+ All Categories
Home > Documents > Normas de seguridad de Informacion

Normas de seguridad de Informacion

Date post: 18-Dec-2015
Category:

Documents
Upload: huamani-genaro
View: 11 times
Download: 3 times
Download Report this document
Share this document with a friend
Description:
información de seguridad de la información para validad cualquier caso de lectura informativa gracias.
Popular Tags:
seguridad de informacin
poltica de seguridad
oficial de seguridad
coordinador de seguridad
ley de firmas
ley de proteccin
estado peruano
informacin comit
16
Política de Seguridad ECERNEP - ECEP - EREP Versión: 2.0 Ano: 2012 Oficial de Seguridad de Información Elaborado por: Coordinador de Seguridad de Información Comité para Acreditación - GCRD Gerente de Certificación y Registro Digital Revisado por: Aprobado por:
Transcript

  • Poltica de Seguridad

    ECERNEP - ECEP - EREP

    Versin: 2.0 Ano: 201 2

    Oficial de Seguridad de Informacin

    Elaborado por:

    Coordinador de Seguridad de Informacin

    Comit para Acreditacin - GCRD

    Gerente de Certificacin y Registro Digital

    Revisado por: Aprobado por:

  • Poltica de Seguridad ECERNEP - ECEP - EREP

    ~isiorial de Cambios Estado

    Aprobado

    Aprobado

    Responsable GCRD

    GCRD

    Descripcin Elaboracin y aprobacin. Se recoge observaciones del evaluador de INDECOPI.

    Ver.

    1 .O

    2.0

    Fecha 13/07/2012

    2011 112012

  • Poltica de Seguridad ECERNEP . ECEP . EREP

    ................................................................................................................ . 1 Objetivo 4 2 . Administracin del documento .............................................................................. 4

    3 . Base legal ............................................................................................................. 4

    4 . Alcance ................................................................................................................. 5

    5 . Responsables ....................................................................................................... 5

    6 . Glosario de trminos ............................................................................................. 6 . .

    ................................................................................................................ . 7 Politicas 7

    8 . Referencias ...................................................................................................... 16

  • Poltica de Seguridad ECERNEP - ECEP - EREP

    1. Objetivo Establecer el marco general y los lineamientos para la seguridad de la informacin que administra la Entidad de Certificacin Nacional para el Estado Peruano - ECERNEP, Entidad de Certificacin para el Estado Peruano - ECEP y Entidad de Registro o Verificacin para el Estado Peruano - EREP, del RENIEC; a fin de garantizar la disponibilidad, confidencialidad e integridad de la informacin durante el desarrollo de las operaciones y acciones que stas realizan.

    2. Administracin del documento

    a) Organizacin que administra el documento Registro IVacional de Identificacin y Estado Civil - RENIEC.

    Direccin Jr. Bolivia 109, Centro Cvico - 1-ima, Per. Telfonos: (01) 31 5 - 2700 - (01) 315 4000.

    b) Persona de contacto Oficial de Seguridad de Informacin de la Gerencia de Certificacin y Registro Digital. Telfono: (01) 31 5 2700 - (01) 31 5 4000 anexo 1195. Correo Electrnico: [email protected].

    3. Base legal

    Ley No 27269 Ley de Firmas y Certificados Digitales. Ley No 27310 Ley que modifica el artculo 11 O de la Ley No 27269. Ley No 29733 Ley de Proteccin de Datos Personales. Decreto Supremo 052-2008-PCM, Reglamento de la Ley de Firmas y Certificados Digitales. Resolucin Ministerial No 246-2007-PCM, del 22 de agosto de 2007, que Aprueban el uso obligatorio de la Norma Tcnica Peruana "NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la Informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin. 2da. Edicin" en todas las entidades integrantes del Sistema Nacional de Informtica. Resolucin Comisin de Reglamentos Tcnicos y Comerciales No 030- 2008/CRT-INDECOPI, del 12 de marzo de 2008, que Aprueban las Guas de Acreditacin de Entidades de Certificacin Digital, Entidades de Registro o Verificacin de Datos y Entidades de Prestacin de Servicios de Valor Aadido, as como la Gua para la Acreditacin del Software de Firmas Digitales. Resolucin Ministerial No 129-2012-PCM, del 23 de mayo del 2012, que aprueba el uso obligatorio de la norma NTP-ISO/IEC 27001:2008 EDI Tecnologa de la Informacin. Tcnicas de seguridad. Sistemas de Gestin i. de Seguridad de la Informacin. Requisitos.

  • Resolucin Jefatural No 265-201 O-JNACIRENIEC, del 30 de marzo de 201 0, que aprueba la Directiva DI-288-G11020 "Lineamientos generales de Seguridad de la Informacin". Resolucin Jefatural No 154-201 OIJIVACIRENIEC, del 03 de marzo de 201 0, que aprueba la Poltica de Seguridad de la Informacin del RENIEC.

    4. Alcance

    a) reas de alcance El contenido de la presente poltica as como las reglas o normas y procedimientos que se deriven de ella, sern de cumplimiento obligatorio para el personal de la ECERNEP, ECEP y EREP del RENIEC, as como del personal de las distintas unidades orgnicas del RENIEC que participen en la ejecucin de las actividades que son parte del proceso de certificacin digital.

    La presente poltica as como las reglas o normas y procedimientos que se deriven de ella, tambin sern de cumplimiento obligatorio para los proveedores de servicios o terceros de la ECEP y EREP del REhIIEC.

    b) Servicios de alcance La presente Poltica de Seguridad de la Informacin aplica para los siguientes servicios:

    EREP - RENIEC: comprende los servicios de emisin, cancelacin y entrega de certificados digitales, as como la proteccin de los documentos sustentatorios y su archivo ya sean en formato fsico o digital.

    ECEP - RENIEC: Comprende los servicios de emisin y cancelacin de certificados digitales, administracin de su ciclo de vida, administracin de repositorio y consulta de estado de certificados digitales.

    c) Inclusiones de este documento El presente documento incluye los siguientes aspectos: la evaluacin de riesgos, control de acceso, seguridad de personal, seguridad fsica, seguridad de comunicaciones y redes, mantenimiento de equipos y su desecho, control de cambios y configuracin, planificacin de contingencias, respuesta a incidentes, auditoras y deteccin de intrusiones, medios de almacenamiento y la administracin de claves; todos ellos dentro del mbito de las actividades que la ECEP y EREP del RENIEC realizan.

    Responsables

    Responsables de aprobar y apoyar la implementacin de la Poltica de Seguridad ECEP - EREP

    La Gerencia de Certificacin y Registro Digital del RENIEC.

    5

  • Poltica de Seguridad ECERNEP - ECEP - EREP

    Responsables de elaborar, efectuar revisiones peridicas, proponer y apoyar la implementacin de la Poltica de Seguridad ECEP - EREP

    El Oficial de Seguridad de Informacin de la GCRD. El Coordinador de Seguridad de Informacin de la GCRD. El Comit para la Acreditacin ECERhIEP, ECEP y EREP de la GCRD.

    Responsables de implementar la Poltica de Seguridad ECEP - EREP

    Las unidades orgnicas del REhllEC involucradas en el proceso de certificacin digital, en los aspectos que les correspondan.

    Responsables de supervisar el cumplimiento de la Poltica de Seguridad ECEP - EREP

    El Oficial de Seguridad de Informacin de la GCRD. El Coordinador de Seguridad de Informacin de la GCRD. Cada Gerente de las unidades orgnicas del RENIEC involucradas en el proceso de certificacin digital. Los Supervisores de Seguridad de Informacin y Privacidad de Datos de las unidades orgnicas que conforman la ECEP y EREP.

    6. Glosario de trminos

    Activo: Algo que tenga valor para la organizacin Anlisis de riesgos: Uso sistemtico de la informacin para identificar orgenes y estimar el riesgo. Amenaza: Una causa potencial de un incidente no-deseado, el cual puede resultar en dao a un sistema u organizacin. Control: Herramienta de la gestin de riesgos, incluido polticas, pautas, estructuras organizacionales, que pueden ser de naturaleza administrativa, tcnica, gerencia1 o legal. Evaluacin del riesgo: Proceso general de anlisis y evaluacin del riesgo. Evento de seguridad de la informacin: Cualquier evento de seguridad de la informacin es una ocurrencia identificada del estado de un sistema, servicio o red, indicando una posible falla en la poltica de seguridad de la informacin o falla en las salvaguardas, o una situacin previamente desconocida que puede ser relevante para la seguridad. Gestin del riesgo: Actividades coordinadas para dirigir y controlar una

    - .

    organizacin considerando el riesgo. Identidad digital: Es el reconocimiento de la identidad de una persona en un medio digital (como por ejemplo Internet) a travs de mecanismos tecnolgicos

  • seguros y confiables, sin necesidad de que la persona est presente fsicamente. Incidente de seguridad de la informacin: Es indicado por una o varias series de eventos inesperados y no deseados que tienen una gran probabilidad de comprometer las operaciones de negocio y de amenazar la seguridad de la informacin. Riesgo: Combinacin de la probabilidad de un evento y sus consecuencias. Seguridad de la Informacin: Preservacin de la confidencialidad, disponibilidad o integridad de la informacin, as mismo, otras propiedades como la autenticidad, no rechazo, veracidad o confiabilidad tambin pueden ser consideradas. Tratamiento del riesgo: Proceso de seleccin e implementacin de medidas o controles para modificar el riesgo. Vulnerabilidades: Debilidades de seguridad asociadas con los activos de informacin.

    7. Polticas

    Genrica

    El RENIEC en su calidad de Entidad de Certificacin Nacional para el Estado Peruano - ECERNEP, Entidad de Certificacin para el Estado Peruano - ECEP y Entidad de Registro o Verificacin para el Estado Peruano - EREP, reconoce como su activo principal a la informacin resultante del proceso de certi.ficacin digital, que permite la generacin de la identidad digital; en tal sentido, se efecta el anlisis y evaluacin de los riesgos, la aplicacin de controles y la toma de conciencia en el personal, de modo que nos permita mantener la confidencialidad, integridad y disponibilidad de la misma, as como dar cumplimiento a los requisitos tcnicos y legales vigentes.

    Especificas

    ,1\cL(l*bt. a. Organizacin

    El RENIEC ha establecido la siguiente estructura de gestin de la *. , seguridad de la informacin en el mbito de la ECERNEP, ECEP y EREP

    del RENIEC con la finalidad de implementar en el proceso de certificacin digital controles que perrriitan asegurar la confidencialidad, integridad y disponibilidad de la informacin.

    REU~C' '

    Versin: 2.0 7

  • Poltica de Seguridad ECERNEP - ECEP - EREP

    Gerencia de Certificacin y Registro Digital

    ial de Privacidad

    Seguridad de Informacin de la

    CRD --

    E de la Informacin de 1

    Supervisores de Seguridad de 1

    Privacidad de Datos ECEP - RENIEC

    Supervisores de Seguridad de 1 Informacin y (

    Privacidad de Datos 1 EREP - R

    a-

    Fig. l : Estructura de gestin de la Seguridad de la Informacin en la ECERNEP- EREP- ECEP

    El Oficial de Seguridad de Informacin y el Coordinador de Seguridad de Informacin de la GCRD, tienen entre sus funciones la elaboracin de la Poltica de Seguridad, as mismo, despus de la aprobacin de esta poltica por la Gerencia de Certificacin y Registro Digital, esta ser publicada a travs de la lntranet para conocimiento de todo el personal de las distintas unidades orgnicas que interviene en el proceso de certificacin digital.

    La Gerencia de Certificacin y Registro Digital tambin tiene entre sus responsabilidades coordinar el desarrollo de las auditoras internas a intervalos planificados o cuando ocurran cambios significativos en la puesta en marcha de la seguridad; as mismo, asignar las distintas responsabilidades respecto a la Seguridad de la Informacin a las unidades involucradas en el proceso de certificacin digital.

    Con la finalidad de garantizar la disponibilidad, confidencialidad e integridad de la informacin, coordinar la ejecucin de revisiones y actualizaciones peridicas de la Poltica de Seguridad en concordancia con los riesgos identificados, requerimientos de la entidad, leyes y regulaciones

    Para asegurar la Proteccin de Datos Personales se cuenta con un Oficial de Privacidad de Datos de la GCRD responsable de la supervisin del

  • Poltica de Seguridad ECERNEP - ECEP - EREP

    cumplimiento de la normativa sobre proteccin de datos personales y la implementacin de las acciones respectivas.

    Para la supervisin de la Seguridad de la Informacin se cuenta en la Gerencia de Certificacin y Registro Digital con un Oficial de Seguridad de Informacin quien tiene la responsabilidad de supervisar la implementacin de la visin de seguridad de la informacin, as como de las estrategias, programas, polticas, procedimientos y controles relacionados a la seguridad de la informacin en el mbito de la ECERNEP, EREP-RENIEC y ECEP-REbIIEC.

    Para la planificacin y ejecucin de las auditoras internas a la ECEP - RENIEC y EREP RENIEC, la Gerencia de Certificacin y Registro Digital cuenta con un Analista de Control Interno, quien en coordinacin con las Gerencias involucradas en el proceso de Certificacin Digital establecer la frecuencia y los recursos necesarios para ejecutar las auditoras internas en el Plan Anual de Auditoria Interna.

    Corresponde a los Supervisores de Seguridad de la Informacin y Privacidad de Datos designados por las unidades orgnicas que conforman la EREP y ECEP, el verificar el cumplimiento de la Poltica de Seguridad y el Plan de Seguridad en la ECEP-RENIEC y EREP-RENIEC.

    b. Evaluacin de riesgos

    Para cada proceso vital o crtico que se desarrolla en el mbito de la EREP-RENIEC y ECEP-RENIEC, se deber efectuar el anlisis y evaluacin de riesgos, tenindose en consideracin tanto las amenazas internas como las externas; asimismo, se identificarn, evaluarn e implementarn las opciones de tratamiento del riesgo que permitan mitigar el impacto en los activos de informacin involucrados en el proceso de certificado digital.

    La evaluacin y tratamiento del riesgo se realizar de acuerdo a la Metodologa de Anlisis y Tratamiento del Riesgo definida por la ECEP- RENIEC y EREP-RENIEC.

    La EREP y ECEP son responsables de realizar la evaluacin de los riesgos en el mbito de sus competencias, debiendo presentar los resultados de la evaluacin a la Gerencia de Certificacin y Registro Digital y proponer las respectivas opciones para su tratamiento.

    Corresponder a la Gerencia de Certificacin y Registro Digital en i concordancia con la Jefatura Nacional, decidir si se acepta el riesgo o se brinda las facilidades necesarias para implementar las opciones de

    Se controlar el acceso a la informacin confidencial generada durante el proceso del certificado digital, en concordancia con lo establecido en el

    9

  • Poltica de Seguridad ECERNEP - ECEP - EREP

    Plan de Privacidad de la ECEP-RENIEC y EREP-REhIIEC, as como la informacin reservada de la ECERNEP y los resultados de la evaluacin de riesgos.

    La administracin del acceso a los usuarios considerar que:

    Toda solicitud de acceso fsico y lgico, as como la administracin de las cuentas de usuario a los activos de informacin deber ser realizada conforme a los procedimientos establecidos.

    Slo se asignar cuentas de acceso individuales, si por razones de operacin se requiere el uso de una misma cuenta para ms de un usuario, lo que deber ser de conocimiento del Oficial de Seguridad de Informacin de la GCRD y aprobado por la Gerencia correspondiente al rea usuaria.

    El personal que reciba una cuenta de usuario para el acceso a los activos de informacin de la ECEP-RENIEC y10 EREP-RENIEC deber hacer uso adecuado de sus contraseas de acceso manteniendo la confidencialidad de la misma, no dejando sus estaciones de trabajo desatendidas, solicitando su cambio de contrasea si tiene algn indicio de su vulnerabilidad y seleccionado una contrasea que tenga un nivel adecuado de complejidad; es responsabilidad del supervisor del personal el informar a ste sobre el cumplimiento estas disposiciones y el verificar su cumplimiento.

    Es responsabilidad de los propietarios de los activos de informacin de la ECEP-RENIEC y EREP-RENIEC clasificar la informacin (fsica o digital) de acuerdo a lo indicado en los lineamientos definidos para la clasificacin de informacin. Asimismo, identificar y agrupar a los usuarios, considerando su necesidad de informacin para el desarrollo de sus funciones o labores que realizan, con la finalidad de establecer los niveles de acceso a la base de datos, sistemas y/o aplicativos, centros de datos, infraestructura de procesamiento de informacin, archivos fsicos y electrnicos, de acuerdo con el resultado de la evaluacin de riesgos y los requerirnientos de la organizacin.

    Con respecto a los accesos de entidades, organizaciones o instituciones externas que requieran acceder a los servicios de la ECEP-RENIEC, se deber controlar los accesos lgicos proporcionados a dichas entidades estableciendo interfaces seguras entre la red de datos del RENIEC y la red de datos de la entidad externa, a nivel de puertos para los que se requieren los servicios.

    Previo al acceso a los servicios del RENIEC, dichas entidades externas debern firmar un acuerdo de confidencialidad y un compromiso a salvaguardar la integridad, disponibilidad y confidencialidad de la informacin que utilice o sea de su conocimiento.

    Corresponde a las unidades orgnicas que conforman la ECEP-RENIEC y la EREP-RENIEC establecer un proceso peridico de revisiones de los derechos de acceso tanto de su personal como de los usuarios de

    1 o

  • entidades externas, as mismo, programar revisiones peridicas de las polticas configuradas en su red de datos.

    Es responsabilidad del encargado o supervisor de cada unidad solicitar en el menor tiempo posible la inactivacin de las cuentas de usuario cuando estos ya no presten servicios para la ECERNEP, EREP-REhIIEC o ECEP- REIVIEC, o cuando el usuario o entidad externa ya no requiera del acceso a la informacin del RENIEC.

    d. Seguridad de personal

    Cada rea o unidad debe asegurar que el personal, contratista y terceros reciban y comprendan sus responsabilidades respecto al uso y tratamiento de los activos de informacin relacionados al proceso de certificacin digital, con la finalidad de reducir el riesgo de hurto, fraude o mal uso de la informacin. As mismo, debern asegurar la implementacin de controles de seguridad relacionados al personal, antes, durante y finalizado el empleo o servicio brindado a la ECERNEP, ECEP-RENIEC y10 EREP- REhIIEC.

    Antes del empleo:

    Los perfiles de los puestos debern ser definidos en base a las funciones que se van a desarrollar y las responsabilidades que les competan. La Gerencia de Recursos Humanos debe implementar controles para la seleccin y contratacin del personal, a fin de verificar la veracidad de los datos proporcionados por los postulantes, as como sus antecedentes penales y policiales. Para el caso de quienes tienen roles de confianza, se efectuar la verificacin de sus antecedentes crediticios. Para los servicios efectuados por terceros, la verificacin de los datos la efectuar el proveedor del servicio. El REhIIEC se reserva el derecho de verificar dicha documentacin. Cada una de las personas que presta servicios en la ECERNEP, ECEP-RENIEC y EREP-RENIEC deben firmar un acuerdo de confidencialidad y10 un documento de compromiso para salvaguardar la integridad, disponibilidad y confidencialidad de la informacin que utilice 6 sea de su conocimiento.

    Durante el empleo:

    Toda persona que presta servicios en la ECERNEP, ECEP-REhIIEC o EREP-RENIEC, recibir charlas de induccin en materia de Seguridad de la Informacin. Se deben desarrollar actividades de capacitacin continua dirigidas a mantener actualizados los conocimientos del personal respecto al uso y reserva de la informacin, as como a las polticas y procedimientos relevantes para sus funciones. Estas actividades de capacitacin as

    I

  • como los responsables de efectuarlas estarn definidas en el Plan de Capacitacin. Para los casos de tercerizacin de servicios se informar al prestador del servicio cules son los criterios que deber considerar para la seguridad de la informacin, as como tambin, se monitorear y revisar su cumplimiento. Todo incumplimiento de la Poltica de Seguridad de parte del personal o proveedores, debern ser informadas, por el personal que tome conocimiento del hecho, al Oficial de Seguridad de Informacin de la GCRD para su anlisis, evaluacin y comunicacin a la Gerencia de Recursos Humanos, afn de que sta proceda a la sancin que corresponda en concordancia con su normativa correspondiente o en el caso de los proveedores para su comunicacin a la Gerencia de Administracin para la sancin que corresponda de acuerdo a la Ley de Contrataciones del Estado o a lo establecido en el Contrato.

    Finalizacin del empleo:

    Todo cambio o finalizacin de funciones deber realizarse de acuerdo a los procedimientos del RENIEC, incluyendo la entrega de los bienes asignados al personal. De igual modo, cada encargado o supervisor de unidad deber solicitar el retiro de accesos a la informacin o servicios de la ECERNEP, ECEP-RENIEC y EREP-RENIEC de todo personal que ya no labore en su unidad.

    La Gerencia de Recursos Humanos, la Gerencia de Administracin, y las Gerencias de las Unidades Orgnicas que conforman la ECERNEP, ECEP y EREP, son los responsables de implementar lo estipulado en la Poltica de Seguridad con el personal y proveedores, respectivamente.

    e. Seguridad fsica

    La ECERhIEP, ECEP-RENIEC y EREP-RENIEC deben implementar controles de seguridad fsica con la finalidad de prevenir accesos no autorizados a los ambientes en que se procesa o resguarda informacin confidencial, as mismo, evitar el dao o perdida de los activos de informacin crticos que intervienen en el proceso de certificacin digital.

    Se deben delimitar los permetros del ambiente en que se procesa o resguarda la informacin sensible, y se establecern los controles fsicos de entrada y salida; asimismo, se instalarn controles de seguridad contra incendios, aniegos y otros, que permitan alertar en casos de emergencia.

    Los ambientes sern diseados e implementados adecuadamente para la seguridad de los recursos que albergan y del personal. Se deber, as mismo, establecer controles de acceso a los ambientes, al uso de las llaves de los mismos, y asignar a los responsables respectivos. As mismo,

  • Poltica de Seguridad ECERNEP - ECEP - EREP

    Estas polticas de seguridad fsica se deben considerar tambin para los ambientes de contingencia.

    La Oficina de Seguridad y Defensa Nacional, y las Gerencias de las Unidades Orgnicas que conforman la ECERNEP, ECEP y EREP, son los responsables de implementar las polticas de seguridad fsica.

    f. Seguridad de comunicaciones y redes

    Se deben establecer responsabilidades y procedimientos documentados de operacin asociado al procesamiento de informacin y recursos de comunicaciones, con el objetivo de evitar daos, accesos no autorizados, mal uso de los activos de informacin, garantizar la seguridad de los datos y la disponibilidad de los servicios utilizados a travs de la red del RENIEC y del internet.

    En lo posible se segregarn las tareas e implementar un procedimiento de gestin de cambios con la finalidad de prevenir modificaciones no autorizadas en los equipos de comunicaciones y redes.

    La ECEP-RENIEC asegurar que los datos disponibles en los repositorios pblicos se encuentren protegidos, as mismo, deber garantizar la disponibilidad de los mismos.

    Es responsabilidad de la Gerencia de informtica y las Gerencias de las Unidades Orgnicas que conforman la ECERNEP, ECEP y EREP, el implementar las polticas de seguridad de comunicaciones y redes.

    g. Mantenimiento de equipos y su desecho

    Se debe asegurar la disponibilidad e integridad de los equipos a travs de un adecuado plan de mantenimiento. Antes del su desecho o reso de los equipos se revisar que toda informacin sensible haya sido removida o sobre escrita con la finalidad de prevenir el acceso no autorizado a informacin sensible.

    Se debe elaborar un plan de mantenimiento preventivo especialmente para los equipos crticos, el cual se realizar segn el procedimiento establecido por el RENIEC, documentndose los incidentes que ocurran antes, durante y despus del mantenimiento. ,

    u El reemplazo, decomiso, manipulacin y desecho, tanto del hardware como del software, se realizarn de acuerdo a los criterios establecido por RENIEC para el correcto uso de los equipos.

    La Gerencia de Administracin, la Gerencia de Informtica, y las Gerencias de las Unidades Orgnicas que conforman la ECERNEP, ECEP y EREP, sern los responsables de implementar las polticas de mantenimiento de equipo y su desecho. As mismo, corresponde a la Gerencia de

    13

  • Poltica de Seguridad ECERNEP - ECEP - EREP

    Informtica, la Gerencia de Registros de Identificacin y a la ECEP- RENIEC el efectuar los mantenimientos de los equipos de su competencia.

    h. Control de cambios y configuracin

    La ECEP-RENIEC y EREP-REIVIEC deben asegurar un control satisfactorio de todos los cambios realizados a los equipos, software y procedimientos, en lo posible se deber garantizar la posibilidad de revertir los cambios efectuados sin xito.

    Se deber realizar y aprobar los cambios en los sistemas y recursos de tratamiento de informacin, de acuerdo a lo establecido; as mismo, previo al cambio se efectuar un anlisis de impacto a los sistemas y procesos, comunicando el cambio a todos los involucrados. Se ha dispuesto que todo cambio o modificacin que se realice al sistema sea debidamente documentado, y adems que dichas modificaciones se efecten de preferencia, fuera del horario de atencin a los clientes o en horas de menor demanda.

    Corresponde a la Gerencia de Informtica, y las Gerencias de las Unidades Orgnicas que conforman la ECERNEP, ECEP y EREP, implementar las polticas asociadas a la gestin de cambios y configuracin.

    i. Planificacin de contingencias

    La ECEP-RENIEC y EREP-RENIEC implementarn un Plan de Contingencias a nivel de servicios, que les permita reaccionar ante una posible interrupcin en las actividades crticas del proceso de certificacin digital, y en el tiempo requerido por el RENIEC.

    Para establecer el Plan de Contingencias se identificarn procesos crticos para el servicio prestado por la ECEP-RENIEC y EREP-RENIEC, los eventos que pueden ocasionar interrupciones en estos procesos, y los planes o acciones que se debern efectuar para mantener y recuperar las operaciones, as como el periodo en que estos debern recuperarse.

    Se deber establecer pruebas peridicas del Plan de Contingencias en un lugar alternativo, que permitan evaluar su eficacia y efectuar su actualizacin.

    Corresponde a las Gerencias de las Unidades Orgnicas que conforman la ECERNEP, ECEP y EREP, implementar las polticas de planificacin de contingencias.

    Respuesta a incidentes

    Se deber clasificar, comunicar y atender los incidentes de manera rpida, eficaz y sistemtica, a fin de garantizar el restablecimiento del servicio

  • Poltica de Seguridad ECERNEP - ECEP - EREP

    Para el caso de los incidentes que afecten la seguridad de la informacin, se deber establecer que toda persona (personal o proveedor) que presta servicios en la ECEP-RENIEC y EREP-RENIEC deber comunicar oportunamente al Oficial de Seguridad de Informacin de la GCRD o persona designada, cuando se haya detectado o tomado conocimiento del incidente. Adicionalmente, los Supervisores de Seguridad de la Informacin y Privacidad de Datos, tanto de la ECEP-RENIEC como de la EREP-RENIEC debern llevar un registro de los incidentes de seguridad ocurridos en su mbito de alcance, monitoreando la implementacin de las acciones correctivas o preventivas que ameriten.

    Las Gerencias de las Unidades Orgnicas que conforman la ECERLIEP, ECEP y EREP sern los responsables de implementar la poltica de respuesta a incidentes.

    k. Auditorias y deteccin de intrusiones

    Se programarn como mriimo auditoras semestrales, las cuales se ejecutarn de acuerdo al Plan Anual de Auditoria. Al trmino de la auditoria el rea o persona auditada deber implementar en el menor tiempo posible las acciones correctivas y preventivas identificadas.

    Se debern ejecutar pruebas peridicas de deteccin de intrusiones, as como, implementar controles que permitan alertar los intentos de acceso no autorizados.

    Los sistemas y procesos (manuales o automticos) debern contar con registros de auditora actualizados, los mismos que deben brindar informacin de la accin ejecutada, como hora, fecha, identificacin del personal, software y hardware utilizado, segn corresponda.

    Corresponde al Analista de Control Interno de la Gerencia de Certificacin y Registro Digital elaborar el Plan Anual de Auditora Interna y a la Gerencia de Certificacin y Registro Digital aprobarlo, y a las Gerencias de las Unidades Orgnicas que conforman la ECERNEP, ECEP y EREP brindar las facilidades necesarias para su ejecucin. Las pruebas peridicas de deteccin de lntrusiones para la ECEP-RENIEC y EREP- RENIEC sern programadas en el Plan de Auditoria Interna. Adicionalmente, los controles de deteccin de intrusiones debern ser implementados por la Gerencia de Informtica, Gerencia de Registros de Identificacin y la ECEP - RENIEC segn corresponda.

    l. Medios de almacenamiento

    Se asegurar la proteccin de los documentos, medios informticos, datos de entrada o salida y documentacin del proceso de certificacin digital, de las ocurrencias como dao, modificacin, robo o acceso no autorizado.

    La ECEP-REIVIEC y EREP-RENIEC deben establecer el procedimiento para la administracin de los medios de almacenamiento de informacin, y

    I

  • Poltica de Seguridad ECERNEP - ECEP - EREP

    los controles de seguridad requeridos para el almacenamiento, uso y proteccin de la informacin, considerndose tarribin el uso de los medios de almacenamiento removibles, el proceso de eliminacin segura de informacin, la planificacin y ejecucin de copias de seguridad, as como su proceso de restauracin.

    La Gerencia de Informtica, Gerencia de Registros de Identificacin y la ECEP - RENIEC, tendrn bajo su responsabilidad la implementacin de la Poltica de Medios de Almacenamiento de acuerdo a su competencia.

    m. Administracin de Claves

    La ECERhlEP y ECEP-RENIEC deben asegurar la confidencialidad de claves criptogrficas e implementarn para su proteccin los controles requeridos de acuerdo al nivel de seguridad acreditado.

    La proteccin de las claves criptogrficas administradas por la ECERNEP, y las administradas por la ECEP-RENIEC y EREP-RENIEC correspondientes a entidades finales, se efectuar conforme a lo establecido en el Plan de Seguridad y Administracin de Claves.

    Las gerencias de las unidades orgnicas que conforman la ECERNEP, EREP-RENIEC y ECEP-RENIEC tiene la responsabilidad de implementar lo establecido en el Plan de Seguridad y Administracin de Claves.

    8. Referencias

    La norma ISO/IEC 17799 "lnformation technology - Code of practice for information security management" y la norma ISO/IEC TR13335 "Information technology - Guidelines for the management of IT Security". La norma ISO/IEC 27001 :2005 "lnformation technology - Security techniques - lnformation security managementsystems - Requirements". La norma ISO/IEC 15408 "lnformation technology - Security techniques - Evaluation criteria for IT security".


Recommended
VERSION 001 M-DE-0008 MANUAL DE SEGURIDAD DE LA ...1 M-DE-0008 VERSION 001 MANUAL DE SEGURIDAD DE LA INFORMACION MANUAL INTRODUCCION Este Manual recopila las políticas y normas de

VERSION 001 M-DE-0008 MANUAL DE SEGURIDAD DE LA ...1 M-DE-0008 VERSION 001 MANUAL DE SEGURIDAD DE LA INFORMACION MANUAL INTRODUCCION Este Manual recopila las políticas y normas de

Documents

normas seguridad en el laboratorio de quimica

normas seguridad en el laboratorio de quimica

Documents

Normas de Seguridad de Presas

Normas de Seguridad de Presas

Documents

VERSION 001 M-DE-0008 MANUAL DE SEGURIDAD DE LA ... · MANUAL DE SEGURIDAD DE LA INFORMACION MANUAL INTRODUCCION Este Manual recopila las políticas y normas de seguridad de la información

VERSION 001 M-DE-0008 MANUAL DE SEGURIDAD DE LA ... · MANUAL DE SEGURIDAD DE LA INFORMACION MANUAL INTRODUCCION Este Manual recopila las políticas y normas de seguridad de la información

Documents

Curso Evolucion Historia Clasificacion Automoviles Normas Seguridad Pasiva Activa

Curso Evolucion Historia Clasificacion Automoviles Normas Seguridad Pasiva Activa

Documents

Manufactura - Posipedia · 2018-09-22 · • Normas generales de seguridad para el sector manufactura. • Seguridad en espacios confinados. • Seguridad con equipos móviles (carretilla,

Manufactura - Posipedia · 2018-09-22 · • Normas generales de seguridad para el sector manufactura. • Seguridad en espacios confinados. • Seguridad con equipos móviles (carretilla,

Documents

Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion

Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion

Engineering

Normas de Seguridad Equipo Oxiacetilenico

Normas de Seguridad Equipo Oxiacetilenico

Documents

LAB 2. Normas de Seguridad y Primeros Auxilios en Laboratorios

LAB 2. Normas de Seguridad y Primeros Auxilios en Laboratorios

Documents

Diapositivas Normas de Informacion Financiera Nif

Diapositivas Normas de Informacion Financiera Nif

Documents

2023909 manual-de-politicas-y-normas-de-seguridad-informatica

2023909 manual-de-politicas-y-normas-de-seguridad-informatica

Documents

NORMA INTERNACIONAL DE INFORMACION FINANCIERA No 4 CONTRATOS DE SEGUROS ... NIIF 4.pdf · las niifs normas internacionales de informacion financiera en el ecuador por: cpa.jose arrobo

NORMA INTERNACIONAL DE INFORMACION FINANCIERA No 4 CONTRATOS DE SEGUROS ... NIIF 4.pdf · las niifs normas internacionales de informacion financiera en el ecuador por: cpa.jose arrobo

Documents

TERRESTRIAL & SATELLITE DIGITAL TV …€¦ · 4 NORMAS DE PRECAUCIÓN Y SEGURIDAD Antes de instalar su equipo SMATV, por favor lea detenidamente las siguientes normas de seguridad

TERRESTRIAL & SATELLITE DIGITAL TV …€¦ · 4 NORMAS DE PRECAUCIÓN Y SEGURIDAD Antes de instalar su equipo SMATV, por favor lea detenidamente las siguientes normas de seguridad

Documents

IMPORTANT SAFETY INFORMATION INFORMACION IMPORTANTE … · informacion importante de seguridad advertencia: no utilice este producto hasta que revise bien todas las instrucciones

IMPORTANT SAFETY INFORMATION INFORMACION IMPORTANTE … · informacion importante de seguridad advertencia: no utilice este producto hasta que revise bien todas las instrucciones

Documents

CODIGO 7. SECURITY – SEGURIDAD FISICA Y DE LA INFORMACION.

CODIGO 7. SECURITY – SEGURIDAD FISICA Y DE LA INFORMACION.

Documents

LAB 1. Normas de Seguridad

LAB 1. Normas de Seguridad

Documents

Manual de Usuario R 25c - MICHIGAN ARGENTINA · Capacidad de carga materiales - suelos Normas de seguridad Ampliación de las normas de seguridad Instrumentos y controles Remolcado

Manual de Usuario R 25c - MICHIGAN ARGENTINA · Capacidad de carga materiales - suelos Normas de seguridad Ampliación de las normas de seguridad Instrumentos y controles Remolcado

Documents

VIDA EN LA NATURALEZA - ispef-cat.infd.edu.ar · Normas de seguridad para las ... aplicando las reglas de tránsito, normas de seguridad tratado de equipo ... resolución de problemas

VIDA EN LA NATURALEZA - ispef-cat.infd.edu.ar · Normas de seguridad para las ... aplicando las reglas de tránsito, normas de seguridad tratado de equipo ... resolución de problemas

Documents