, especialmente las que se extienden a travs de los lmites de la organizacin, la capacidad de conexin de los usuarios a la red debe estar restringida, en lnea con la poltica de control de acceso y los requisitos de las aplicaciones del negocio (vase el numeral 11.1). A.11.4.7 Control de enrutamiento en Control la red. Se deben implementar controles de enrutamiento para las redes, para asegurar que las conexiones entre computadores y los flujos de informacin no incumplan la poltica de control de acceso de las aplicaciones del negocio. A.11.5 Control de acceso al sistema operativo A.11.5.1 Control de acceso al sistema operativo Objetivo: evitar el acceso no autorizado a los sistemas operativos. A.11.5.1 Procedimientos de ingreso Control seguros El acceso a los sistemas operativos se debe controlar mediante un proceso de ingreso seguro A.11.5.2 Identificacin y autenticacin Control de usuarios. Todos los usuarios deben tener un identificador nico (ID del usuario) para su uso personal y exclusivo. Se debe escoger una tcnica de autenticacin adecuada para comprobar la identidad declarada de un usuario. A.11.5.3 Sistema de gestin de Control contraseas. Los sistemas de gestin de contraseas deben ser interactivos y deben asegurar contraseas de calidad. A.11.5.4 Uso de utilitarios* (utilities) Control del sistema El uso de programas utilitarios* que pueden estar en capacidad de anular el sistema y los controles de aplicacin se debe restringir y controlar estrictamente. A.11.5.5 Plazo expirado de la sesin. Control Las sesiones inactivas se deben apagar despus de un perodo de inactividad definido. tiempo de Control Se deben aplicar restricciones en los tiempos de conexin, para brindar seguridad adicional en aplicaciones de alto riesgo.

A.11.5.6 Limitacin del conexin.

27

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.11 CONTROL DE ACCESO A.11.6 Control de acceso a la informacin y a las aplicaciones Objetivo: evitar el acceso no autorizado a la informacin contenida en los sistemas de informacin. A.11.6.1 Restriccin de acceso a la Control informacin. El acceso a la informacin y a las funciones del sistema de aplicaciones por parte de los usuarios se debe restringir de acuerdo con la poltica de control de acceso definida. A.11.6.2 Aislamiento de sistemas Control sensibles. Los sistemas sensibles deben tener entornos informticos dedicados (aislados). A.11.7 Computacin mvil y trabajo remoto Objetivo: garantizar la seguridad de la informacin cuando se usan instalaciones de computacin mvil y trabajo remoto A.11.7.1 Computacin* y Control comunicaciones mviles. Se debe establecer una poltica formal y se deben tomar las medidas de seguridad apropiadas para protegerse contra los riesgos generados al usar instalaciones de computacin y comunicacin mviles. A.11.7.2 Trabajo remoto. Control Se debe desarrollar e implementar una poltica, y procedimientos y planes operacionales para actividades de trabajo remoto. A.12 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN A.12.1 Requisitos de seguridad de los sistemas de informacin Objetivo: garantizar que la seguridad es parte integral de los sistemas de informacin. Control A.12.1.1 Anlisis y especificacin

de requisitos seguridad

de Las declaraciones de los requisitos del negocio para nuevos sistemas de informacin, o las mejoras a los existentes, deben especificar los requisitos para controles de seguridad.

A.12.2 Procesamiento correcto en las aplicaciones Objetivo: evitar errores, prdida, modificacin no autorizada o mala utilizacin de la informacin en aplicaciones A.12.2.1 Validacin de los datos de Control entrada. Los datos de entrada a las aplicaciones se deben validar para asegurar que son correctos y apropiados. A.12.2.2 Control de procesamiento Control interno. Se deben incorporar en las aplicaciones revisiones de validacin para detectar cualquier corrupcin de la informacin debida a errores de procesamiento o actos deliberados.

28

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.12 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN A.12.2.3 Integridad de los Control mensajes. Se deben identificar los requisitos para asegurar la autenticacin y proteger la integridad de los mensajes en las aplicaciones, y se deben identificar e implementar controles apropiados. A.12.2.4 Validacin de los datos Control de salida. La salida de datos de una aplicacin se debe validar para asegurar que el procesamiento de la informacin almacenada es correcto y apropiado para las circunstancias. A.12.3 Controles criptogrficos Objetivo: proteger la confidencialidad, autenticidad o integridad de la informacin, por medios criptogrficos. A.12.3.1 Poltica sobre el uso de Control controles criptogrficos. Se debe desarrollar e implementar una poltica sobre el uso de controles criptogrficos para la proteccin de la informacin. A.12.3.2 Gestin de llaves. Control Se debe implementar un sistema de gestin de llaves para apoyar el uso de las tcnicas criptogrficas por parte de la organizacin. A.12.4 Seguridad de los archivos del sistema Objetivo: garantizar la seguridad de los archivos del sistema. A.12.4.1 Control del software Control operativo. Se deben implementar procedimientos para controlar la instalacin del software en sistemas operativos. A.12.4.2 Proteccin de los datos Control de ensayo del sistema. Los datos de ensayo se deben seleccionar, proteger y controlar cuidadosamente. A.12.4.3 Control de acceso al Control cdigo fuente de los programas Se debe restringir el acceso al cdigo fuente de los programas. A.12.5 Seguridad en los procesos de desarrollo y soporte Objetivo: mantener la seguridad del software y la informacin del sistema de aplicaciones*. A.12.5.1 Procedimientos de Control control de cambios. La implementacin de los cambios se debe controlar estrictamente mediante el uso de procedimientos formales de control de cambios. A.12.5.2 Revisin tcnica de las Control aplicaciones despus de cambios en el sistema Cuando los sistemas operativos cambian, las operativo. aplicaciones crticas del negocio se deben revisar y poner a prueba para asegurar que no hay impacto adverso en las operaciones o en la seguridad de la organizacin.

29

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.12 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN A.12.5.3 Restricciones en los Control cambios a los paquetes de software. Se debe desalentar la realizacin de modificaciones a los paquetes de software, que se deben limitar a los cambios necesarios, y todos los cambios se deben controlar estrictamente. A.12.5.4 Fuga de informacin Control Se deben impedir las oportunidades para fuga de informacin. A.12.5.5 Desarrollo de software Control contratado externamente El desarrollo de software contratado externamente debe ser supervisado y la organizacin debe hacer seguimiento de esto. A.12.6 Gestin de la vulnerabilidad tcnica Objetivo: reducir los riesgos resultantes de la explotacin de las vulnerabilidades tcnicas publicadas. A.12.6.1 Control de Control vulnerabilidades tcnicas Se debe obtener informacin oportuna acerca de las vulnerabilidades tcnicas de los sistemas de informacin usados, se debe evaluar la exposicin de la organizacin a estas vulnerabilidades, y se deben tomar las medidas apropiadas tomadas para abordar el riesgo asociado. A.13 GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN A.13.1 Reporte de eventos y debilidades de seguridad de la informacin Objetivo: asegurar que los eventos y debilidades de seguridad de la informacin asociados con los sistemas de informacin se comunican de una manera que permite que se tomen acciones correctivas oportunas. A.13.1.1 Reporte de eventos de Control seguridad de la informacin Los eventos de seguridad de la informacin se deben reportar a travs de los canales de gestin apropiados, lo ms rpidamente posible. A.13.1.2 Reporte de las Control debilidades de seguridad Todos los empleados, contratistas y usuarios por tercera parte, de sistemas y servicios de informacin, deben observar y reportar cualquier debilidad en la seguridad de sistemas o servicios, observada o que se sospeche. A.13.2 Gestin de incidentes y mejoras en la seguridad de la informacin Objetivo: asegurar que se aplica un mtodo consistente y eficaz a la gestin de los incidentes de seguridad de la informacin. A.13.2.1 Responsabilidades y Control procedimientos Se deben establecer responsabilidades y procedimientos de gestin para asegurar una respuesta rpida, eficaz y metdica a los incidentes de seguridad de la informacin. A.13.2.2 Aprendizaje de los Control incidentes de seguridad de la informacin Se deben implementar mecanismos para posibilitar que los tipos, volmenes y costos de los incidentes de seguridad de la informacin sean cuantificados y se les haga seguimiento.

30

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.13 GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN A.13.2.3 Recoleccin de evidencia Control En donde una accin de seguimiento contra una persona u organizacin despus de un incidente de seguridad de la informacin involucra acciones legales (ya sea civiles o penales), la evidencia se debe recolectar, retener y presentar para cumplir con las reglas para evidencia establecidas en la jurisdiccin pertinente. A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO A.14.1 Aspectos de seguridad de la informacin, de la gestin de la continuidad del negocio Objetivo: contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos crticos contra los efectos de fallas o desastres de gran magnitud en los sistemas de informacin, y asegurar su reanudacin oportuna. A.14.1.1 Incluir la seguridad de la Control informacin en el proceso de gestin de la Se debe desarrollar y mantener un proceso continuidad del negocio gestionado para la continuidad del negocio en toda la organizacin, que aborde los requisitos de seguridad de la informacin necesarios para la continuidad del negocio de la organizacin. A.14.1.2 Valoracin de la Control continuidad del negocio y del riesgo Se deben identificar los eventos que pueden causar interrupciones en los procesos del negocio, junto con la probabilidad e impacto de estas interrupciones y sus consecuencias para la seguridad de la informacin. A.14.1.3 Desarrollo e Control implementacin de planes de continuidad Se deben desarrollar e implementar planes para que incluyen seguridad mantener o restaurar las operaciones y asegurar la de la informacin disponibilidad de informacin al nivel requerido y en las escalas de tiempo requeridas despus de la interrupcin o falla de los procesos crticos del negocio. A.14.1.4 Estructura de planeacin Control de la continuidad del negocio Se debe mantener una sola estructura de los planes de continuidad del negocio para asegurar que todos los planes sean consistentes, abordar en forma consistente los requisitos de seguridad de la informacin, e identificar prioridades para ensayo y mantenimiento. A.14.1.5 Ensayo, mantenimiento y Control re-valoracin de los planes de continuidad del Los planes de continuidad del negocio se deben negocio poner a prueba y actualizar regularmente para asegurar que estn actualizados y sean eficaces.

31

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

Tabla A.1 (Continuacin) A.15 CUMPLIMIENTO A.15.1 Cumplimiento de los requisitos legales Objetivo: evitar incumplimiento de cualquier ley, obligacin estatutaria, reglamentaria o contractual, y de cualquier requisito de seguridad. A.15.1.1 Identificacin de la Control legislacin aplicable. Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes y el enfoque de la organizacin para cumplirlos, se deben definir y documentar explcitamente, y mantenerlos actualizados para cada sistema de informacin y para la organizacin. A.15.1.2 Derechos de propiedad Control intelectual (DPI). Se deben implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legislativos, reglamentarios y contractuales sobre el uso de material con respecto al cual puede haber derechos de propiedad intelectual, y sobre el uso de productos de software patentados. A.1.5.1.3 Proteccin de los registros de Control la organizacin. Los registros importantes se deben proteger contra prdida, destruccin y falsificacin, de acuerdo con los requisitos estatutarios, reglamentarios, contractuales y del negocio. A.15.1.4 Proteccin de los datos y Control privacidad de la informacin personal. Se debe asegurar la proteccin y privacidad de los datos, como se exige en la legislacin, reglamentaciones, y si es aplicable, clusulas contractuales pertinentes. A.15.1.5 Prevencin del uso Control inadecuado de las instalaciones de Se debe impedir que los usuarios usen las procesamiento de la instalaciones de procesamiento de la informacin. informacin para propsitos no autorizados. A.15.1.6 Reglamentacin de los Control controles criptogrficos. Se deben usar controles criptogrficos de conformidad con todos los acuerdos, leyes y reglamentaciones pertinentes. A.15.2 Cumplimiento de polticas y normas de seguridad y cumplimiento tcnico Objetivo: asegurar el cumplimiento de los sistemas con las polticas y normas de seguridad organizacionales. A.15.2.1 Cumplimiento de las polticas Control y normas de seguridad. Los gerentes deben asegurar que todos los procedimientos de seguridad dentro de su rea de responsabilidad se realicen correctamente para lograr el cumplimiento de las polticas y normas de seguridad. A.15.2.2 Verificacin del cumplimiento Control tcnico. Se debe verificar regularmente el cumplimiento de las normas de implementacin de seguridad.

32

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC
Tabla A.1 (Final)

DE 204/05

A.15 CUMPLIMIENTO A.15.3 Consideraciones de la auditora de sistemas de informacin Objetivo: maximizar la eficacia del proceso de auditora de sistemas de informacin y minimizar la interferencia desde y hacia ste. A.15.3.1 Controles de auditora de Control sistemas de informacin. Los requisitos y las actividades de auditora que involucran verificaciones sobre sistemas operacionales se deben planificar y acordar cuidadosamente para minimizar el riesgo de interrupciones en los procesos del negocio. A.15.3.2 Proteccin de las Control herramientas de auditora de Se debe proteger el acceso a las herramientas sistemas de informacin. de auditora del sistema de informacin, para evitar que se pongan en peligro o que se haga un uso inadecuado de ellas.

33

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC
ANEXO B (Informativo)

DE 204/05

PRINCIPIOS DE LA OCDE Y DE ESTA NORMA INTERNACIONAL Los principios presentados en la Directrices de la OCDE para la Seguridad de Sistemas y Redes de Informacin [1] se aplican a todos los niveles de poltica y operacionales que controlan la seguridad de los sistemas y redes de informacin. Esta norma internacional brinda una estructura del sistema de gestin de la seguridad de la informacin para implementar algunos principios de la OCDE usando el modelo PHVA y los procesos descritos en los numerales 4, 5, 6 y 8, como se indica en la Tabla B.1.
Tabla B.1 Principios de la OCDE y el modelo PHVA Principio OCDE Toma de conciencia Proceso de SGSI correspondiente y fase de PHVA Esta actividad es parte de la fase Hacer (vanse los numerales 4.2.2 y 5.2.2)

Los participantes deben estar conscientes de la necesidad de seguridad de los sistemas y redes de informacin y de lo que pueden hacer para mejorar la seguridad. Responsabilidad Esta actividad es parte de la fase Hacer (vanse los numerales 4.2.2 y 5.1) Todos los participantes son responsables por la seguridad de los sistemas y redes de informacin. Respuesta sta es en parte una actividad de seguimiento de la fase Verificar (vanse los numerales 4.2.3 y 6 a 7.3 y una Los participantes deberan actuar de una manera actividad de respuesta de la fase Actuar (vanse los oportuna y en cooperacin para evitar, detectar y numerales 4.2.4 y 8.1 a 8.3). Esto tambin se puede cubrir responder ante incidentes de seguridad. por algunos aspectos de las fases Planificar y Verificar. Valoracin de riesgos Esta actividad es parte de la fase Planificar (vase el numeral 4.2.1) y la revaloracin del riesgo es parte de la fase Verificar Los participantes deberan realizar valoraciones de (vanse los numerales 4.2.3 y 6 a 7.3). los riesgos. Diseo e implementacin de la seguridad Una vez que se ha realizado la valoracin de riesgos, se seleccionan controles para el tratamiento de riesgos como Los participantes deberan incorporar la seguridad parte de la fase Planificar (vase el numeral 4.2.1). La fase como un elemento esencial de los sistemas y redes Hacer (vanse los numerales 4.2.2 y 5.2) cubre la de informacin. implementacin y el uso operacional de estos controles. Gestin de la seguridad La gestin de riesgos es un proceso que incluye la prevencin, deteccin y respuesta a incidentes, Los participantes deberan adoptar un enfoque amplio mantenimiento, auditoras y revisin continuos. Todos estos hacia la gestin de la seguridad. aspectos estn cobijados en las fases de Planificar, Hacer, Verificar y Actuar. Revaloracin La revaloracin de la seguridad de la informacin es una parte de la fase Verificar (vanse los numerales 4.2.3 y 6 a Los participantes deberan revisar y revalorar la 7.3), en donde se deberan realizar revisiones regulares para seguridad de los sistemas y redes de informacin, y verificar la eficacia del sistema de gestin de la seguridad de hacer las modificaciones apropiadas a las polticas, la informacin; y la mejora de la seguridad es parte de la fase prcticas, medidas y procedimientos de seguridad. Actuar (vanse los numerales 4.2.4 y 8.1 a 8.3).

34

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC
ANEXO C (Informativo)

DE 204/05

CORRESPONDENCIA ENTRE LA NTC ISO 9001:2000, LA ISO 14001:1996, Y LA PRESENTE NORMA INTERNACIONAL La Tabla C.1 muestra la correspondencia entre la ISO 9001:2000, la ISO 14001:2004 y la presente norma internacional.
Tabla C.1 Correspondencia entre la ISO 9001:2000, la ISO 14001:2004 y la presente norma internacional Esta norma internacional Introduccin Generalidades Enfoque basado en procesos NTC ISO 9001:2000 0. Introduccin 0.1 Generalidades 0.2 Enfoque basado en procesos 0.3 Relacin con la norma ISO 9004 Compatibilidad con otros sistemas 1 Objeto 1.1 Generalidades 1.2 Aplicacin 2 Referencias normativas 0.4 Compatibilidad con otros sistemas de gestin 1. Alcance 1.1 Generalidades 1.2 Aplicacin 2. Referencias normativas 2. Referencias normativas 3. Trminos y definiciones 4. Requisitos del sistema de gestin ambiental 4.1 Requisitos generales 1. Objeto aplicacin y campo de NTC ISO 14001:1996 Introduccin

3 Trminos y definiciones 3. Trminos y definiciones 4. Sistema de gestin de la seguridad 4. Sistema de gestin de la calidad de la informacin 4.1 Requisitos generales 4.2 Establecimiento y gestin del SGSI 4.2.1 Establecimiento del SGSI 4.2.2 Implementacin y operacin del SGSI 4.2.3 Seguimiento y revisin del SGSI 8.2.3 Seguimiento procesos y medicin de los 4.1 Requisitos generales

4.4 Implementacin operacin 4.5.1 Seguimiento medicin

8.2.4 Seguimiento y medicin del producto 4.2.4 Mantenimiento y mejora del SGSI Contina . . .

35

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC
Tabla C.1 (Final)

DE 204/05

Esta norma internacional 4.3 Requisitos de documentacin 4.3.1 Generalidades

NTC ISO 9001:2000 4.2 Requisitos de documentacin 4.2.1 Generalidades 4.2.2 Manual de calidad

NTC ISO 14001:1996

4.3.2

Control de documentos

4.2.3 Control de documentos 4.2.4 Control de registros 5. Responsabilidad de la direccin 5.1 Compromiso de la direccin 5.2 Enfoque al cliente 5.3 Poltica de calidad 5.4 Planificacin 5.5 Responsabilidad, comunicacin 6. Gestin de los recursos 6.1 Provisin de recursos 6.2 Recursos humanos autoridad y

4.4.5 Control documentos 4.5.4 Control de registros

de

4.3.3 Control de registros 5. Responsabilidad de la direccin 5.1 Compromiso de la direccin

4.2 Poltica ambiental 4.3 Planificacin

5.2 Gestin de recursos 5.2.1 Provisin de recursos

5.2.2 Formacin, toma de conciencia 6.2.2 Competencia, toma de conciencia y 4.2.2 y competencia formacin formacin conciencia 6.3 Infraestructura 6. Auditoras internas del SGSI 7. Revisin del SGSI por la direccin 7.1 Generalidades 7.2 Informacin para la revisin 7.3 Resultados de la revisin 8. Mejora del SGSI 8.1 Mejora continua 8.2 Accin correctiva 8.3 Accin preventiva Anexo A Objetivos de control y controles Anexo B Principios de la OCDE y esta norma 6.4 Ambiente de trabajo 8.2.2 Auditora interna 5.6 Revisin por la direccin 5.6.1 Generalidades 5.6.2 Informacin para la revisin 5.6.3 Resultados de la revisin 8.5 Mejora 8.5.2 Mejora continua 8.5.3 Acciones correctivas 8.5.3 Acciones preventivas

Competencia, toma de

4.5.5 Auditora interna 4.6 Revisin por la direccin

4.5.3 No conformidad, accin correctiva y accin preventiva Anexo A Orientacin para el uso de esta norma internacional

Anexo C Correspondencia entre la Anexo A Correspondencia entre la ISO ISO 9001:2000, la ISO 14001:2004 y 9001:2000 y la ISO 14001:1996 Anexo B Correspondencia esta Norma Internacional entre la ISO 14001 y la ISO 9001

BIBLIOGRAFA 36

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA

NTC

DE 204/05

[1] [2] [3] [4] [5] [6] [7] [8] [9]

ISO 9001:2000, Quality Management Systems. Requirements. ISO/IEC 13335-1:2004, Information Technology. Part 1: Concepts and Models for Information and Communications Technology Security Management. ISO/IEC TR 13335-3:1998, Information Technology. Guidelines for the Management of IT Security. Part 3: T&chniques for the Management of IT Security. ISO/IEC TR 13335-4:2000, Information Technology. Guidelines for the Management of IT Security. Part 4: Selection of Safeguards. ISO 14001:2204, Environmental Management Systems. Requirements with Guidance for use. ISO/IEC TR 18044:2004, Information Technology. Security Techniques. Information Security Incident Management. ISO 19011:2002, Guidelines for Quality and/or Environmental Management Systems Auditing. ISO/IEC Guide 62:1996, General Requirements for Bodies Operating Assessment and Certification/registration of Quality Systems. ISO/IEC Guide 73:2002, Risk Management. Vocabulary. Guidelines for use in Standards.

Otras publicaciones [1] [2] [3] OECD, Guidelines for the Security of Information Systems and Networks. Towards a Culture of Security, Paris: OECD, July 2002. www.oecd.org. NIST SP 800-30, Risk Management Guide for Information Technology Systems. Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineerig Study, 1986.

37

ANTEPROYECTO DE NORMA TCNICA COLOMBIANA


DOCUMENTO DE REFERENCIA

NTC

DE 204/05

BRITISH STANDARDS INSTITUTION. Information Security Management Systems. Specification with Guidance for Use. London, BSI. pp 33 (BS 7799-2:2002).

PREPARADO POR: ________________________________________ FABIO ORLANDO CADENA C.

grr.

38

You might also like