Más contenido relacionado Similar a Nte inen iso_iec_27032_ecuador (20) Nte inen iso_iec_27032_ecuador1. © ISO/IEC 2012 Todos los derechos reservados
© INEN 2015
Quito – Ecuador
NORMA
TÉCNICA
ECUATORIANA
NTE INEN-ISO/IEC 27032
Tercera edición
2015-10
TECNOLOGÍAS DE LA INFORMACIÓN – TÉCNICAS DE SEGURIDAD
– DIRECTRICES PARA CIBERSEGURIDAD (ISO/IEC 27032:2012,
IDT)
INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — GUIDELINES FOR
CYBERSECURITY (ISO/IEC 27032:2012, IDT)
_____________________________________
Correspondencia:
Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO/IEC
27032:2012.
DESCRIPTORES: Tecnologías de la información, técnicas de seguridad, guías , ciberprotección, ciberespacio,
directrices
ICS: 35.040
56
Páginas
E
X
T
R
A
C
T
O
2. NTE INEN-ISO/IEC 27032 2015-10
© ISO/IEC 2012 Todos los derechos reservados
© INEN 2015
2015-0379 i
Prólogo nacional
Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27032, es una traducción idéntica de la Norma
Internacional ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for
cybersecurity. El Ministerio de Telecomunicaciones y Sociedad de la Información, MINTEL, es el
responsable de la traducción de esta Norma Técnica Ecuatoriana, y de su adopción es el Comité
Técnico de Normalización del INEN.
Para el propósito de esta Norma Técnica Ecuatoriana se ha hecho el siguiente cambio editorial:
a) Las palabras “esta Norma Internacional” ha sido reemplazada por “esta norma nacional”.
Para el propósito de esta Norma Técnica Ecuatoriana se enlista el documento normativo internacional
que se referencia en la Norma Internacional ISO/IEC 27032:2012 y el documento normativo nacional
correspondiente:
Documento Normativo Internacional Documento Normativo Nacional
ISO/IEC 27000, Information technology —
Security techniques — Information security
management systems — Overview and
vocabulary
NTE INEN-ISO/IEC 27000:2012, Tecnología
de la información — Técnicas de seguridad
— Sistema de gestión de seguridad de la
información — Descripción general y
vocabulario (ISO/IEC 27000:2012, IDT)
E
X
T
R
A
C
T
O
3. NTE INEN-ISO/IEC 27032 2015-10
© ISO/IEC 2012 Todos los derechos reservados
© INEN 2015
2015-0379 ii
Índice
Pág.
Prólogo ...............................................................................................................................................iv
Introducción ........................................................................................................................................ v
1. Objeto y campo de aplicación .................................................................................................. 1
2. Aplicabilidad ............................................................................................................................. 1
2.1 Audiencia.................................................................................................................................. 1
2.2 Limitaciones ............................................................................................................................. 1
3. Referencias normativas............................................................................................................ 2
4. Términos y definiciones............................................................................................................ 2
5. Abreviaturas ............................................................................................................................. 8
6. Generalidades .......................................................................................................................... 9
6.1 Introducción.............................................................................................................................. 9
6.2 La naturaleza del Ciberespacio.............................................................................................. 10
6.3 La naturaleza de la Ciberseguridad ....................................................................................... 11
6.4 Modelo general....................................................................................................................... 12
6.5 Enfoque .................................................................................................................................. 14
7. Partes interesadas dentro del Ciberespacio .......................................................................... 14
7.1 Generalidades ........................................................................................................................ 14
7.2 Consumidores ........................................................................................................................ 15
7.3 Proveedores ........................................................................................................................... 15
8. Activos en el Ciberespacio..................................................................................................... 16
8.1 Generalidades ........................................................................................................................ 16
8.2 Activos personales ................................................................................................................. 16
8.3 Activos organizacionales........................................................................................................ 17
9. Amenazas contra la seguridad en el Ciberespacio................................................................ 17
9.1 Amenazas .............................................................................................................................. 17
9.2 Los agentes de amenazas ..................................................................................................... 19
9.3 Vulnerabilidades..................................................................................................................... 19
9.4 Mecanismos de ataque .......................................................................................................... 19
10. Roles de las partes interesadas en la Ciberprotección.......................................................... 21
10.1 Generalidades ........................................................................................................................ 21
10.2 Rolesde los consumidores ..................................................................................................... 22
10.3 Rolesde los proveedores ....................................................................................................... 23
11. Directrices para las partes interesadas.................................................................................. 24
11.1 Generalidades ........................................................................................................................ 24
11.2 Evaluación y tratamiento de riesgos ...................................................................................... 24
11.3 Directrices para los consumidores......................................................................................... 26
11.4 Directrices para las organizaciones y proveedores de servicios ........................................... 27
12. Controles de Ciberseguridad ................................................................................................. 32
12.1 Generalidades ........................................................................................................................ 32
12.2 Controles a nivel de aplicación .............................................................................................. 32
12.3 Protección del servidor........................................................................................................... 32
12.4 Controles del usuario final...................................................................................................... 33
12.5 Controles contra ataques de ingeniería social....................................................................... 34
12.6 Disposición de la Ciberseguridad........................................................................................... 38
12.7 Otros controles ....................................................................................................................... 38
E
X
T
R
A
C
T
O
4. NTE INEN-ISO/IEC 27032 2015-10
© ISO/IEC 2012 Todos los derechos reservados
© INEN 2015
2015-0379 iii
13. Marco de intercambio y coordinación de la información........................................................ 38
13.1 Generalidades ........................................................................................................................ 38
13.2 Políticas.................................................................................................................................. 38
13.3 Métodos y procesos ............................................................................................................... 39
13.4 Personas y organizaciones .................................................................................................... 41
13.5 Técnica................................................................................................................................... 42
13.6 Guía para la implementación ................................................................................................. 43
Anexo A (informativo) Disponibilidad de la Ciberseguridad...................................................... 45
Anexo B (informativo) Recursos adicionales............................................................................. 49
Anexo C (informativo) Ejemplos de documentos relacionados................................................ 52
Bibliografia...................................................................................................................................... 56
E
X
T
R
A
C
T
O
5. NTE INEN-ISO/IEC 27032 2015-10
© ISO/IEC 2012 Todos los derechos reservados
© INEN 2015
2015-0379 iv
Prólogo
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional)
forman el sistema especializado para la normalización mundial. Los organismos nacionales miembros
de ISO o IEC participan en el desarrollo de Normas Internacionales a través de comités técnicos
establecidos por la organización respectiva, para tratar los campos particulares de la actividad
técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras
organizaciones internacionales, públicas y privadas, en coordinación con ISO e IEC, también
participan en el trabajo. En el campo de la tecnología de la información, la ISO y la IEC han
establecido un comité técnico conjunto ISO/IEC JTC 1.
Las Normas Internacionales son redactadas de conformidad con las reglas establecidas en las
Directivas ISO/IEC, Parte 2.
La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los proyectos de
Normas Internacionales adoptados por el Comité Técnico Conjunto se envían a los organismos
nacionales para votación. La publicación como una norma nacional requiere la aprobación de al
menos el 75 % de los organismos miembros con derecho a voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
ser objeto de derechos de patente. ISO e IEC no asumen la responsabilidad por la identificación de
cualquiera o todos los derechos de patente.
ISO/IEC 27032 fue preparada por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnologías de la
Información, Subcomité SC 27, Técnicas de Seguridad TI.
E
X
T
R
A
C
T
O
6. NTE INEN-ISO/IEC 27032 2015-10
© ISO/IEC 2012 Todos los derechos reservados
© INEN 2015
2015-0379 v
Introducción
El ciberespacio es un ambiente complejo resultante de la interacción de la gente, el software y los
servicios en Internet que se sustentan en los aparatos físicos y las redes interconectadas de
tecnología de la información y de comunicaciones (TIC) en todo el mundo. Sin embargo, hay
cuestiones con respecto a la seguridad que no se encuentran cubiertas por las mejores prácticas
actuales sobre la seguridad de la información, seguridad del internet, seguridad de redes y seguridad
de la tecnología de la información de las comunicaciones (TIC), así como hay vacíos entre estos
aspectos, como también una falta de comunicación entre las organizaciones y proveedores en el
ciberespacio. Esto se debe a que los aparatos y redes interconectadas que se sustentan en el
Ciberespacio tienen propietarios múltiples, cada uno con su negocio propio y preocupaciones propias
tanto operativas como reguladoras. El diferente enfoque dado por cada organización y proveedor en
el Ciberespacio en relación a los aspectos de seguridad donde hay poca o ninguna entrada
proveniente de otra organización o proveedor ha ocasionado un estado fragmentado de seguridad en
el Ciberespacio.
Como tal, la primera área de enfoque de esta norma nacional es abordar la seguridad del
Ciberespacio o cuestiones de Ciberseguridad en el ciberespacio que se concentran en tender
puentes entre los diferentes vacíos del Ciberespacio. En particular, esta norma nacional proporciona
una guía técnica para abordar riesgos de Ciberprotección en el ciberespacio comunes, tales como:
— los ataques de ingeniería social;
— el acceso secreto y no autorizado a sistemas informáticos (hacking);
— la proliferación de software malicioso (“malware”);
— el spyware, y
— otros tipos de software potencialmente no deseables.
La guía técnica proporciona controles para abordar estos riesgos, incluyendo controles para:
— prepararse para ataques de, por ejemplo, malware, delincuentes aislados u organizaciones
criminales de Internet;
— detectar y monitorear ataques; y
— responder a los ataques.
La segunda área que se aborda en esta norma nacional es la colaboración, puesto que existe una
necesidad de compartir la información de manera eficiente y efectiva, y de coordinación y manejo de
incidentes entre las partes interesadas en el Ciberespacio. Esta colaboración debe hacerse de
manera segura y confiable y que también proteja la privacidad de los individuos involucrados. Algunas
de estas partes interesadas pueden residir en diferentes ubicaciones geográficas y husos horarios, y
probablemente estarán sujetas a diferentes requisitos reglamentarios. Las partes interesadas incluyen
a:
— consumidores, que pueden corresponder a varios tipos de organizaciones o individuos; y
— proveedores, que incluye a los proveedores de servicios.
De esta manera, esta norma nacional proporciona un marco para:
— compartir información,
— coordinar, y
— manejo de incidentes.
E
X
T
R
A
C
T
O
7. NTE INEN-ISO/IEC 27032 2015-10
© ISO/IEC 2012 Todos los derechos reservados
© INEN 2015
2015-0379 vi
El marco de referencia incluye:
— elementos clave sobre consideraciones para establecer confianza,
— procesos necesarios para la colaboración e intercambio y difusión de información, así como
— requisitos técnicos para la integración de los sistemas e interoperabilidad entre las diferentes
partes interesadas.
Dado el campo de aplicación de esta norma nacional, los controles provistos son necesariamente de
alto nivel. Para mayor orientación, se hacen referencia a las normas de especificaciones técnicas
detalladas y directrices aplicables a cada área dentro de esta norma nacional.
E
X
T
R
A
C
T
O
8. NTE INEN-ISO/IEC 27032 2015-10
© ISO/IEC 2012 Todos los derechos reservados
© INEN 2015
2015-0379 1 de 56
Tecnologías de la información ̶ Técnicas de seguridad ̶ Directrices para
Ciberseguridad
1 Objeto y campo de aplicación
Esta norma nacional proporciona una guía para mejorar el estado de la Ciberseguridad, destacando
aspectos únicos de dicha actividad y su dependencia de otros ámbitos de seguridad, en particular:
— la seguridad de la información,
— la seguridad de las redes,
— la seguridad de internet, y
— la protección de la infraestructura crítica de información (CIIP).
Se cubre el punto partida en prácticas de seguridad para las partes interesadas del Ciberespacio.
Esta norma nacional proporciona:
— las generalidades de la Ciberseguridad,
— una explicación de la relación entre Ciberseguridad y otros tipos de seguridad,
— una definición de las partes interesadas y una descripción de sus roles en la Ciberseguridad,
— una guía para abordar problemas comunes de la Ciberprotección, y
— un marco de referencia que permite a las partes interesadas colaborar en la resolución de
problemas de Ciberseguridad.
2 Aplicabilidad
2.1 Audiencia
Esta norma nacional se aplica a proveedores de servicios en el Ciberespacio. La audiencia, sin
embargo, incluye a los consumidores que utilizan estos servicios. Si hay organizaciones que
proporcionan servicios en el Ciberespacio para que la gente los utilice desde sus hogares o en otras
organizaciones, entonces podrían necesitar preparar una guía en base a esta norma nacional que
contenga explicaciones adicionales o ejemplos suficientes que permitan al lector comprender y actuar
en base a ello.
2.2 Limitaciones
Esta norma nacional no incluye:
— La ciberprotección,
— El delito informático (cibercrimen),
— La protección de la infraestructura crítica de información (CIIP),
— La seguridad en internet, y
— Los delitos relacionados con internet.
Es reconocido que existen relaciones entre las áreas mencionadas y la Ciberseguridad. Sin embargo,
está más allá del alcance de esta norma nacional abordar estas relaciones y el compartir los controles
entre estos ámbitos.
E
X
T
R
A
C
T
O
9. INFORMACIÓN COMPLEMENTARIA
Documento:
NTE INEN-
ISO/IEC 27032
TÍTULO: TECNOLOGÍAS DE LA INFORMACIÓN ̶ TÉCNICAS
DE SEGURIDAD – DIRECTRICES PARA CIBERSEGURIDAD
(ISO/IEC 27032:2012, IDT)
Código ICS:
35.040
ORIGINAL:
Fecha de iniciación del estudio:
2014-09-26
REVISIÓN:
La Subsecretaría de la Calidad del Ministerio de Industrias
y Productividad aprobó este proyecto de norma
Oficialización con el Carácter de
por Resolución No.
publicado en el Registro Oficial No.
Fecha de iniciación del estudio:
Fechas de consulta pública: 2014-11-20 hasta 2015-01-19
Comité Técnico de: Tecnologías de la información
Fecha de iniciación: 2015-03-19 Fecha de aprobación: 2015-04-20
Integrantes del Comité:
NOMBRES: INSTITUCIÓN REPRESENTADA:
Ing. Esteban Hidalgo (Presidente) MINTEL
Ing. Oswaldo Rivera MINTEL
Ing. Marco Torres Andrade TELCORP
Ing. Carlos Castro S.I.N
Ing. Pablo Sosa INFORC
Ing. Evelyn Arias CNT
Ing. Norma Zambrano CFN
Ing. José León (Secretario Técnico) INEN - Dirección de Normalización
Otros trámites:
La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de
norma
Oficializada como: Voluntaria Por Resolución No. 15285 de 2015-09-18
Registro Oficial No. 606 de 2015-10-13
E
X
T
R
A
C
T
O