El documento habla sobre requerimientos de seguridad para sistemas de información. Aborda temas como validación de datos, autenticación, controles criptográficos, políticas de uso de claves, firma digital, administración de claves, protección de datos y control de acceso a sistemas y archivos. El objetivo general es asegurar que los sistemas incorporen medidas de seguridad para prevenir pérdida, modificación o uso inadecuado de la información.

2. DESARROLLO Y MANTENIMIENTO DE SISTEMAS

4. Requerimientos de Seguridad de los Sistemas OBJETIVO Asegurar que la seguridad es incorporada a los sistemas de información

5. Requerimientos de Seguridad de los Sistemas IDENTIFICADOS Y APROBADOS FASE DE REQUERIMIENTOS DE UN PROYECTO INFRAESTRUCTURA APLICACIONES COMERCIALES APLICACIONES DEL USUARIO

6. Requerimientos de Seguridad de los Sistemas EVALUACION Y ADMINISRACION DEL RIESGO VALOR COMERCIAL CONTROLES AUTOMATICOS ANÁLISIS Y ESPECIFICACIONES DE LOS REQUERIMIENTOS DE SEGURIDAD.

8. Requerimientos de Seguridad de los Sistemas OBJETIVO Prevenir la perdida, modificaciones o uso inadecuado de los datos del usuario en los Sistemas de aplicación

9. Seguridad en los Sistemas de Aplicación VALIDACION DE LOS DATOS DE ENTRADA ASEGURAR QUE SON CORRECTOS Y APROPIADOS CONTROLES APLICADOS A ENTRADAS DE TRANSACCIONES, DATOS PERMANENTES, TABLAS DE PARAMETROS

11. Seguridad en los Sistemas de Aplicación AUTENTICACION DE MENSAJES CAMBIOS NO AUTORIZADOS EN EL CONTENIDO DE UN MENSAJE TRANSMITIDO ELECTRÓNICAMENTE IMPLEMENTADO EN HARDWARE Y SOFTWARE

12. Seguridad en los Sistemas de Aplicación VALIDACION DE DATOS DE SALIDA GARANTIZAR QUE EL PROCESAMIENTO DE LA INFORMACIÓN ALMACENADA SEA CORRECTO Y ADECUADO

13. CONTROLES CRIPTOGRAFICOS RIESGO

21. Administración de Claves Servicios de no Repudio Se utilizan cuando se debe resolver disputas acerca de la ocurrencia o no de un evento o acción. Ej.: Una firma digital en un pago electrónico. “ Esto se hace para ayudar a probar que se realizó tal evento o acción” Servicios de no Repudio

22. Protección de claves criptográficas Esencial para el uso eficaz de las técnicas criptográficas. Cualquier pérdida de claves puede comprometer la confidencialidad, autenticidad y/o integridad de la información. Protección de claves criptográficas Técnica de clave secreta, se comparte la clave y esta se utiliza para cifrar y descifrar. Debe mantenerse en secreto. Técnica de clave pública , se tienen un par de claves: una clave pública (que puede ser revelada) y una clave privada (que debe mantenerse en secreto).

24. Servicios de no Repudio Las claves Fechas de entradas en vigencia y de fin de vigencia Ser utilizadas solo por un período limitado de tiempo Deben tener Definidas para

25. Normas, procedimientos y métodos Considerar procedimientos para administrar requerimientos legales de acceso a claves criptográficas. Ej: Tener información (cifrada) en una forma clara la cual es necesaria para un caso judicial.

26. Normas, procedimientos y métodos Se debe proteger también las claves públicas Uso de certificados de clave pública otorgado por una autoridad competente de certificación. mediante

27. Garantizar que los proyectos y actividades de soporte de TI se lleven a cabo de manera segura. Seguridad de los Archivos del Sistema

29. El código ejecutable no debe ser implementado en un sistema operacional hasta tanto no se obtenga evidencia del éxito de las pruebas y de la aceptación del usuario, y se hayan actualizado las correspondientes bibliotecas de programas fuente. Se debe mantener un registro de auditoria de todas las actualizaciones a las bibliotecas de programas operativos. Las versiones previas de software deben ser retenidas como medida de contingencia.

30. El mantenimiento del software suministrado por el proveedor y utilizado en los sistemas operacionales debe contar con el soporte del mismo. Los parches de software deben aplicarse cuando pueden ayudar a eliminar o reducir las debilidades en materia de seguridad. Solo debe otorgarse acceso lógico o físico a los proveedores con fines de soporte y si resulta necesario, y previa aprobación de la gerencia. Las actividades del proveedor deben ser monitoreadas