Nuevas tecnologías aplicadas a la gestión documental
Las microformas en la gestión del documento electrónico Base legal y técnica
Miguel Véliz Granados Secretario Técnico del Comité Especializado de normalización li ió de d microformas i f di i l digitales Mayo 2010
1
OBJETIVO
Conocer los requisitos q establecidos en las normas legales y técnicas para la gestión de documentos electrónicos en la implementación de líneas de producción de g microformas orientadas a obtener valor legal
2
PROLOGO
En ell Perú E P ú ell uso de d las l tecnologías t l í de d avanzada d en materia t i de archivo de documentos e información está regulada por un conjunto de normas legales orientadas a:
Otorgar facilidades para elaborar microformas tanto por procesos convencionales como informáticos en computadoras
Otorgar reconocimiento de valor legal a los archivos conservados mediante microformas que permitan ahorro de espacio y costos a las g colaborando a su eficiencia y p productividad. organizaciones,
Aprovechar los adelantos de la tecnología en beneficio de actividades empresariales, alentando las inversiones y mejorando sus rendimientos. 3
LOS ARCHIVOS DE LAS ORGANIZACIONES
Constituyen el legajo de la gestión documental. documental Son objeto de consulta interna y externa. Ti Tienen valor l histórico, hi tó i valor l de d activo ti y/o patrimonial para la organización. Deben ser conservados por periodos establecidos t bl id por la l organización i ió o por orden legal.
4
La gestión de la documentación y la información en las organizaciones
Adecuado soporte para la gestión y toma de decisiones I Incrementa t l la productividad d ti id d y la l competitividad Es dependiente de la tecnología de la información y las comunicaciones Tiene aptitud para el rápido acceso y difusión a distancia Facilita el ingreso g al contexto de la internacionalización de los intercambios comerciales.
5
Normas legales y reglamentarias que enmarcan la elaboración de microformas (MFS)
DL Nº 681 - 14 de octubre de 1991
DS Nº 009-92-JUS – 27 de jjunio 1992
Amplían alcances del DL Nº 681 a las entidades públicas a fin de modernizar el sistema de archivos oficiales
Resolución Nº 070-97/INDECOPI-CRT – 16 de enero 1998
Modificatoria del DL Nº 681
DL N° 827 – 05 de d junio j i de d 1996
Reglamento del DL Nº 681
Ley Nº 26612 - 21 de mayo de 1996
Regula el uso de tecnologías de avanzada para el archivo de documentos
Aprueban el reglamento para la certificación de la idoneidad técnica del sistema de producción y almacenamiento de microformas
DS N° 002-98-ITINCI – 21 de febrero de 1998
Aprueban A b requisitos i it y procedimiento di i t para otorgamiento t i t de d certificado tifi d de d idoneidad id id d técnica para la confección de microformas 6
Normas legales y reglamentarias que enmarcan la elaboración de microformas (MFS)
DS Nº 001-2000-JUS - 26 de marzo de 2000
Ley N° 27269 – 28 de mayo de 2000
Reglamento para supervisión de eventos de capacitación de fedatarios juramentados con especialidad en informática
DL N° 1030 - 24 de junio de 2008
Ley de Firmas y Certificados Digitales
RM N N° 169 169-2000-JUS 2000 JUS – 24 de junio de 2000
Reglamentan la ampliación del alcance del DL Nº 827 y se establecen requisitos para la formación de los representantes de la fe pública
Ley de los sistemas nacionales de normalización y acreditación- SNA
DS N° 052-2008-PCM 052 2008 PCM – 19 de d julio j li 2008
Reglamento de la Ley de Firmas y Certificados Digitales
7
Normas legales y reglamentarias que enmarcan la elaboración de microformas (MFS)
DS N° 001-98-TR 001 98 TR - 22 de d enero de d 1998
Ley Nº 27291 - 24 de junio de 2000
Ley marco de modernización de la gestión del estado
Ley N° 28186 - 05 de marzo de 2004
Ley sobre notificación por correo electrónico
Ley N° 27658 – 30 de enero de 2002
L que modifica Ley difi ell Código Códi Civil Ci il permitiendo iti d ell uso de d los l medios di electrónicos l tó i para la l comunicación de la manifestación de voluntad y la utilización de la firma electrónica
Ley N° 27419 – 06 de febrero 2001
Normas reglamentarias relativas a obligación de los empleadores de llevar Planillas de Pago
Ley que establece los alcances del DL N° 681 – Conservación de documentos con contenido tributario
Ley N° 27323 - 22 de julio de 2000
Ley que establece funciones de la CONASEV y la SBS para autorizar e inscribir a empresas e instituciones que recurren a servicios de microarchivos cuando estas no cuentan con un microarchivo propio
8
Definiciones de orden legal Art. 5° Ley 26612 (Sustitúyase el Art. 234º del D. Leg. Nº 768 ...) 1) MICROFORMA: Imagen reducida y condensada, o compactada, o di it li d de digitalizada d un documento d t que se encuentra t grabado b d en un medio di físico técnicamente idóneo, que le sirve de soporte material portador, mediante un proceso fotoquímico, informático, electrónico, electromagnético o que emplee alguna tecnología de efectos electromagnético, equivalentes, de modo que tal imagen se conserve y pueda ser vista y leída con la ayuda de equipos visores o métodos análogos; y pueda ser reproducida en copias impresas, impresas esencialmente iguales al documento original. Están incluidos en el concepto de microforma tanto los documentos producidos por procedimientos informáticos o telemáticos en computadoras o medios similares como los producidos por procedimientos técnicos de microfilmación siempre que cumplan los requisitos establecidos en la presente ley. 9
Definiciones de orden legal Art. 5° Ley 26612 (Sustitúyase el Art. 234º del D. Leg. Nº 768 ...)
2) MICRODUPLICADO: Reproducción exacta del elemento original que contiene microformas, microformas efectuada sobre un soporte material idóneo similar, en el mismo o similar formato, configuración y capacidad de almacenamiento; y con efectos equivalentes. 3) MICROGRABACIÓN: Proceso técnico por el cual se obtienen las microformas, a partir de los documentos originales en papel o material similar; o bien directamente de los medios o soportes electromagnéticos, digitales u otros en que se almacena información producida por computador u ordenador.
10
Definiciones de orden legal Art. 5° Ley 26612 (Sustitúyase el Art. 234º del D. Leg. Nº 768 ...)
4) MICROARCHIVO: Conjunto ordenado, codificado y sistematizado de los elementos materiales de soporte o almacenamiento portadores de microformas grabados, provisto de sistemas i d de í di índice y medios di d de recuperación que permiten encontrar, examinar visualmente y reproducir en copias exactas los documentos almacenados como microformas.
11
Definiciones de orden legal Art. 5° Ley 26612 (Sustitúyase el Art. 234º del D. Leg. Nº 768 ...) Son documentos los escritos públicos o privados, los impresos, fotocopias, facsímil o fax, planos, cuadros, dibujos, fotografías, radiografías, di fí cintas i cinematográficas, i áfi microformas tanto en la modalidad de microfilm como en la modalidad de soportes informáticos y otras reproducciones de audio o video, la telemática en general y demás objetos que recojan, contengan o representen algún hecho, hecho o actividad humana o su resultado.
12
Definiciones de carácter técnico
Normalización: Actividad encaminada a establecer respecto a problemas reales o potenciales, potenciales disposiciones destinadas a un uso común repetido con el fin de conseguir un grado óptimo de orden en un contexto dado. Notas En particular, esta actividad consiste en la elaboración, la difusión y la aplicación de normas 2 La 2. L normalización li ió ofrece f i importantes t t b beneficios, fi i d bid debido principalmente a una mejor adaptación de los productos, procesos y los servicios a los fines a que se destinan, la prevención de los obstáculos al comercio y la facilitación de la p cooperación tecnológica. 1.
13
Definiciones de carácter técnico
Norma: Documento establecido por consenso y aprobado por un organismo reconocido, reconocido que establece, para un uso común y repetido, reglas, directrices o características para ciertas actividades o sus resultados, con el fin de conseguir un grado óptimo de orden de un contexto dado. Nota
Las normas deben basarse en los resultados consolidados por la ciencia, la técnica y la experiencia y estar dirigidas a la consecución del óptimo beneficio para la comunidad.
14
La
Norma Técnica Peruana 392.030-2:2005
R 0074 2005/INDECOPI*CRT R.0074-2005/INDECOPI CRT. Publicada el 2005 2005-09-22 09 22
15
ASPECTOS INTERNACIONALES QUE ORIENTAN LA ELABORACIÓN DE LA NORMA
WTO OMC OMC
Adoptar las Normas Internacionales ISO/IEC aplicables a las materias, procesos y sistemas que se aplican en micrograbación, micrograbación firmas digitales, intermediación digital y seguridad informática en concordancia con el reconocimiento de las normas internacionales y los sistemas internacionales de evaluación de la conformidad para aumentar la eficacia de la producción y facilitar el comercio internacional
16
1 OBJETO
Establecer los requisitos que deben cumplir las organizaciones que operan sistemas de producción de microformas en medios de archivo electrónico, y administran su almacenamiento en condiciones de seguridad y conservación.
17
2 REFERENCIAS NORMATIVAS
Normas Técnicas Peruanas
NTP-ISO 3334:1997 MICROGRAFÍA. Mira de Resolución ISO No 2. Descripción y uso. NTP-ISO 6196-5:1997 MICROGRAFÍA. Vocabulario. Parte 5: Calidad de imágenes, legibilidad, inspección. NTP ISO/IEC 17799-2004 EDI. Tecnología de la Información. Código de Buenas Prácticas para la gestión de la seguridad de la información.
18
2 REFERENCIAS NORMATIVAS
Normas Técnicas Internacionales
ISO 10196-2003 Document imaging applications - Recommendations for th creation the ti off original i i l documents d t ISO 18927:2002 Imaging materials - Recordable compact disc systems Method for estimating the life expectancy based on the effects of temperature and relative humidity. humidity ISO 7498 - 2:1989 Information processing systems – Open Systems Interconnextion – Basic Reference Model – Part 2: Security Architecture ISO /IEC 9798 - 1 Information technology gy - Securityy techniques q - Entityy autentication - Part 1- General.
19
2 REFERENCIAS NORMATIVAS
Normas Técnicas Internacionales
ISO/IEC 10181-4 Information technology – Open Systems Interconnection – S Security it frameworks f k for f open systems: t N Non-repudiation di ti framework. f k ISO/IEC 12119:1994 Information technology. Software packagesQuality requirements and testing (ISO/IEC 25021:2006, nueva norma que reemplaza a la ISO/IEC 12119) ISO/IEC 13888-1 Information technology – Security techniques – Non Repudiation – Part 1: General ISO/IEC 13888-2 Information technology gy – Securityy techniques q – Non Repudiation – Part 2 Mechanisms using symmetric techniques.
20
2 REFERENCIAS NORMATIVAS
Normas Técnicas Internacionales
ISO/IEC 13888-3 Information technology – Security techniques – Non R Repudiation di ti – Part P t 3: 3 Mechanisms M h i using i asymmetric t i techniques. t h i ISO/IEC 15947 Information technology – Security – IT intrusion detection framework ISO/IEC TR 13335-5 13335 5 Information Technology. Technology Guidelines for the management of information technology. Part 5: Management guidance on networking security. ISO/IEC TR 14516 Information technology gy – Securityy techniques q – Gudelines for the use and management of trusted Third Party.
21
3 CAMPO DE APLICACIÓN Ó
Se aplica para la evaluación de:
Sistemas de producción y almacenamiento de MFs de organizaciones propietarias i t i y de d empresas de d producción, d ió almacenamiento l i t o intermediación i t di ió digital. Sistemas de producción de MFs a partir de documentos originales físicos o generados electrónicamente, electrónicamente identificados por la organización propietaria La estructura organizativa asociada al sistema de producción y almacenamiento de MFs. Las p propiedades p que deben cumplir q p los medios de archivo electrónico.
22
3 CAMPO DE APLICACIÓN Ó
Comprende los requisitos que se deben cumplir cuando en el sistema de elaboración de MFs se incluyen procesos de transferencia electrónica en redes privadas y públicas.
Comprende las condiciones de seguridad y conservación a cumplir para el almacenamiento de las MFs.
23
4 DEFINICIONES:
Contiene 27 definiciones generales entre las que destacan
Documento original: Para los propósitos de la presente norma. Documento de una organización que autoriza su migración a microformas y de cuyo origen y contenido es responsable. Documento electrónico: Unidades estructuradas de información registrada, publicada o no, susceptible de ser generada, clasificada, gestionada, transmitida, procesadas o conservadas por una persona o una organización de acuerdo a sus requisitos funcionales, utilizando sistemas informáticos. NOTA: El término documento electrónico no se refiere únicamente a los documentos de texto que se suelen crear con procesadores de texto, sino también comprende los mensajes de correo electrónico, las hojas de cálculo, los gráficos e imágenes, los documentos HTML o XML y los documentos compuestos compuestos, multimedia o de otras clases clases, que incluyen a sus enlaces y accesos automáticos. 24
5 REQUISITOS GENERALES : Manual del Sistema
Documentar las especificaciones ifi i té técnicas i de sus sistema de elaboración y almacenamiento de microformas.
25
5 REQUISITOS GENERALES La organizaci贸n debe estar legalmente constituida
Normas Legales g y Reglamentarias Aplicables
Manual del Sistema
Manual d de Organizaci贸n
Manual d de Procedimientos
Manual de Seguridad de la Informaci贸n
Manuales de L铆neas de MFs
26
5 REQUISITOS GENERALES :
La organización propietaria debe
Tener un sistema integral de administración de sus documentos ¾
Generación archivo, eliminación de documentos, además de la planificación, preparación, elaboración, control de calidad y almacenamiento de MFs
Designar al responsable del sistema de elaboración y almacenamiento de MFs Cumplir la legislación archivística vigente Almacenar las MFs en instalaciones propias o en empresas de servicio certificadas. Asegurar la disponibilidad y renovación de la MFs almacenadas.
27
5 REQUISITOS GENERALES :
Las empresas especializadas en producción y almacenamiento deben:
Tener un sistema de elaboración de MFs que incluya personal, procedimientos y responsables bl de d los l procesos de d diseño di ñ de d soluciones l i i f informáticas, áti control t l de producción y evaluación del sistema. Designar un responsable ejecutivo del servicio de elaboración o almacenamiento Especificar y documentos la responsabilidad y funciones del personal Cumplir la legislación archivística vigente.
28
5 REQUISITOS GENERALES :
Confidencialidad y calidad de trabajo del personal Sistema de elaboración de MFs
La alta dirección debe aprobar el sistema de elaboración de MFs Registrar la fecha a partir de la cual se da inicio al sistema de elaboración de MFs
C t t ió de Contratación d servicios i i de d producción d ió
Especificar que la empresa de servicios especificaciones establecidas por la organización
cumpla
las
C t t ió de Contratación d servicio i i de d almacenamiento l i t
La organización debe mantener el registro y control de ubicación de las MFs originales
29
5 REQUISITOS GENERALES :
El servicio de intermediación digital
Debe ser efectuada con la intervención de un tercero neutral, aplicable en las t transmisión i ió de d mensajes j de d datos d t o documentos d t por vía í electrónica l t ó i con firma fi digital para grabar, almacenar y conservar dichos o mensajes.
El Tercero neutral debe poseer certificado de idoneidad técnica de cumplimiento de la NTP 392.030-2:2005, adoptar las especificaciones aplicables de seguridad establecidos en la NTP ISO /IEC 17799 y efectuar sus servicios conforme a los lineamientos aplicables de la Norma ISO /IEC TR 14516.
30
5 REQUISITOS GENERALES :
El servicio de intermediación digital
Debe proporcionar las técnicas o mecanismos requeridos para la intervención de los representantes de la fe pública cuando se requiera . ¾ Certificar, utilizando su firma digital o electrónica basada en criptografía asimétrica, la autenticidad e identidad del emisor, titular de la firma digital q que e se adj adjunta nta al mensaje de datos o doc documentos mentos transmitidos, la confidencialidad y la integridad de dicho mensaje. El mecanismo de autenticación debe adecuarse a las especificaciones aplicables p de la norma ISO /IEC 9798 – 1
31
5 REQUISITOS GENERALES :
El servicio de intermediación digital debe:
Certificar la fecha y hora de recepción, para cuyo efecto el tercero neutral debe contar con un proveedor de fechado y hora (fecha y hora cierta) referida al Tiempo Universal Coordinado (UTC) el cual debe estar disponible dentro de una red abierta, accesible desde cualquier plataforma tecnológica,
Certificar C tifi ell no repudio di de d origen i y de d recepción. ió El mecanismo i d no repudio de di debe d b adecuarse a las especificaciones aplicables de la norma ISO/IEC 13888-3.
32
6 REQUISITOS TÉCNICOS: É
Proceso de generación de documentos originales
Asegurar y documentar la cantidad y clase d de d documentos t originales i i l que serán á convertidos en MFs
33
6 REQUISITOS TÉCNICOS :
Para el caso de MFs que incluya como documentos originales, documentos electrónicos obtenidos directamente de redes públicas o locales con firma digital, la organización debe establecer una metodología de identificación, (indización) y registro únicos que aseguren:
La integridad. basados en el principio que la firma digital asegura al receptor identificar cuando un documento ha sido modificado sin autorización y Numeración correlativa, basados en el uso del Tiempo Universal Coordinado (UTC), (fecha y hora cierta), como indicador de numeración correlativa en la recepción para efectos de cumplir con disposiciones establecidas por la propia organización o por entidades o autoridades competentes. competentes
34
6 REQUISITOS TÉCNICOS
Calidad y legibilidad de los documentos originales
Indicar los caracteres más pequeños y trazos más finos que deben ser reproducidos en las copias impresas Asegurar la calidad y legibilidad de firmas, sellos, logos, colores, indicando patrones de referencia En caso de documentos con imágenes en movimiento, sonidos la organización debe proporcionar las especificaciones o requisitos aplicables, los patrones de referencia y disponer los medios para verificar la calidad de los mismos.
35
6 REQUISITOS TÉCNICOS É
Líneas de producción de MFs
Manuales l de Líneas de MFs
Documentar las especificaciones de cada línea, ubicación, clases de originales a procesar. Los medios de soporte elegidos La arquitectura de las redes internas o externas (LAN (LAN, MAN MAN, WAN) Las medidas de seguridad estructuradas conforme a la NTP ISO/IEC 17999 Documentar la manera en la que la organización aplica y cumple las disposiciones legales y reglamentarias y contar con los certificados digitales vigentes. Para el caso de los servicios de intermediación digital se debe identificar las entidades o personas que intervienen, indicando el alcance de sus responsabilidades relativas a la clase de documentos que le corresponde procesar. La alta dirección o quien está designe debe aprobar las p especificaciones de cada línea de p producción. 36
É 6 REQUISITOS TÉCNICOS Manual de Procedimientos i
Manual de Seguridad de la Información
Proceso de preparación Proceso de captación de imágenes Proceso de indización Proceso de digitalización Sistema de seguridad. Periodo de conservación de las MFs Requisitos del medio de archivo electrónico Proceso de grabación Rotulado de las MFs
37
É 6 REQUISITOS TÉCNICOS Manual de Procedimientos i
Manual de Seguridad de la Información
Microformas originales Microformas duplicadas (microduplicados) Reproducción a partir de las MFs Intervención de los representantes de la fe pública Intermediación digital Almacenamiento Transmisión telemática Eliminación de originales
38
SISTEMA DE SEGURIDAD
La organización debe establecer y mantener niveles adecuados de seguridad, respecto al personal, las estaciones de acceso, salidas del sistema informático, el software y archivos y aplicativos asociados al sistema de elaboración de microformas mediante políticas, procedimientos y técnicas que aseguren la confidencialidad, fid i lid d integridad, i t id d disponibilidad di ibilid d y calidad lid d de d las l microformas, i f siguiendo i i d los lineamientos establecidos en la NTP ISO /IEC 17799
39
SISTEMA DE SEGURIDAD
La organización g debe contar con un p programa g de auditoria informática que asegure el cumplimiento de la evaluación de la idoneidad del sistema que incluya:
La responsabilidad y la identificación del personal encargado de los procesos claves del sistema de elaboración de microformas, Los intentos o eventuales accesos no autorizados internos o externos, El uso no autorizado de estaciones, programas, archivos y aplicativos del sistema
Los registros de dicho sistema de auditoria informática deben estar disponibles para examen o inspección y se deben conservar un período establecido por la organización responsable de la producción de las microformas 40
INTERVENCIÓN DE LOS REPRESENTANTES DE LA FE PÚBLICA
Para cada línea de producción y lugar de almacenamiento de microformas e intermediación digital en la elaboración de microformas, la organización debe especificar el procedimiento de intervención de los representantes de la fe pública, quienes deben estar facultados para ejercer sus funciones conforme a lo establecido en la normativa legal y reglamentaria aplicable.
41
INTERMEDIACIÓN Ó DIGITAL
En caso se requiera la intervención de los servicios de intermediación digital la organización debe establecer los procedimientos di i t necesarios i siguiendo i i d las l di disposiciones i i establecidas en las normas legales y reglamentarias aplicables y los lineamientos de las normas NTP ISO/IEC 17799 e ISO/IEC TR 14516.
La organización debe mantener el registro y vigencia de los certificados de las entidades o personas participantes, considerando el caso que los documentos, información o datos sean transferidos entre terceros neutrales
42
ALMACENAMIENTO
La organización L i ió d debe b di disponer ell almacenamiento de las microformas en las condiciones de seguridad y conservación certificadas conforme a lo establecido en la legislación y reglamentación aplicable.
43
ALMACENAMIENTO
La organización debe describir en un manual las características del sistema de almacenamiento empleado incluyendo: • •
•
• • •
La organización y funciones de los responsables de administrar el sistema de almacenamiento, Las especificaciones técnicas de los materiales de construcción que deben cumplir con minimizar los construcción, riesgos de las posibles amenazas indicadas en la NTP ISO/IEC 17799, párrafo 7.2.1.d), Las especificaciones del sistema, los elementos de control y las medidas de seguridad aprobado por la organización para el control del acceso de personas, para detectar riesgos de incendio, inundación, Las especificaciones técnicas de los equipos de control del medio ambiente,, El certificado de calibración de los medios de medición de temperatura y humedad relativa, Los registros empleados para mantener el ingreso y retiro de las microformas y las condiciones ambientales de temperatura y humedad relativa 44
TRANSMISIÓN Ó TELEMÁTICA Á
Cuando el sistema de elaboración de microformas incluya entre sus procesos la transmisión electrónica a distancia entre estaciones o líneas de producción tanto en redes e edes p privadas adas o púb públicas, cas, los os p procesos ocesos deben estar protegidos con medidas de seguridad que aseguren: • • •
La confidencialidad, integridad y disponibilidad de los archivos, archivos La no modificación de los formatos originales, La transmisión libre de interceptaciones entre la estación emisora y la estación receptora
Debe asegurar las transmisiones en redes LAN, MAN y WAN
45
ELIMINACIÓN Ó DE ORIGINALES
La organización debe establecer un procedimiento de retiro del archivo físico y eliminación de documentos originales, asegurando la intervención de los representantes de la autoridad nacional en materia de archivos y demás representantes que la legislación aplicable exija de acuerdo al valor del documento original. original
Se incluye el procedimiento de eliminación de archivos electrónicos de la memoria de servidores o discos duros que dieron origen a las imágenes correspondientes a los documentos originales, hayan sido estos originales en papel o digitalizados.
46
7 FORMATOS DEL SISTEMA
La organización debe establecer los formatos requeridos para asegurar el cumplimiento de los procedimientos propios de su sistema de elaboración y almacenamiento de microformas. Los formatos deben ser impresos o documentos electrónicos en formatos normalizados
47
8 REGISTROS Y ARCHIVOS
Los registros del sistema de producción de MFs deben:
Ser definidos, identificados y actualizados para asegurar la efectividad de los controles acorde con los requisitos de idoneidad técnica. En cada línea de producción, en la(s) entidad(es) de intermediación digital y/o lugar(es) de almacenamiento de MFs deben existir registros de:
Las MFs producidas/almacenadas Los funcionarios de la fe pública
48
9 EVALUACIÓN Ó DEL SISTEMA
Las organizaciones propietarias y las empresas de servicios especializadas deben:
Evaluar la efectividad del sistema p por lo menos una vez al año. Establecer el procedimiento de evaluación Evaluar la tecnología de la información y deben ser efectuados por profesionales o auditores informáticos. Registrar el resultado de la evaluación. Evaluar la efectividad del sistema en caso cambios en las tecnologías y la normatividad legal y técnica aplicable.
49
CONCLUSIONES
La NTP 392.030-2:2005, establece requisitos de idoneidad técnica, calidad y conservación de las MFs, que contienen documentos, información y datos resultantes del sistema de gestión documental particular de cada organización. El cumplimiento de las especificaciones contenidas en la NTP y las normas de referencia, aseguran el logro de niveles de calidad, confiabilidad y seguridad controlables permitiendo la determinación, mantenimiento y mejora de la efectividad del sistema de producción de MFs.
50
Norma ISO 17799 Seguridad g de la Información
1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento
51
Lineamientos de la NTP ISO /IEC 17799 Dominio 1: POLÍTICA DE SEGURIDAD
La alta dirección o la gerencia general debe: aprobar y publicar la política de seguridad comunicarlo a todos los empleados
52
Lineamientos de la NTP ISO /IEC 17799 Dominio 1: POLÍTICA DE SEGURIDAD
Debe incluir: objetivos bj ti y alcance l generales l de d seguridad id d apoyo expreso de la dirección breve explicación de los valores de seguridad de la organización definición de las responsabilidades generales y específicas en materia de gestión de la seguridad de la información referencias a documentos que puedan respaldar la política
53
Lineamientos de la NTP ISO /IEC 17799 Dominio 1: POLÍTICA DE SEGURIDAD Autorización Protección Física
Confiabilidad Confidencialidad Co de c a dad
Propiedad
Política de Seguridad
Disponibilidad
Legalidad Eficiencia Integridad
Eficacia Exactitud
54
Lineamientos de la NTP ISO /IEC 17799 Dominio 2: ORGANIZACION DE LA SEGURIDAD
Foros de Gestión aprobar la política de seguridad de la información, asignar funciones de seguridad actualizarse ante cambios coordinar la implementación definir metodologías y procesos específicos de seguridad monitorear incidentes de seguridad lidera el proceso de concientización de usuarios
55
Lineamientos de la NTP ISO /IEC 17799 Dominio 2: ORGANIZACION DE LA SEGURIDAD Seguridad frente al acceso por parte de terceros
El acceso por parte de terceros debe ser controlado.
Debe llevarse a cabo una evaluación de riesgos: determinar las incidencias en la seguridad y los requerimientos de control.
Los controles deben ser acordados y definidos en un contrato con la tercera parte.
56
Lineamientos de la NTP ISO /IEC 17799 Dominio 2: ORGANIZACION DE LA SEGURIDAD
Tipos de terceros personal de mantenimiento y soporte de hardware y software; limpieza, "catering", guardia de seguridad y otros servicios de soporte tercerizados; pasantías de estudiantes contingentes de corto plazo;
y
otras
designaciones
consultores. 57
Lineamientos de la NTP ISO /IEC 17799 Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS
Inventarios de Información e Instalaciones Designar un propietario para cada uno de ellos Clasificación de la información
58
Lineamientos de la NTP ISO /IEC 17799 Dominio 4: SEGURIDAD DEL PERSONAL
Seguridad en la definición de puestos de trabajo y la asignación de recursos Las responsabilidades en materia de seguridad deben ser: explicitadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeño empleado.
como
59
Lineamientos de la NTP ISO /IEC 17799 Dominio 4: SEGURIDAD DEL PERSONAL
Capacitación del usuario Garantizar que los usuarios están al corriente de las amenazas e incumbencias en materia de seguridad de la información, y están capacitados para respaldar la política de seguridad de la organización en el transcurso de sus tareas normales.
60
Lineamientos de la NTP ISO /IEC 17799 Dominio 4: SEGURIDAD DEL PERSONAL
Respuesta a incidentes y anomalías en materia de seguridad Minimizar el daño p producido p por incidentes y anomalías en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos.
61
Lineamientos de la NTP ISO /IEC 17799 Dominio 4: SEGURIDAD DEL PERSONAL
Proceso disciplinario Debe existir un proceso disciplinario formal para l los empleados l d que violen i l l las políticas líti y procedimientos de seguridad de la organización.
62
Lineamientos de la NTP ISO/IEC 17799 Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
Impedir accesos no autorizados, autorizados daños e interferencia a: sedes instalaciones información
63
Lineamientos de la NTP ISO/IEC 17799 Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
Perímetro de seguridad física Controles de acceso físico Seguridad del equipamiento Suministros de energía Cableado de energía eléctrica y de comunicaciones Mantenimiento de equipos Seguridad del equipamiento fuera del ámbito de la organización Políticas de escritorios y pantallas limpias Retiro de bienes
64
Lineamientos de la NTP ISO /IEC 17799 Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. Se deben establecer las responsabilidades y procedimientos p p para la g gestión y operación p de todas las instalaciones de procesamiento de información. Se debe implementar la separación de funciones cuando d corresponda. d Se deben documentar los procedimientos de operación
65
Lineamientos de la NTP ISO /IEC 17799 Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
Separación entre instalaciones de desarrollo e instalaciones operativas Deben separarse las instalaciones de: Desarrollo Prueba Operaciones p Se deben definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo. 66
Lineamientos de la NTP ISO /IEC 17799 Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
Procesos de:
Planificación y aprobación de sistemas Protección contra software malicioso Mantenimiento back up Administración de la red Administración y seguridad de los medios de almacenamiento Acuerdos de intercambio de información y software
67
Lineamientos de la NTP ISO/IEC 17799 Dominio 7: SISTEMA DE CONTROL DE ACCESOS
Requerimientos de negocio para el control de accesos Coherencia entre las políticas de control de acceso y de clasificación de información de los diferentes sistemas y redes Administración de accesos de usuarios Se deben implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas y servicios de información. 68
Lineamientos de la NTP ISO/IEC 17799 Dominio 7: SISTEMA DE CONTROL DE ACCESOS
Administración de accesos de usuarios Ad i i t ió de Administración d privilegios i il i Responsabilidades del usuario Control de acceso a la red C i forzado Camino f d Autenticación de usuarios para conexiones externas Monitoreo del acceso y uso de los sistemas
69
Lineamientos de la NTP ISO/IEC 17799 Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Requerimientos sistemas. sistemas
de
seguridad
de
los
Asegurar que la seguridad es incorporada a los sistemas de información. información Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de información.
70
Lineamientos de la NTP ISO/IEC 17799 Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Seguridad en los sistemas de aplicación Se deben diseñar en los sistemas de aplicación, incluyendo y las aplicaciones p realizadas p por el usuario, controles apropiados y pistas de auditoria o registros de actividad, incluyendo: la validación de datos de entrada, procesamiento interno, y salidas.
71
Lineamientos de la NTP ISO/IEC 17799 Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO
Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios g de los efectos de fallas significativas g o desastres.
Se debe implementar un proceso administración de la continuidad de negocios
de los
Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio. servicio 72
Lineamientos de la NTP ISO/IEC 17799 Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO
Se deben desarrollar e implementar planes de contingencia para garantizar que los procesos de negocios puedan restablecerse dentro de los plazos requeridos. Los planes deben mantenerse en vigencia y transformarse en una parte integral del resto de los procesos de administración y gestión. La administración de la continuidad de los negocios debe incluir controles destinados a identificar y reducir riesgos, riesgos atenuar las consecuencias de los incidentes perjudiciales y asegurar la reanudación oportuna de las operaciones indispensables.
73
Lineamientos de la NTP ISO/IEC 17799 Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Principales etapas Clasificación de los distintos escenarios de desastres Evaluación de impacto en el negocio Desarrollo de una estrategia de recupero Implementación de la estrategia Documentación del plan de recupero Prueba y mantenimiento del plan
74
Lineamientos de la NTP ISO/IEC 17799 Dominio 10 : CUMPLIMIENTO
Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones g establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad. G Garantizar ti l conformidad la f id d de d los l sistemas i t con las políticas y estándares de seguridad de la organización. Maximizar la efectividad y minimizar las interferencias de los procesos de auditoría de sistemas.
75
Lineamientos de la NTP ISO/IEC 17799 Dominio 10 : CUMPLIMIENTO Recolección de evidencia La evidencia presentada debe cumplir con las pautas establecidas en la ley pertinente o en las normas específicas del tribunal en el cual se desarrollará el caso: validez de la evidencia: si puede o no utilizarse la misma en el tribunal; peso de la evidencia: la calidad y totalidad de la misma; adecuada evidencia de que los controles han funcionado en forma correcta y consistente durante todo el período en que la evidencia a recuperar fue almacenada y procesada por el sistema. Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus sistemas de información cumplan con los estándares o códigos de práctica relativos a la producción de evidencia válida válida. 76
Lineamientos de la NTP ISO/IEC 17799 Dominio 10 : CUMPLIMIENTO
Revisiones de la política de seguridad y la compatibilidad técnica Garantizar la compatibilidad de los sistemas con las políticas y estándares (normas) de seguridad d la de l organización. i ió
77
Lineamientos de la NTP ISO/IEC 17799 Dominio 10 : CUMPLIMIENTO
Auditoria de sistemas
Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstรกculos que pudieran afectarlo. Deben existir controles q que p protejan j los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas.
78
Lineamientos de la NTP ISO/IEC 17799 Dominio 10 : CUMPLIMIENTO
Legislación g en materia de Seguridad de la Información en el Perú
RM 216-2006-MINCETRUR Aprueban documento “Lineamientos General de de Política de Seguridad de la información del Ministerio de Comercio Exterior y Turismo” – 08-08-2006 RM 575-2006/MINSA Aprueban “Directiva Administrativa de Gestión de la Seguridad de la Información del Ministerio de Salud” -23-06-2006 RM 520-2006/MINSA Aprueban Documento Técnico “Lineamientos de de Política de seguridad de la Información del Ministerio de Salud 2323 06-2006 RM 224-2004-PCM Aprueban uso obligatorio de la Norma Técnica Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información 1 1º 26-07-2004 RM 310-2004-PCM Autorizan ejecución de la “Primera Encuesta de Seguridad de la Información en la Administración Pública” RJ 347-2001 INEI Aprueban Directiva “Normas y procedimientos Técnicos para garantizar la Seguridad de la Información publicadas por las entidades de la Administración Pública Pública” 08-11-2002 08 11 2002 RJ 236-2001-INI Crean el Centro de Consulta e Investigación sobre Seguridad de la Información –CCISI- 21-09-2001 Resolución Nª 030-2008 /CRT-INDECOPI Aprueban Guías de acreditación de Entidades de Certificación Digital, Entidades de Registro o Verificación de datos y Entidades de Prestación de Servicios de Valor Añadido, así como la Guía para la Acreditación del Software de Firmas Digitales 19-03-2008 79
GRACIAS POR SU ATENCIÓN
Miguel Véliz Granados Secretario Técnico del CTNEMD Líder de Certificación de la Idoneidad Técnica de los Sistemas de Producción y Almacenamiento de Mi f Microformas mvelizg@yahoo.com.mx 80