Este documento establece la norma de seguridad para productos de software del Ministerio de Educación. Detalla las responsabilidades, normas consultadas, definiciones clave, condiciones generales y específicas, y el procedimiento para evaluar la seguridad de un producto de software. El objetivo es asegurar que los productos de software cumplan con los requisitos mínimos de seguridad de la información de la institución.
2. TÍTULO CÓDIGO PÁGINA
SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 2 de 10
Identificación del documento
Historial de cambios
Rol Nombre Cargo Fecha Firma
Elaboración Elia Muñoz
Responsable del Equipo de
Calidad
05/07/2013
Revisión Elia Muñoz
Responsable del Equipo de
Calidad
15/11/2013
Revisión Jack Cáceres
Responsable del Área de
Calidad, Seguridad de la
Información y PIP
15/11/2013
Revisión Grover Cerquera
Jefe del Área de
Operaciones
Aprobación Sandro Marcone Jefe de OFIN
Versión Autor Descripción Fecha
V 1.0 Elia Muñoz Documento original 05/07/2013
V 1.1 Jack Cáceres Actualización técnica 18/11/2013
V 1.2
3. TÍTULO CÓDIGO PÁGINA
SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 3 de 10
Tabla de contenido
1 OBJETIVO............................................................................................................................... 4
2 ALCANCE................................................................................................................................ 4
3 RESPONSABILIDADES............................................................................................................. 4
4 NORMAS CONSULTADAS....................................................................................................... 4
5 DEFINICIONES........................................................................................................................ 5
6 CONDICIONES GENERALES..................................................................................................... 7
7 CONDICIONES ESPECÍFICAS.................................................................................................... 9
8 DESCRIPCION DEL PROCEDIMIENTO...................................................................................... 9
9 FORMATOS.......................................................................................................................... 10
10 ANEXOS ............................................................................................................................... 10
4. TÍTULO CÓDIGO PÁGINA
SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 4 de 10
1 OBJETIVO
Normar las actividades necesarias para asegurar que el producto software a implementarse en
el Ministerio de Educación cuentecon las condiciones mínimasde seguridad lógica establecidas
por la institución.
2 ALCANCE
Incluye el producto software resultante de un proyecto, cuyo desarrollo ha sido realizado con
recursos propios o ha sido encargado a terceros.
Incluye el producto software sujeto a mantenimiento, y que ha sido realizado con recursos
propios o por terceros.
3 RESPONSABILIDADES
El equipo comprometido con la seguridad del producto software es el siguiente:
• Gestor de Soluciones TIC: Promueve reuniones y participa en ellas, elabora las actas de
reunión sobre los acuerdos tomados. Estarán informados acerca del avance del proyecto.
Informan al líder usuario sobre la evaluación del aseguramiento y control de calidad y de
la evaluación de seguridad del producto software que OFIN realizará.
• Responsable de Desarrollo: Tiene a su cargo a los gestores de proyectos. Es responsable
de controlar, cumplir y hacer cumplir las normas institucionales en cuanto al
mantenimiento, desarrollo y seguridad del producto software.
• Gestor de Proyecto: Es el responsable del proyecto. Tiene a su cargo al Analista Funcional,
Líder Técnico, Programador. Es responsable de cumplir y hacer cumplir la norma.
• Especialista de Seguridad de la Información: Valida que las condiciones de seguridad
mínimas establecidas por la institución hayan sido incorporadas en el mantenimiento o
desarrollo del producto software.
4 NORMAS CONSULTADAS
RM Nº 246-2007-PCM, aprueban uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC
17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de
5. TÍTULO CÓDIGO PÁGINA
SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 5 de 10
la seguridad de la información. 2a. Edición” en todas las entidades integrantes del Sistema
Nacional de Informática.
RM Nº 129-2012-PCM, aprueban el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC
27001:2008 EDI Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de
seguridad de la Información. Requisitos” en todas las entidades integrantes del Sistema
Nacional de Informática.
NTP ISO 9000 2007 Sistemas de gestión de la calidad. Fundamentos y vocabulario.
NTP ISO 9001:2009 Sistemas de gestión de la calidad. Requisitos.
5 DEFINICIONES
Auditoría
Una auditoría es un proceso sistémico, crítico, cuantitativo y detallista, basado en la
evidencia, y realizado por un tercero, competente, distinto y sin relación con quien
preparó o se relaciona con la información motivo de la auditoría, y que tampoco tiene
relación directa con la información que se audita.
Este proceso es necesario para determinar la autenticidad, integridad y calidad de la
información que se produce, con el propósito de determinar e informar sobre el grado de
correspondencia existente entre la información cuantificable y los criterios establecidos.
El objetivo de la auditoría es garantizar objetividad e imparcialidad durante el proceso. Es
evitar que el auditor sea juez y parte en cuanto a la evaluación que se realiza ya que
contraviene toda recomendación moderna de auditoría y buena práctica operativa.
Requisito
La ISO 9000 distingue entre requisitos para los sistemas de gestión de la calidad y
requisitos para los productos.
Los requisitos para los sistemas de gestión de la calidad se especifican en la norma ISO
9001. Los requisitos para los sistemas de gestión de la calidad son genéricos y aplicables a
organizacionesdecualquiersector económico eindustrialcon dependencia de la categoría
del producto ofrecido. La norma ISO 9001 no establece requisitos para los productos.
6. TÍTULO CÓDIGO PÁGINA
SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 6 de 10
Los requisitos para los productos pueden ser especificados por los clientes, por la
organización anticipándose a los requisitos del cliente, o por disposiciones reglamentarias.
Los requisitos para los productos y, en algunos casos, los procesos asociados pueden estar
contenidos en, por ejemplo: especificaciones técnicas, normas de producto, normas de
proceso, acuerdos contractuales y requisitos reglamentarios.
Según INTECO: un requisito es una condición o capacidad necesitada por un usuario para
solucionar un problema o conseguir un objetivo que debe ser satisfecho o poseído por un
sistema o un componente de un sistema para satisfacer un contrato, estándar,
especificación u otro tipo de documento.
Un requisito es parte del diseño del servicio. Es una declaración formal de lo que se
necesita. Por ejemplo, un requisito de nivel de servicio, un requisito de proyecto o de los
servicios a prestar que se requiere para un proceso. (ITIL® V3 Glosario v2.1, 30 de mayo
del 2007).
En este contexto, la seguridad de la información es un requisito que debe estar
incorporado en el producto software, desde su concepción.
Seguridad de la información
La seguridad de la información implica "Preservar la confidencialidad, integridad y
disponibilidad de la información; además, también pueden ser involucradas otras
características como autenticación, responsabilidad, no-repudio y fiabilidad". [ISO/IEC
17799:2005]
Según la ISO/IEC 13335-1:2004, norma que trata los conceptos y modelos para la gestión
de la seguridad de las tecnologías de la información y comunicaciones:
• La disponibilidad implica "Garantizar que los usuarios autorizados tengan acceso
a la información y activos asociados cuando sea necesario".
• La confidencialidad implica "Garantizar que la información sea accesible
únicamente para quienes tengan acceso autorizado".
• La integridad implica "Salvaguardar la exactitud e integridad de la información y
activos asociados".
7. TÍTULO CÓDIGO PÁGINA
SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 7 de 10
6 CONDICIONES GENERALES
La evaluación a realizar debe ser de conocimiento previo del propietario del producto software
o líder usuario.
El Comité de Proyectos (PMO, o la organización que cumpla este cometido o alguien que haga
sus veces) deberá informar sobre los requerimientos de Proyectos que se desarrollarán con el
fin de planificar la asignación del personal que estará a cargo de la Seguridad de la Información.
El Gestor de Soluciones TIC o el Gestor del Proyecto deben concientizar al usuario que solicitó
el desarrollo del proyecto a cerca de la propiedad de los activos de información.
Según el control A.7.1.2 de la NTP ISO/IEC 27001:2008, la propiedad de los activos está descrita
como sigue:
La aplicabilidad del Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de
Información dependerá, tanto de la envergadura del desarrollo o mantenimiento del producto
software, como de su condición de haber sido desarrollado por OFIN o por terceros.
La conducción de las pruebas contenidas en el Checklist de Seguridad para Desarrollo y
Mantenimiento de Sistemas de Información tiene carácter de auditoría interna.
La auditoría interna se realiza en cumplimiento de la cláusula 6 de la NTP ISO/IEC 27001:2008:
8. TÍTULO CÓDIGO PÁGINA
SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 8 de 10
Laspruebascontenidas en dicha lista de chequeo buscan verificarelcumplimiento delproducto
software evaluado teniendo como referencia la norma técnica peruana
NTP ISO/IEC 27001:2008.
• "La información es un activo que, como otros activos importantes del negocio, tiene valor
para la organización [ISO/IEC 13335-1:2004] y requiere en consecuencia una protección
adecuada. Esto es muy importante en el creciente ambiente interconectado de negocios.
Como resultado de esta creciente interconectividad, la información está expuesta a un
mayor rango de amenazas y vulnerabilidades.
• La información adopta diversas formas. Puede estar impresa o escrita en papel,
almacenada electrónicamente, transmitida por correo o por medios electrónicos,
mostrada en video o hablada en conversación. Debería protegerse adecuadamente
cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.
9. TÍTULO CÓDIGO PÁGINA
SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 9 de 10
• La seguridad de la información protege a ésta de un amplio rango de amenazas para
asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el
retorno de las inversiones y las oportunidades de negocio [enfoque social].
• La seguridad de la información se consigue implantando un conjunto adecuado de
controles, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y
funciones de software y hardware.
• Estos controles necesitan ser establecidos, implementados, monitoreados, revisados y
mejorados donde sea necesario, para asegurar que se cumplan los objetivos específicos
de seguridad y negocios de la organización". [RM Nº 246-2007-PCM: Uso obligatorio de la
NTP ISO/IEC 17799:2007].
7 CONDICIONES ESPECÍFICAS
Durante la ejecución de las pruebas el Especialista en Seguridad de la Información actúa como
Auditor Interno.
El Especialista en Seguridad de la Información supervisará la ejecución de las pruebas
contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de
Información, y certificará los resultados obtenidos.
La responsabilidad por la ejecución de las pruebas es del usuario o del especialista a quien se
ha delegado la tarea.
El Especialista en Seguridad de la Información anota el resultado obtenido (CONFORME / NO
CONFORME) en la misma lista de chequeo.
Todos los participantes en las pruebas firman la lista de chequeo.
El Especialista en Seguridad de la Información emite el informe correspondiente con el detalle
de los resultados obtenidos.
8 DESCRIPCION DEL PROCEDIMIENTO
N° ACCIÓN RESPONSABLE
1 Ejecutar las pruebas contenidas en el Checklist de
Seguridad para Desarrollo y Mantenimiento de
Sistemas de Información
Usuario o especialista
responsabilizado
10. TÍTULO CÓDIGO PÁGINA
SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 10 de 10
N° ACCIÓN RESPONSABLE
2 Supervisar la ejecución de las pruebas Especialista en Seguridad de la
Información
3 Anotar los resultados de la ejecución en la lista de
chequeo: CONFORME o NO CONFORME
Especialista en Seguridad de la
Información
4 Firmar la lista de chequeo Todos los participantes en las
pruebas
5 Emitir el informe correspondiente con el detalle de
los resultados obtenidos
Especialista en Seguridad de la
Información
9 FORMATOS
Ninguno.
10 ANEXOS
CheckList de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información