El documento habla sobre los requerimientos de seguridad para el desarrollo y mantenimiento de sistemas. Detalla controles criptográficos, políticas de uso de claves, firma digital, administración de claves, servicios de no repudio y protección de datos en pruebas y producción. También cubre controles de acceso a código fuente, bibliotecas y actualizaciones de software.
4. Requerimientos de Seguridad de los Sistemas OBJETIVO Asegurar que la seguridad es incorporada a los sistemas de información
5. Requerimientos de Seguridad de los Sistemas IDENTIFICADOS Y APROBADOS FASE DE REQUERIMIENTOS DE UN PROYECTO INFRAESTRUCTURA APLICACIONES COMERCIALES APLICACIONES DEL USUARIO
6. Requerimientos de Seguridad de los Sistemas EVALUACION Y ADMINISRACION DEL RIESGO VALOR COMERCIAL CONTROLES AUTOMATICOS ANÁLISIS Y ESPECIFICACIONES DE LOS REQUERIMIENTOS DE SEGURIDAD.
7.
8. Requerimientos de Seguridad de los Sistemas OBJETIVO Prevenir la perdida, modificaciones o uso inadecuado de los datos del usuario en los Sistemas de aplicación
9. Seguridad en los Sistemas de Aplicación VALIDACION DE LOS DATOS DE ENTRADA ASEGURAR QUE SON CORRECTOS Y APROPIADOS CONTROLES APLICADOS A ENTRADAS DE TRANSACCIONES, DATOS PERMANENTES, TABLAS DE PARAMETROS
10.
11. Seguridad en los Sistemas de Aplicación AUTENTICACION DE MENSAJES CAMBIOS NO AUTORIZADOS EN EL CONTENIDO DE UN MENSAJE TRANSMITIDO ELECTRÓNICAMENTE IMPLEMENTADO EN HARDWARE Y SOFTWARE
12. Seguridad en los Sistemas de Aplicación VALIDACION DE DATOS DE SALIDA GARANTIZAR QUE EL PROCESAMIENTO DE LA INFORMACIÓN ALMACENADA SEA CORRECTO Y ADECUADO
21. Administración de Claves Desarrollo y Mantenimiento de Sistemas Servicios de no Repudio Se utilizan cuando se debe resolver disputas acerca de la ocurrencia o no de un evento o acción. Ej.: Una firma digital en un pago electrónico. “ Esto se hace para ayudar a probar que se realizó tal evento o acción” Servicios de no Repudio
22. Protección de claves criptográficas Desarrollo y Mantenimiento de Sistemas Esencial para el uso eficaz de las técnicas criptográficas. Cualquier pérdida de claves puede comprometer la confidencialidad, autenticidad y/o integridad de la información. Protección de claves criptográficas Técnica de clave secreta, se comparte la clave y esta se utiliza para cifrar y descifrar. Debe mantenerse en secreto. Técnica de clave pública , se tienen un par de claves: una clave pública (que puede ser revelada) y una clave privada (que debe mantenerse en secreto).
23.
24. Servicios de no Repudio Desarrollo y Mantenimiento de Sistemas Las claves Fechas de entradas en vigencia y de fin de vigencia Ser utilizadas solo por un período limitado de tiempo Deben tener Definidas para
25. Normas, procedimientos y métodos Desarrollo y Mantenimiento de Sistemas Considerar procedimientos para administrar requerimientos legales de acceso a claves criptográficas. Ej: Tener información (cifrada) en una forma clara la cual es necesaria para un caso judicial.
26. Normas, procedimientos y métodos Desarrollo y Mantenimiento de Sistemas Se debe proteger también las claves públicas Uso de certificados de clave pública otorgado por una autoridad competente de certificación. mediante
27. Garantizar que los proyectos y actividades de soporte de TI se lleven a cabo de manera segura. Seguridad de los Archivos del Sistema
28.
29. El código ejecutable no debe ser implementado en un sistema operacional hasta tanto no se obtenga evidencia del éxito de las pruebas y de la aceptación del usuario, y se hayan actualizado las correspondientes bibliotecas de programas fuente. Se debe mantener un registro de auditoria de todas las actualizaciones a las bibliotecas de programas operativos. Las versiones previas de software deben ser retenidas como medida de contingencia. Desarrollo y Mantenimiento de Sistemas
30. El mantenimiento del software suministrado por el proveedor y utilizado en los sistemas operacionales debe contar con el soporte del mismo. Los parches de software deben aplicarse cuando pueden ayudar a eliminar o reducir las debilidades en materia de seguridad. Solo debe otorgarse acceso lógico o físico a los proveedores con fines de soporte y si resulta necesario, y previa aprobación de la gerencia. Las actividades del proveedor deben ser monitoreadas