o2 POLICIA NACIONAL DEL PERU As BPaTriady DOCUMENTO DE GESTION DE SEGURIDAD DE LA INFORMACION POLITICA DE SEGURIDAD DE LA INFORMACION DE LA POLICIA NACIONAL DEL PERU CODIGO : — PL-SGSI-PNP-01 VIGENCIA: — 27ABR2019 VERSION: 04PLSGSL-PNP-01 @ POLITICAS DE SEGURIDAD DE LA INFORMACION | DE LA POLICIA NACIONAL DEL PERU INTERNO| _ Pagina t de 38 “Antes de usizar alguna copia de este documento, verique que el mimero de versions «de contol, para asegurar que Ia copia esta vigenie. De no ser asi, destruys la copia DELPERO OBJETO Establecer las directrices para proteger los activos de informacion de la Policia Nacional del Pert! y asegurar su confidencialidad, integridad y disponibilidad, que se genera, procesa, almacena y transmite, alineado al Plan Estratégico Institucional de la Policia Nacional del Peri 2017-2021, conforme a los requisitos tecnolégicos, operativos, legales, obligaciones adquiridas contractualmente y gestion de riesgos, no siendo taxativas las mismas FINALIDAD 2.1 Mantener altos niveles de confidencialidad, integridad y disponibilidad de los activos de informacion de la Policia Nacional del Pera. 2.2 Fortalecer las capacidades de la Policia Nacional del Perti para enfrentar las amenazas que atentan contra la seguridad de la informacion, creando un entorno y condiciones necesarias que permitan proteger los activos de la informacion 2.3 Promover la sensibilizacién a todos los funcionarios, colaboradores, proveedores, contratistas y personas de interés general, acerca del uso racional y seguro de Ia infraestructura informatica, sistemas de informaci6n, servicios de red y canales de comunicacién. 2.4 Controlar, mitigar y/o prevenir impactos ocasionados por posibles eventos y/o incidentes a la seguridad de la informacion. 2.5 Dar cumplimiento a la legislacion vigente asociada a la seguridad de la informacion. 2.6 — Mantener la confianza del personal de la Policia Nacional del Peri, los ciudadanos, contratistas y proveedores, respecto al correcto manejo y proteccién de la informacién que es gesticonada y resguardada en la Policfa Nacional del Pert. ALCANCE Las politicas de seguridad de la informacién son aplicables a la DIRECCION DE TECNOLOGIA DE LA INFORMACION Y COMUNICACIONES (DIRTIC-PNP) y a las OFICINAS DE TECNOLOGIA DE LA INFORMACION Y COMUNICACIONES O LAS QUE HAGAN SUS VECES a nivel nacional ubicadas en las Macro Regiones, Regiones, Direcciones Especializadas y Dependencias de la maceta de este lal que muestra ais ssegurar que no se Lun uso no previste” osCédigo: PLSGSLPNP-OT @ POLITICAS DE SEGURIDAD DE LA INFORMACION |, DE LA POLICIA NACIONAL DEL PERU am INTERNO| Pagina 2 de 38 Vv Policia Nacional del Pert, asi como los funcionarios pliblicos, Directivo Publico, Servidor Civil de Carrera y Servidor de Actividades Complementarias, colaboradores, proveedores, contratistas, partes interesadas, en adelante “Usuarios”, que utilicen los activos de informacion administrados y/o propiedad de la Policia Nacional del Peri, BASE LEGAL 4.1 Constitucién Politica de! Pert, de 29DIC1993 4.2 Ley N° 27658 de 17ENE2000, Ley Marco de Modemizacién de Gestion dei Estado. 4.3 Ley N° 27444 de 21MAR2001, Ley de Procedimiento Administrativo General. 44 Ley 27806 de 02AGO2002, Ley de Transparencia y Acceso a la Informacién Publica. 4.5 Ley N° 29733 de 21JUL2011, Ley de Proteccién de Datos Personales. 46 Ley N° 30057 de 03JUL2013, Ley del Servicio Civil y sus reglamentos 4.7 Ley N° 30096 de 210CT2013, Ley de Delitos Informaticos y su modificatoria Ley 30174 4.8 Ley 30714 de 29DIC2017, Ley de Régimen disciplinario de la Policia Nacional del Peru. 4.9 — Decreto Legislativo 635 de 03ABR1991, promulga el Cédigo Penal. 4.10 Decreto Legislativo 957 de 21JUL2004, promulga el Cédigo Procesal Penal. 4.11 Decreto Legislativo N° 1094 de 31AGO2010, promulga el Codigo Penal Militar Policial 4.12 Decreto Legislative 1267 de 16DIC2016, Ley de la Policia Nacional del Pert y sus modificatorias. 4.13 Decreto Legislativo N° 1412 de 12SET2018, aprueba la Ley de Gobierno Digital. 4.14 Decreto Legislative 1451 de 15SET2018, que fortalece el funcionamiento de las entidades del Gobierno Nacional, del Gobierno Regional o del Gobierno Local, a través de precisiones de sus competencias, regulaciones y funciones. “Antes de ulizar algune copia de este documento, verifque que el numero de version sea ial al que muestra la sta maestra de control, pare asegurar que ls copia est vigente, De no ser as, destruyala copia para asegurar que no se haga de esto ‘un use no previste o4‘Cédigo: PLSGSL-PNP-O Versin: 04 & POLITICAS DE SEGURIDAD DE LA INFORMACION _| DE LA POLICIA NACIONAL DEL PERU __ INTERNO Pagina 3 de 36 4.15 Decreto Supremo N° 030-2002-PCM de 02MAY2002, aprueba el Reglamento de la Ley N° 27658, Ley Marco de Modemizacin de Gestién del Estado. 4416 Decreto Supremo N° 092-2017-PCM de 13SET2017, aprueba la Politica Nacional de Integridad y Lucha contra la Corrupcién. 4.17 Decreto Supremo N° 026-2017-IN de 130CT2017, aprueba el Reglamento de! Decreto Legislative N° 1267, Ley de la Policia Nacional de! Peri. 4.18 Decreto Supremo N° 118-2018-PCM de 29NOV2018, deciara de interés nacional el desarrollo del Gobierno Digital, la innovacién y la economia digital con enfoque territorial 4.19 Decreto Supremo N° 119-2018-PCM de 29NOV2018, modifica la Quinta Disposicién Complementaria Final del Decreto Supremo N° 033-2018-PCM, 4.20 Decreto Supremo N° 033-2018-PCM de 22MAR2018, creacién de la Plataforma Digital Unica del Estado Peruano. 4.21 Resolucién Ministerial N° 119-2018-PCM de O8MAY2018, creacin del Comité de Gobierno Digital en cada entidad de administracion publica. 4.22 Decreto Supremo N° 050-2018-PCM de 14MAY2018, establece la definicién de Seguridad Digital de ambito nacional 4.23 Resoluci6n Ministerial N° 0306-92-IN/PNP de 17MAR1992, aprueba el reglamento de! Sistema Normativo de la Policia Nacional del Pert, 4.24 Resolucién Ministerial N° 0303-2012-IN de 19ABR2012, aprueba la Directiva “Estandarizaci6n de la telefonia IP y cableado estructurado en el Ministerio del Interior”. 4.25 Resolucién Ministerial N° 1263-2013-IN de 18SET2013, aprueba la Directiva N° 13-2013-IN-DGTIC. Normas y Procedimientos para la adquisicién, suministro, implementacion y despliegue de sistemas de informacion en el Ministerio del Interior. 4.26 Resolucién Ministerial N° 0115-2015-IN de 17FEB2015, aprueba la Directiva N° 002-2015-IN-DGPP Lineamientos aplicables para la formulacién, tramitacién y aprobacién de directivas del Ministerio del Interior. 4.27 Resolucién Ministerial N° 004-2016-PCM de 08ENE2016: Aprueba el uso obligatorio de la Norma Técnica Peruana “NTP ISO/IEC “Antes de utlizar alguns copia de este documento, verifique que el rimero de versién sea igual al que muesta la lista maestra de contol, para asegurar que la copia estévigente. De no ser asl, destruya la copia pare esegurar que no se haga de esta ‘un uso no previste,|. — ~ ‘Séttiga: PL-SGSI-PNP.OT | @ | POLITICAS DE SEGURIDAD DE LA INFORMACION | o— J DE LA POLICIA NACIONAL DEL PERU a INTERNO | [Pagina 0 36 27001:2014 Tecnologia de la Informacién. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Informacion. Requisitos. 2a. Edicién”, en todas las entidades integrantes del Sistema Nacional de Informatica, 4.28 Resolucién Ministerial N° 166-2017-PCM de 20JUN2017, que modifica el articulo 5 de la R.M. N° 0042016-PCM referente al Comité de Gestion de Seguridad de la Informacién. 4.29 Resolucién Ministerial N° 042-2018-IN de 17ENE2018, aprueba la Politica General de Seguridad de la Informacion en el Ministerio del Interior. 4.30 Resolucion Ministerial N° 276-2019-IN de 19FEB2019, aprueba los siguientes documentos relacionados al Sistema de Gestion de Seguridad de la Informacién en el Ministerio del interior: - Alcance del Sistema de Gestion de Seguridad de la Informacion. - _Lineamientos para el desarrollo de documentos del Sistema de Gestion de Seguridad de la Informacién (SGSI) del Ministerio del Interior. - Metodologia de Gestién de Riesgos de Seguridad de la informacién del MININTER, PNP y Fondo de Aseguramiento en Salud de la PNP (SALUDPOL), 4.31 Resolucion Ministerial N° 426-2019-IN de 21MAR2019, aprueba los siguientes documentos relacionados a la implementacién del Sistema de Gestion de Seguridad de la Informacién en el Ministerio del Interior: - Roles y responsabilidades para la seguridad de la informacion. - Objetivos para la seguridad de la informacion. - Plan de concientizacién de la seguridad de la informacion 4.32 Resolucién Directoral N° 776-2016-DIRGEN/EMG-PNP de 27JUL2017, aprueba el “Manual de Documentacion Policial de la Policia Nacional de! Pert”. 4,33 Resolucién de Comandancia General N° 161-2018-COMGEN/EMG- PNP DEL 24NOV2018, aprueba la Directiva N° 13-25-2018- COMGEN-PNP/SECEJE-DIRTIC-DIVINF-B Normas para el uso de equipos de cémputo, acceso a los servicios de red, Internet e Intranet en la Policia Nacional del Peru. “Antes de utilizar alguns copia de este documento, verifique que el nbmera da versién sea 4e conirol, para asegurar que la copia esta vigenie. Deno ser asl, destuya la copie pa lun uso no prevista ala que muestra asta maestia sSegurar que no se haga de estaCodigo: PLSGSPNP-AT @ POLITICAS DE SEGURIDAD DE LA INFORMACION | : | DE LA POLICIA NACIONAL DEL PERU ee _— INTERNO Pagina de 36 4.34 Resolucién de Comandancia General N° 207-2018-COMGEN/EMG- PNP de 07DIC2018, aprueba la Directiva N° 13-26-COMGEN- PNP/SECEJE-DIRTIC-SEC-UNIPLAE-B Normas Generales para el funcionamiento sistémico de las Oficinas de Tecnologia de la Informacion y Comunicaciones en la Policia Nacional del Pert. 4.35 Resolucién de la Contraloria General N° 320-2006-CG de 300CT2006, aprueba normas de Control interno, aplicable a las entidades del Estado. 4.36 Resolucién N°129-2014/CNB-INDECOPI de 20NOV2014, aprueba la Norma Técnica Peruana "NTP ISOMEC 27001:2014: Tecnologia de la Informacién. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Informacién. Requisitos. 2a. Edicion’. 4.37 Resolucion de Secretaria de Gobierno Digital N° 004-2018- PCM/SEGDI de 10DIC2018, aprueban lineamientos del Lider de Gobierno Digital GESTION DE RIESGOS 5.1 La Policia Nacional del Peri debe identificar, cuantificar y tratar los riesgos de Seguridad de la Informacién, de acuerdo ala metodologia de gestién de riesgos de seguridad de la informacién establecida mediante la Resolucién Ministerial N° 276-2019-IN de 19FEB2019; a fin de poder establecer los controles apropiados para los riesgos identificados y llevarios a niveles aceptables para la Policia Nacional del Pert. 5.2 Se debe asegurar que los riesgos son monitoreados y tratados para medir la efectividad de los controles implementados. 5.3 La evaluacidn de riesgos debe realizarse como minimo una vez al afio ylo cada vez que se identifiquen cambios significativos en el contexto interno y externo en el cual se desenvuelve la Policia Nacional del Peru. 6 POLITICA DE SEGURIDAD DE LA INFORMACION 6.1 SEGURIDAD DE LA INFORMACION EN LA GESTION DE PROYECTOS ¢ Incluir objetivos de seguridad de la informacién dentro de los objetivos del proyecto en concordancia con los activos de informacién a tratar. * Identificar los activos de informacién sensibles que estén involucrados en el disefio y desarrollo del proyecto. “Antes de uiizar alguna copia de este documento, veriique que el nimero de version sea igual al que muestra lista maesira e control, para asegurar que la copia esté vigente, De no ser asi, desta la copia para asegurar que no we haga de ala lun uso no previsio” oFVersion: 04 @ | POLITICAS DE SEGURIDAD DE LA INFORMACION | DE LA POLICIA NACIONAL DEL PERU = INTERNO. Pagina 6 de 36 * Incluir en la gestion del proyecto la evaluacién de los riesgos de seguridad de la informaci6n para la proteccién de los activos de informacién y de esta forma identificar los controles necesarios. © Definir los responsables en cada una de las etapas del proyecto a fin de que bajo su responsabilidad se implementen los controles relacionados al uso y/o tratamiento de los activos de informacion. © La seguridad de la informacién debe ser parte de todas las etapas del proyecto, independiente de la metodologia utilizada 6.2 CLASIFICACION, TRATAMIENTO _Y CONSERVACION DE_LA INFORMACION * Laclasificacién de la Informacion es conforme a lo siguiente: - _ Clasificada: Informacion de caracter Secreto, Reservado o Confidencial que solo debe conocer o tener acceso personal Policia Nacional del Perit autorizado y los usuarios que puedan acceder a ella seguin su rol. - Comin: De libre acceso a la informacién publica, con las formalidades establecidas por la Ley 27806 — Ley de Transparencia y Acceso a la Informacién. ° Para el tratamiento de {a informacion, los usuarios deben Considerar la clasificacién asignada a la documentacion para establecer los niveles de proteccién adecuados. ° Etiquetar la informacién de acuerdo al esquema de clasificacion de informacién adoptado por la institucién. * Conservar la informacién conforme a los requisitos legales, regulatorios o contractuales. * Toda informacién clasificada como secreta, reservada o confidencial, que se requiera eliminar, debe ser destruida de modo que sea imposible su recuperacién y cumpliendo la normatividad vigente. 6.3 SEGURIDAD DE RECURSOS HUMANOS * Integrar la seguridad de la informacion en las etapas de seleccién de personal, durante el empleo y al finalizar el mismo. ° Realizar la concientizacién en seguridad de la informacién de acuerdo a las funciones, roles y responsabilidades asignadas, “Antes de utiizar alguna copia de este documento, verifique que el numero de versién se se contol, para asegurar que la copia esta vigenie. De no ser asl, destruya la copia pa lun use no previsto” al que muestra feta maestra jegurar que no se haga de éstaINTERNO @ POLITICAS DE SEGURIDAD DE LA INFORMACION Cédigo: PLSGSi-PNP.OT DE LA POLICIA NACIONAL DEL PERU Promover y verificar el buen uso de los activos de informacion. La Direccién de Recursos Humanos de fa Policia Nacional del Pert debe reportar al drea de Tecnologias de la Informacién, el retiro de un efectivo policial o usuario, para revocar las credenciales de acceso a los diferentes sistemas de informacion; asimismo, la Unidad Policial donde estuvo laborando debe verificar la entrega de la informacién que estuvo a su cargo y supervisar la correcta devolucién de los equipos y activos de informacion asignados al usuario de la red. La Direccion de Recursos Humanos de la Policia Nacional del Perii debe reportar al rea de Tecnologias de la Informacion los movimientos internos de personal de la Policia Nacional del Pert y asi alustar los nuevos roles y revocar los privilegios de acceso a los sistemas de informacién En caso de tener que transportar informacién clasificada se debe tomar las medidas de seguridad para evitar la pérdida, fuga de la informacién o algun delito en contra del bien juridico tutelado (informacién). No deben realizar transmisiones y/o comunicaciones, que atenten contra la seguridad de !a informacién de los activos de la informacién de la que sea administrada y/o propiedad de la Policia Nacional del Pert 64 RESPALDO Y RECUPERACION DE LA INFORMACION Contar con un sistema de generacién de copias de respaldo (en disco, cintas y/o medio éptico), o en su defecto un procedimiento el cual permita crear, salvaguardar y recuperar copias de Tespaldo de los datos de los sistemas de informacion, equips de cémputo, cédigo fuente de aplicaciones, equipos de comunicacion, equipos de seguridad y otros que se consideren criticos para la funcién policial, asimismo, deben ser respaldados al menos una vez a la semana. Las copias de respaldo de Ia informacion, del software y de las imagenes de los sistemas de los servidores deben ser realizadas, registradas y controladas periddicamente. Definir con qué frecuencia se generan copias de respaldo considerando su nivel de criticidad para la instituci6n. Identificar claramente las copias de respaldo con etiquetas, que permitan identificar a que sistema de informacion o servidor “Anies de utlizar alguna copia de este documento, veriique que el mimero de versién sea igual al que muestra fata macstra de contro, para asegurar que la copia esté vigente. De no ser asi, destruya la copia para asegurar que.no se haga de sta tn use no previsto.” oF& Cédigo: PL-SGSI-PNPO1 POLITICAS DE SEGURIDAD DE LA INFORMACION ‘Sissite DE LA POLICIA NACIONAL DEL PERU INTERNO [Pagina 6 de 36 65 6.6 pertenece, fecha y hora de la realizacién de la copia, u otro dato que la identifique. * Realizar DOS (02) copias de respaldo como minimo, una de ellas debe ser almacenada en un lugar extemo al local donde se realiza la copia de respaldo y deben contar con controles de acceso fisico y condiciones ambientales adecuadas para su conservacion. * Realizar pruebas de restauracién periddicas a las copias de respaldo, a fin de asegurar que se pueda obtener correctamente 'a informacién almacenada al momento de ser necesaria * Los medios de almacenamiento que contengan copias de respaldo y vayan a ser eliminados deben pasar por un proceso de borrado seguro y posterior eliminacién o destruccién USO DE CONTROLES CRIPTOGRAFICOS * Aplicar técnicas de controles criptogréficos para la informacién Clasificada, siendo necesario para ello emplear las herramientas de cifrado de ultima generacién, las mismas que contribuyen 2 reservar confidencialidad, autenticidad y/o integridad de la informacion. * Cualquier acceso que implique digitar clave o usuario debe estar cifrado fuertemente. * Las comunicaciones 0 la transferencia de informacién que no sea de destino piiblico y cuyo contenido esté identificado como Testringido, debe ser protegido por mecanismos de cifrado fuerte. * Emplear técnicas de criptografia para controlar la integridad de los mensajes que se transmiten en medios seguros. * Almacenar con cifrado fuerte la informacién que no sea publica, para prevenir el acceso no autorizado a la misma. * Los equipos que contengan informacién sensible y por necesidad del servicio tengan que salir del perimetro de control de la Unidad Policial, deben tener su informacion cifrada fuertemente. CONTROL DE ACCESOS 6.6.1 GESTION DE ACCESO AREDES, SISTEMAS Y SERVICIOS ASOCIADOS: “Artes de utlizaralgune copia de este documento, veriique que el numero de version sea igual al que muestra la lista maestra e control, para asegurar que la copia esta vigente, De no ger asl, desta la copia para esegurar que no se haga de cate lun use no previsto” JeDE LA POLICIA NACIONAL DEL PERU [ . . | POLITICAS DE SEGURIDAD DE LA INFORMACION (CONTERNO—] * Todos los accesos a los actives de informacién de la Policia Nacional del Peri deben de tomar en cuenta los siguientes aspectos: - Acceso basado en roles. - Los requerimientos de seguridad de cada una de las. aplicaciones, considerando siempre el principio de menor privilegio. - _ Identificacién de toda la informacién relacionada a las aplicaciones y los riesgos a la que esta expuesta. - _ Legislacién pertinente y cualquier tipo de obligacion contractual con respecto a la limitacion de acceso a los datos 0 servicios. - Uso de perfiles de usuarios estandarizados definidos seguin perfil de puesto. - Requisitos para la autorizacién formal de las solicitudes de acceso - _ Revisién periddica de los controles de acceso. - _ Revocacién de los derechos de acceso - Gestion de derechos de acceso privilegiado. * Todos los equipos de cémputo (servidores, estaciones de trabajo, computadora de escritorio, computadora portatil) que tienen acceso a la red de Policia Nacional del Per deben ser parte del Directorio Activo o en su defecto, implementar controles complementarios para asegurar que cumplan con las politicas de control de acceso implementadas. ° Crear credenciales temporales de inicio de sesién seguin el perfil y cargo del efectivo de la Policia Nacional del Pert, para el acceso a las distintas aplicaciones internas. ¢ Las credenciales de acceso (usuario y contrasefia) son de uso personal ¢ intransferible (no deben compartiria), su uso es de responsabilidad del efectivo policial ylo tercero al que le fue otorgada. * No debe solicitar las contrasefias de otro efectivo o efectuar trabajos con contrasefias de otra persona. * Crear diferentes roles de acceso a equipos de cémputo que no se encuentren registrados en la red de datos de la Policia Nacional del Pert (Intranet PNP), considerando siempre el principio de menor privilegio para el cumplimiento de sus funciones. “Aates de ullizar alguna copia de este documento, veriique que el nimero de versién sea iqual al que muestra eta maestra de control, para asegurar que la copia esté vigente. De no ser asi, desttuya la copia para asegurar que no se hage de ésta lun use no prevst,CBdigo: PLSGSLPNP-OT | POLITICAS DE SEGURIDAD DE LA INFORMACION | DE LA POLICIA NACIONAL DEL PERU Z INTERNO | ” Pagina 10 de 36 * Controlar el acceso a la red y sistemas de informacion mediante la aplicacién de las politicas de seguridad segun los perfiles de usuario (basado en roles) para los efectivos policiales y personal externo. « Realizar el acceso remoto a servidores de la red de datos de la Policia Nacional del Perd (Intranet PNP) solo mediante el uso de tlinel de Red Virtual Privada (VPN por las siglas en inglés de Virtual Private Network). * Los administradores de red deben hacer seguimiento y supervisar las actividades de los equipos de computo y/o dispositivos méviles; siendo cualquier degradacion notable, motivo de monitoreo y andlisis. * Cambiar la configuraci6n por defecto cuando se instala el software 0 sistemas de informacion utilizados para el acceso, procesamiento y almacenamiento de la informacion policial * Segmentar las redes de datos de la Policia Nacional del Peru (ejemplo red virtual de area local VLAN) e implementar restricciones de acceso de acuerdo a las funciones de los usuarios. 6.6.2 GESTION DE CONTRASENAS Sustituir inmediatamente las contrasefias temporales de inicio de sesion entregadas. * La entrega de credenciales de acceso (usuario y contrasefia) de ninguna manera debe ser transmitida mediante servicios de mensajeria electronica instantanea ni via telefénica, © Usar las credenciales de acceso (usuario y contrasefia) sobre los sistemas otorgados, exclusivamente para fines laborales y cuando sea necesario en cumplimiento de las funciones asignadas. * Nousarlas credenciales de acceso de otra(s) persona(s) * Tratar con caracter confidencial todas las credenciales de acceso (usuario y contrasefia). * No mencionar y/o digitar las contrasefias cuando persona(s) se encuentre(n) en nuestro alrededor. “Antes de utiizar alguna copia de este documento, veriique que el nimero de versin sea igual al que muestra la sta macstra de contol, para acegurar que la copia est vigente, De no ser as, destruya la copia para aeegurar que no se haga de esta tun uso no prevste v26 POLITICAS DE SEGURIDAD DE LA INFORMACION DE LA POLICIA NACIONAL DEL PERU * No revelar contrasefias en cuestionarios, reportes, formularios, propaganda o avisos publicitarios. * La contrasefia debe contener como minimo 14 caracteres, siendo una combinacién de letras maylisculas, minusculas, nimeros y caracteres especiales, siendo recomendable que sea parafraseada (resultado de la unién de dos o mas palabras que solo el interesado conozca y pueda recordar). Ejemplo: Dios%Poderoso$430r. * Las contrasefias de acceso al sistema y aplicaciones deben cambiarse como minimo cada trimestre y deben ser diferentes a las contrasefias anteriores. * No usar las contrasefias de la institucién para acceder a sistemas externos como correos personales, redes sociales y otros. * No activar o hacer uso de la utilidad de recordar contrasefia (0 clave) en las aplicaciones que emplee. * Tomar precauciones para proteger su contrasefia. En caso de no recordar la contrasefia 0 se produzca el bloqueo de sesién, deen comunicarlo seguin los canales establecidos a la DIRTIC-PNP, @ las Oficinas de Tecnologia de la Informacién y Comunicaciones 0 las que hagan sus veces para poder restablecerla. * Cambiar inmediatamente las credenciales de acceso si tienen alguna sospecha de conocimiento de su contrasefia por otro usuario. * No escribir las contrasefias en soportes de facil extravio o divulgacién * No uilizar la funcién de recordar contrasefia en ninguna de las aplicaciones proporcionadas por la institucion 6.7 ESCRITORIOS LIMPIOS, EQUIPOS DESATENDIDOS _y PANTALLAS * Conservar el escritorio ordenado y libre de informacién propia de la Institucién, con el fin de evitar que personal no autorizado tenga acceso a la misma. * Proteger los documentos con informacién clasificada, de tal forma que no sean accesibles o dejados a la vista de personas “Antes de utiizar alguna copia de este documento, verfique que el nimero de version sea igual al que muestra la feta maestra de contro, para asegurar que la copia esta vigerte. De no ser asl, destuya la copia para asegurar que no se haga de ta Un uso ne previsto” 13| [FiNTERNO— | édigo: PLSGSLPNP-OF POLITICAS DE SEGURIDAD DE LA INFORMACION DE LA POLICIA NACIONAL DEL PERU eo Pagina 12 de 36 extrafias. Cuando la persona responsable de la informacién se ausente de su lugar de trabajo, debe guardar cualquier documento que contenga informacién clasificada Guardar en un ambiente seguro y controlado toda documentacién (impresa o escrita) clasificada, asi como la informacién contenida en dispositivos de almacenamiento (CD, DVD, Pendrive, otros). Asegurar los equipos portatiles empleando mecanismos de seguridad fisica, por ejemplo, cable de acero con candado de seguridad Configurar todos los equipos de cémputo y/o dispositivos moviles para bloquearse automaticamente una vez transcurrido 10 minutos de inactividad o un tiempo menor. Bloquear su equipo cada vez que se retiren de su puesto de trabajo de forma manual, por ejemplo: - _ Digitando simultaneamente las teclas Windows+L. - _ Digitando simultaneamente las teclas Ctrl + Alt + Suprimir. Desconectar de internet y/o apagar el equipo de cémputo o dispositivo mévil que tenga un comportamiento inusual, y comunicarse con la Oficina de Tecnologia de la Informacién y Comunicaciones o las que hagan sus veces, para que le brinde soporte técnico, como segunda opcién se puede comunicar con la central de Mesa Ayuda de la DIRTIC-PNP. No abrir correos electronicos o descarger archivos de paginas de internet de remitente o procedencia desconocida, ni ejecutar cualquier tipo de informacién adjunta al mismo. Cerrar bajo llave las cajas fuertes, gabinetes, archivadores, cajones y/o escritorios que contengan documentos 0 medios removibles con informacién de la Policia Nacional del Peri y guardar las respectivas llaves en un lugar seguro. Sino se tiene informacién de su procedencia o es de fuente no confiable, no conectar en los equipos de cémputo y meéviles, dispositivos como memoria USB (por las siglas en inglés de Universal Serial Bus), discos externos, Disco Compacto (CD por las siglas en inglés de Compact Disc) 0 Disco Versatil Digital (DVD por las siglas en inglés de Digital Versatile Disc). “Antes de utlizar alguna copia de este documento, veriique que el nimero de version sea igual al que muestra feta macstra {de contro, para asegurar que la copia est vigenta. De no ser asi, destrya la copia para asequrar que no se haga de esta tun uso no prevsto. 4Cédigo: PL-SOSL-PNP-OT @ POLITICAS DE SEGURIDAD DE LA INFORMACION [7 _ DE LA POLICIA NACIONAL DEL PERU dieters INTERNO. [ Peéine 13 de 36 * No consumir alimentos, ni bebidas, en los puestos de trabajo, Porque pueden originar el deterioro de los equipos de cémputo y de la documentaci6n. ¢ Retirar inmediatamente de la impresora los documentos impresos con informacién clasificada. * Alretirarse de sus respectivos centros de trabajo deben apagar los equipos de cémputo, impresora y cargador de celular bajo su uso 68 PROTECCION CONTRA SOFTWARE MALICIOSO (MALWARE * Adoptar las medidas necesarias para la prevencién, deteccién y eliminacion de malware en la red de datos, equipos de cémputo, dispositivos méviles (teléfonos inteligentes 0 smartphones, tableta) y otros, * Asegurar que todos los equipos de cémputo y dispositivos méviles estén protegidos con software antivirus con su respectiva licencia de uso y con capacidad de actualizacién automatica de firmas y de proteccién avanzada contra malware. * No cambiar o eliminar la configuracién de! software antivirus y de proteccién avanzada contra malware, por lo tanto, solo pueden realizar tareas de escaneo. * Desconectar los equipos de cémputo del Intemet y/o red de datos de la Policia Nacional del Perd (Intranet PNP) cuando sospechen o detecten alguna infeccién por software malicioso y luego deben comunicarlo a la Oficina de Tecnologia de la Informacién y Comunicaciones o la que hagan sus veces para que le brinde soporte técnico. La Oficina de Tecnologia de la Informacion y Comunicaciones coordina con el Centro de Respuestas de Incidentes de Seguridad de la Informacion de la Policia Nacional del Peri * Solo los efectivos policiales pertenecientes a la DIRTIC-PNP y Oficina de Tecnologia de la Informacion y Comunicaciones 0 las que hagan sus veces, y en el marco de sus funciones debidamente autorizados por la DIRTIC, podran instalar el software autorizado y configurar los equipos de cémputo y dispositivos méviles. + Implementar medidas de control de software malicioso a nivel de perimetro. “Antes de utitzarelguna copia de este documento, veriique que el nimero de version sea igual al que muestra la sta macstra e contro. para asegurar que la copia esta vigente. De no ser asi, destuya la copia para aeegurar que-no oe haga de eta tun uso ne proviste”[ INTERNO | Pagina 14 de 36 69 POLITICAS DE SEGURIDAD DE LA INFORMACION DE LA POLICIA NACIONAL DEL PERU * Asegurar que el software empleado en la Policia Nacional de! Per sea de la ultima version revisada y disponible en el mercado. * Asegurar que el sistema operativo, software y los aplicativos de los equipos de computo y dispositivos méviles tengan las Ultimas actualizaciones de seguridad (parches), con la finalidad de evitar de explotacién de vulnerabilidades técnicas. ¢ Implementar controles de seguridad que eviten o detecten el ingreso a sitios web con contenido malicioso 0 de dudosa procedencia * Unicamente se podrdn instalar, en los equipos de cémputo y dispositivos méviles, las aplicaciones permitidas por la institucién, por lo que queda prohibido el uso de software no autorizado. Por tanto, no se debe aceptar la instalacién de archivos desconocidos 0 de dudosa procedencia. * Todo software instalado debe tener su respectiva licencia de uso. * Antes de usar archivos electrénicos, verificar que estos estén libres de software malicioso. * — Habilitar la funcionalidad de firewall de los sistemas operativos y antivirus en los equipos de cémputo y dispositivos méviles. USO DE LOS SERVICIOS DE RED Y DISPOSITIVOS MOVILES * Todos los Centros de Datos y las Oficina de Tecnologia de la Informacién y Comunicaciones o las que hagan sus veces deben remitir @ la DIRTIC-PNP el inventario del software, inventario de los equipos de cémputo, comunicaciones y seguridad informatica; asi como la topologia fisica y ldgica, direccionamiento IP y distribucién de los puertos de red de cada equipo de la red de datos de las Unidades ylo Subunidades policiales a las que brinden servicios en cumplimiento de sus funciones. * Los equipos de cémputo, dispositivos méviles y servicios de red (Internet, correo electrénico, ete. ), deben ser usados solo para fines estrictamente laborales. * No utilizar el Internet y/o la red de datos de la PNP. (Intranet PNP), para entrar a paginas de ‘ocio, juego, contenido Pornografico, software ilegal, realizar descarga de musica, etc.; a menos que el desempefio de su funcién policial lo requiera. “Antes de utiizar alguna copia de este documento, veriique que el nimero de version sea igual al que muestra sta maestra 4e contro, para asegurar que la copia estd vigento. De no ser asl, destruya la copia para asegurar que no se haga de ésta Un usonno previsto 1GCBdigo: PLSGSLPNPOT Version: 01 o) | POLITICAS DE SEGURIDAD DE LA INFORMACION - DE LA POLICIA NACIONAL DEL PERU INTERNO_| Pagina 18 de 36 * Descargar aplicaciones autorizadas en los dispositivos méviles, solo por medio del programa Play Store, quedando prohibida la descarga de aplicaciones haciendo uso de paginas web no autorizadas, informales o de procedencia desconocida * Nousar el servicio de correo electrénico para envio 0 recepcin de mensajes de contenido inapropiado, discriminatorio, difamatorio 0 dafiino que pueda atentar contra la dignidad de las personas, imagen institucional de la Policia Nacional del Peri, los derechos y/o libertad de las personas. ° Las Oficinas de Tecnologia de la Informacion y Comunicaciones y Usuarios son los unicos responsables de todas las actividades realizadas con sus cuentas de red, correo electrénico y sistemas de informacion asociados a la Policia Nacional de! Pert, ¢ Establecer controles de auditoria que permitan tener un registro y supervision sobre los accesos a los sistemas, los mismos que deben estar protegidos. * Todos los servicios de tecnologia de la informacion y comunicaciones deben contar con un médulo de auditoria, en caso de detectarse mal uso de los activos de informacion por parte de los usuarios, debera ser informado a su inmediato ‘superior. * El uso de los activos de informacion de tecnologias de la informacién y comunicaciones debe ser monitoreado, ajustado y proyectado a las necesidades futuras. ° Controlar los cambios que afectan a la seguridad de la informacion. * No probar o intentar comprometer los controles internos, a menos de contar con la aprobacién del érgano competente de la DIRTIC-PNP, con excepcion de los Organos de Control en el marco de una investigacién * No probar o intentar probar fallas de la seguridad informatica, a menos que estas pruebas sean controladas y aprobadas por el 6rgano competente de la DIRTIC-PNP. * No usar herramientas de hardware o software para violar los controles de seguridad establecidos, a menos de contar con la aprobacién del érgano competente de la DIRTIC-PNP, con excepcion de los Organos de Control en el marco de una investigacién. “Antes de utlizar alguna copia de este documento, verifque que el nimero de versin sea igual al que muesta la sta maestra de conto, para asegurar quo la copia estévigente. De no ser esi, destruya la copia para esegurar que no se haga de esta tun uso no prevste”® | Cédigo: PL-SGSI-PNP-O1 Version: 04 POLITICAS DE SEGURIDAD DE LA INFORMACION DE LA POLICIA NACIONAL DEL PERO INTERNO| | Pagina 16 ae 36 « Las paginas o portales administradas y/o de propiedad por la Policia Nacional del Pert, no deben incluir enlaces (links en inglés) a personas juridicas de derecho privado o entidades publico privadas. ¢ No realizar consultas indebidas o uso indebido de los sistemas de informacion y/o aplicativos que no correspondan al estricto cumplimiento de sus funciones asignadas. * Sincronizar los relojes de tiempo de todos los sistemas de procesamiento de informacién pertinentes con una fuente de tiempo de referencia unica ¢ Implementar controles para evitar el hurto y/o fuga de informacion. * Programar la realizacin de pruebas de comprobacién técnica a cargo de especialistas externos para verificar que se han implementado correctamente los controles de seguridad definidos para el hardware y software. * Las Oficinas de Tecnologia de la Informacién y Comunicaciones y Usuarios son responsables de la seguridad y confidencialidad de la informacién contenida en los dispositivos méviles asignados, quedando prohibido el almacenamiento de informacién clasificada * Comunicar inmediatamente a la Superioridad en caso de pérdida, hurto 0 robo del equipo de tecnologia de la informacién y comunicaciones (equipo de cémputo, dispositive mévil, radio, entre otros) perteneciente a la Policia Nacional del Pert. * Los equipos de cémputo y dispositivos moviles asignados que requieran salir de la institucién, deben contar con controles de proteccién para la informacién utilizando técnicas de cifrado. * Efectuar las siguientes medidas técnicas de configuracién disponibles en los equipos méviles asignados para proteccin de datos: - Habilitar sistemas de autenticacién robustos, apoyandose en aplicaciones gestoras de contrasefias robustas. - Configurar el cifrado de datos y comunicaciones. - Configurar las actualizaciones del software. - _ Desactivar el permiso de recuerdo de contrasefia (debiendo introducirla previo al uso de las aplicaciones), “Antes de ulizar alguna copia de este documento, verifique que el nimera de versin sea igual al que muestra a sta maestra 4e control, para asegurar que la copia est vigae. De no ser asl, destuya la copia para asegurar que no se haga de esta ‘un uso no prevsi.” 1919 édigo: PLSGSIPNP-O POLITICAS DE SEGURIDAD DE LA INFORMACION | 7 DE LA POLICIA NACIONAL DEL PERU — INTERNO _—_ Pagina 17 de 26 © Activar y configurar las funciones de localizacién remota existente en los dispositivos méviles, al ser asignados, para reinvidicarlos en caso de pérdida 0 cualquier otro delito; debiendo considerar: - Localizacién de terminales por el Sistema de Posicionamiento Global (en inglés Global Positioning System GPS), WiFi (en inglés Wireless Fidelity) 0 antena telefénica del proveedor generando que el dispositive haga envio constante de su ubicacién a una cuenta previamente configurada por el usuario. - Bloqueo remoto del terminal para evitar que sea utilizado por terceros si no esté en posesién del efectivo asignado. - Borrado remoto de datos, que permita eliminar los datos contenidos en el dispositive (como contactos, fotos y correos electronics, etc.) de manera remota, impidiendo su utilizaci6n por un usuario no legitimo. Esta opcion también puede configurarse, en algunos dispositivos, para que se formatee el dispositivo después de realizar un niimero determinado de intentos de acceso. - Seguimiento de la actividad del dispositivo para vigilar las aplicaciones que se ejecutan. Se puede hacer seguimiento de las llamadas efectuadas, aplicaciones ejecutadas para obtener datos como nombres, apellidos y hasta direcciones de un posible delincuente. 6.10 SEGURIDAD FISICA * Restringir el acceso a las instalaciones de procesamiento de datos y las oficinas, para impedir la entrada de personas extemas 0 no autorizadas. ¢ Las medidas de proteccién contra amenazas externas y ambientales deben incluir: - Controles de acceso y seguridad fisica. - Detectores de humo y detectores de aniego. - _ Extintores y sistema de proteccién contra incendios. - _ Sistemas de acondicionamiento de temperatura, humedad y filtrado de aire. - Sistema de video vigilanci - Sistema de alimentacién ininterrumpida (en inglés Uninterruptible Power Supply UPS) - Sistema de puesta a tierra. * Implementar el registro de visitas a las instalaciones. “Antes de utiizar alguna copia de este documento, veriique que el ndmara de versién sea igual el que muestra la sta maestra de control, para asegurar que la copia esté vigente. De no ser asi, destuya la copia pare esegurar que na se haga de Esta tun use no previstoGédigo: PLSGSLPNP-OT POLITICAS DE SEGURIDAD DE LA INFORMACION DE LA POLIGIA NACIONAL DEL PERU bas meni Pagina 18 de 38 * Toda persona externa a la Policia Nacional del Peri: puede acceder a las dreas restringidas, siempre que cuente con la autorizaci6n respectiva y debe estar siempre acompajiado por un efectivo policial. * _ Los visitantes a las instalaciones deben portar siempre visible su camé 0 documento de visita. * Portar en todo momento su documento de identificacién (fotocheck, carnet de identificacién policial, etc.) establecido por la Unidad Policial. * — Proteger los equipos de tecnologia de la informacién de fallas por falta de suministro de energia y otras anomalias eléctricas., * El cableado de la red de comunicaciones y de suministro de energia debe estar debidamente etiquetado, identificado y actualizado; debiendo protegerse adecuadamente conforme a esténdares internacionales para evitar su intercepci6n o dafio. * _ Ejecutar el plan de mantenimiento preventivo y correctivo de los equipos de tecnologia de informacién y de los sistemas de acondicionamiento de temperatura, humedad y filtrado de aire, sistemas de energia ininterrumpida (UPS) y sistemas de deteccion y extincién de fuego, aniego entres otros segtin las especificaciones del fabricante. © Ubicar los equipos de cémputo y/o dispositivos méviles del personal que labora o que presta sus servicios, donde no queden expuestos al acceso de personal no autorizado * Los equipos ubicados cerca a zonas de atencién al piiblico o transito de personas, deberan colocarse o protegerse de tal forma que las pantallas no puedan ser visualizadas por personas no autorizadas. 6.11 SEGURIDAD EN RELACIONES CON LOS PROVEEDORES + Establecer mecanismos de control con proveedores, con el objetivo de asegurar que la informacién a la que tengan acceso © servicios que sean provistos ellos, cumplan con los requisitos de seguridad de la informacion. * Controlar y auditar los servicios prestados por los proveedores. * Todos los contratos deben tener claramente definidos los acuerdos de niveles de servicios y ser contemplados como un “fates de utlizar alguns copia de este documento, verfique que el nimero de versicn sea igual al que muesirala sta maestra e contro. para asegurar que la copia esta vigente. De no ser ai, destruya la copia pare asegurar que no se haga de ea ‘un uso no provisto“Antes de uiizr alguna copia de este documento, veriique que el nbmera de versién sea igual al que muestr de control, para asegurar que la copia est vigenio. De no ser asl, destuya la copia para asegurar que no TERNO ‘Cédigo: PL-SGSI-PNP.O1 POLITICAS DE SEGURIDAD DE LA INFORMACION DE LA POLICIA NACIONAL DEL PERU Version: 01 194036 numeral de las especificaciones técnicas o términos de referencia. Diligenciar y firmar el formato de declaracién de confidencialidad y compromiso con la seguridad de la informacion a todos los Usuarios, que utiicen los activos de informacién que sean administrados y/o propiedad de la Policia Nacional del Pert. Antes de permitir el acceso o la entrega de informacién a un tercero, se debe realizar una evaluacién del riesgo, por parte del propietario del activo de informacién, con el fin de establecer la viabilidad de permitir el acceso a la informacién, para salvaguardar la confidencialidad, integridad y disponibilidad de la informacién. 6.12 DESARROLLO Y_MANTENIMIENTO DE SISTEMAS _DE INFORMACION Y COMUNICACIONES in uso no previsto La seguridad de la informacién sea una parte integral de los sistemas de informacién y comunicaciones en todo el ciclo de vida. Incluir los requisitos de seguridad en las especificaciones de cualquier sistema a desarrollar 0 adquirir. Establecer reglas para el desarrollo seguro de software y sistemas de informacion. Controlar los cambios propuestos y despliegue de los sistemas y/o aplicaciones por medio de un procedimiento formal. Establecer, documentar, mantener y aplicar los principios para la ingenieria de sistemas seguros para cualquier labor de implementacion de sistemas de informacién en la Policia Nacional del Pera, Todos los sistemas de informaci6n y servicios web deben contar un médulo de seguridad y auditoria, que permita la trazabilidad completa (almacenar los registros de acceso y transacciones) del usuario que hace uso del servicio. Implementar ambientes separados para desarrollo, pruebas y producci6n. Los datos en los ambientes de desarrollo y pruebas deben ser diferentes a los de produccién, garantizando que los desarrolladores 0 probadores no conozcan datos reales de la instituci6n. 2sCédigo: PLSGSIPNPOT @ POLITICAS DE SEGURIDAD DE LA INFORMACION [Jo DE LA POLICIA NACIONAL DEL PERU 7 INTERNO Pagina 036 * Establecer controles de acceso fisicos y Iégicos para proteger adecuadamente los entornos de desarrollo, pruebas y repositorios de cédigo fuente. * Crear diferentes roles de acceso a los servidores, considerando siempre el principio de menor privilegio para el cumplimiento de sus funciones. * El desarrollo de software debe estar alineado con las normas técnicas peruanas que le son aplicables. © No escribir, generar, compilar, copiar, coleccionar, propagar, gjecutar 0 introducir cualquier tipo de cédigo (programa) malicioso; disefiados para dafiar, afectar el desempefio o acceso a los equipos de tecnologia de la informacion, redes o informacion de la Policia Nacional del Peri. * Implementar planes de capacitacién en lenguajes y herramientas de desarrollo seguro y paradigmas de innovacion tecnolégica * Tener acuerdos de licencias, propiedad de cédigo y derechos de propiedad intelectual con las empresas y personal que desarrollen software para la Policia Nacional del Peri * La interconexién con sistemas internos 0 externos debe cumplir con los criterios de proteccién de la confidencialidad, integridad y disponibilidad, ademas de definir los niveles de acuerdo del servicio. * Enel ciclo de vida de los sistemas y aplicaciones, establecer y ejecutar los requisitos de seguridad funcional y no funcional o las que apliquen en su momento, las cuales deben dejar registros 0 evidencias de las mismas. * Antes de su puesta en produccién analizar todos los sistemas. y aplicaciones desarrolladas por la Policia Nacional del Pert y/o terceros, mediante un analizador de vulnerabilidades web y de cédigo fuente. 6.13 ALMACENAMIENTO DE LA INFORMACION La Policial Nacional del Peri cuenta con infraestructuras de almacenamiento flexibles, soluciones que protegen, resguardan la informacién, se adaptan a los rapidos cambios del negocio y las nuevas exigencias del mercado. “Antes de utiizar alguna copia de este documento, veriique que el nimero de version sea igual al que muestala feta maestra de contol, para asegurar que la copia est vigente. De no ser asi, destruya la copia para asegurar que no se haga de esta tun uso1no prevste@ POLITICAS DE SEGURIDAD DE LA INFORMACION = DE LA POLICIA NACIONAL DEL PERU INTERNO Pagina 21 do 38 | eéaigar PLS PNP Verb 07 Los sistemas de almacenamiento de informacién reconocidos y autorizados en la Policia Nacional del Peri son los siguientes: * Almacenamiento local: La informacion se genera, modifica, transmite y guarda en el almacenamiento local (discos duros) de los equipos informaticos de la institucién. También es almacenamiento local el utilizado en tabletas, dispositivos méviles y otros asignados. ° — Servidores de almacenamiento en red: Es el lugar comin donde se almacenan los trabajos individuales y puede compartirse informaci6n entre usuarios de la red. * Dispositivos externos: Adicionalmente se puede disponer de sistemas externos que, conectados directamente a los equipos, Permiten un almacenamiento extra de la informacion, evitando que se ocupe este espacio en el equipo, estos pueden ser cintas magnéticas, discos duros externos, CD, DVD, memoria USB, entre otros. REDES SOCIALES Contar con un Administrador de Comunidad (Community Manager), quien estaré a cargo de gestioner en las redes sociales, la identidad online e imagen institucional de la Policia Nacional del Peru, sujeto a los procesos internos y directrices de seguridad de la informacién de la institucién. ° Configurar la privacidad de las cuentas de redes sociales. * Tener especial cuidado con el uso que se les da a nombres, logotipos y marcas de la institucién por tratarse de distintivos registrados. No escribir en las redes sociales dando a entender que se actia como portavoz de las opiniones 0 posicion oficial de la instituci6n, a menos que lo disponga el comando institucional. No dar informacién que pueda ser usada en contra de los intereses de la PNP. E| Administrador de Redes Sociales (en inglés Community Manager) debe conocer la institucién, la politica, normativa, buenas practicas y en definitiva las reglas definidas, los usos. Permitidos de las redes sociales y las posibles sanciones de un uso indebido, ademas, es recomendable que en ellas se diferencien claramente dos escenarios de uso de las redes ‘Artes de utlizar alguna copia de este documento, veriique que el nimera de version sea igual al que muestra la isa maestra de contol, para asegurar que la copia esta vigente. De no ser asl, destruya la copia para asegurar que no se haga de tele ‘un uso no prevete24 [ Séigo: PLSGSLPNPAI Version: 04 Pagina 22 @ POLITICAS DE SEGURIDAD DE LA INFORMACION DE LA POLICIA NACIONAL DEL PERU sociales, una para el trabajo y otra para su uso extra laboral que pueda estar vinculado con su actividad laboral. * — Utilizar el correo institucional como medio de comunicacién en las redes sociales de uso policial, quedando prohibido el uso de corres 0 accesos personales, a menos que el desempefio de su funcién policial lo requiera. * _ Definir estrategias de monitorizacién para seguimiento constante y efectivo de la reputacién online. * Verificar los aspectos de relevancia (es decir, cuél es la posicién de la institucion en los resultados ofrecidos por los buscadores en la busqueda de materias relacionadas con las areas de especializaci6n de la institucién o marca) y de contenido (signo Positivo 0 negativo de la informacion destacada por los buscadores) 6.15 TRANSFERENCIA DE INFORMACION * Para realizar el intercambio de informacién debe existir un documento de aceptacion de las politicas de seguridad y uso adecuado de informacién entre las partes que garantice la disponibilidad, confidencialidad e integridad. * Los terceros deberan firmar las cléusulas de confidencialidad que se adecuaran al documento. * Para el intercambio de informacién establecida por ley con entidades gubemamentales, se debe registrar la norma que aplique y un documento formal de trabajo que se realizaré en Conjunto para tal fin, en el cual se deben definir los mecanismos 0 protocolos a usar. * Emplear controles criptogréficos para el intercambio de informacion sensible. (Ver politica de controles criptogréficos). * La Direccion de Tecnologia de la Informacion y Comunicaciones de la Policia Nacional del Peri (DIRTIC-PNP) reporta a la Comandancia General PNP el incumplimiento de acuerdos de intercambio de informacién que se hayan suscrito entre Direcciones PNP 0 terceros. * Seguir las politicas establecidas con relacién al desarrollo de software para intercambio de informacion de aplicativos con terceros. “Antes de uiizar algune copia de este documento, verique que el riimero de version sea igual al que muestra laista maestra de control, para asegurar que la copia esta vigente. De no ser as, desiruya la copia para asegurar que no se haga de ésto lun uso no prevsto™l INTERNO: POLITICAS DE SEGURIDAD DE LA INFORMACION DE LA POLICIA NACIONAL DEL PERU vesene Pagina 23 de 36 6.16 GESTION DE INCIDENTES Reportar los eventos que atenten contra la seguridad de la informacion a la mesa de ayuda de la DIRTIC-PNP. Establecer un procedimiento para la gestion de incidentes de seguridad de la informacién. Tener una base de conocimiento de los incidentes de seguridad y mecanismos que permitan recopilar evidencias de los mismos. 6.17 CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION Determinar los requisitos de seguridad de la informacion al planificar la continuidad del negocio y la recuperacién ante desastres. Verificar los controles de continuidad de seguridad de la informacion establecidos e implementados en. intervalos Fegulares y asegurar que son validos y eficaces durante situaciones adversas. Implementar redundancias en las instalaciones de procesamiento de informacién para asegurar la disponibilidad de los servicios. Cada Unidad PNP debe realizar el inventario de los activos de informacién y la gestion de riesgos de seguridad de la informacién, el mismo que debe ser actualizado cada afio. 6.18 USO DE _DISPOSITIVOS DE CAPTURA DE IMAGENES Y/O GRABACION DE VIDEO No realizar la captura de imagenes y/o grabacién de video en las. Dependencias Policiales 0 del personal que labora en ellas, sin previa autorizacién del Jefe de la Direccién 0 Macro Region Policial PNP donde se encuentre la Dependencia Policial Las imagenes y/o grabacién de video de las cémaras de videovigilancia instalados en las Dependencias Policiales, deben ser monitoreados y almacenados en medios durante el tiempo que estipule la ley y es responsabilidad del personal policial designado y en cumplimiento de sus funciones asignadas. “Aotes de utlizar alguns copia de este dacumento, veriique que el nimero de versién sea igual al que muestala lista maestra e contro, para asequrar que la copia esta vigente. De'no ser tn so ne prevsto 5 destuya la copia para sgegurar que no se haga de esta 2sGBdigo: PLSGSL-PNP.OT @ POLITICAS DE SEGURIDAD DE LA INFORMACION |) 5 DE LA POLICIA NACIONAL DEL PERU i" [FINTERNO __ Pagina 20 d0 36 6.19 CUMPLIMIENTO DI EQUISITOS LEGALES CONTRACTUALES * Todas las legislaciones, regulaciones y requerimientos contractuales deben ser identificadas, documentadas y cumplirse. Se deben proteger todos los registros contra pérdidas, destrucci6n, falsificacién, acceso no autorizado y publicacién no autorizada de acuerdo con los requisitos normativos y contractuales. Toda la informacién debe ser protegida conforme a los requisitos normativos o contractuales. No destruir o eliminar registros o informacién, sin la aprobacién respectiva de los propietarios de la informacion y en cumplimiento de la normatividad legal Respetar los derechos de propiedad intelectual, para lo cual todo el software que se utiliza en la organizacién debe contar con la respectiva licencia de uso. * Protege los derechos de autor de la informacién obtenida a través de las publicaciones impresas y en portales web de la Policia Nacional del Perd, por lo que se debe citar como fuente de informacion a la Policia Nacional del Peri No realizar copia no autorizada de software, ya sea adquirido o desarrollado por la Policia Nacional del Pert Los sistemas desarrollados por los efectivos policiales, usuarios © personal extemo contratado para tal fin, son de propiedad intelectual de la Policia Nacional del Pert. Realizar las revisiones de la politica de seguridad y normas de seguridad para evaluar el cumplimiento de las mismas por lo menos una vez al afio. Efectuar auditorias periddicas para asegurar el cumplimiento de las politicas de seguridad de la informacion. 6 COMUNICACION DE LA POLITICA DE SEGURIDAD DE LA INFORM) Se debe asegurar que la politica de seguridad de la informacion sea comunicada a las Oficinas de Tecnologia de la Informacion y “Antes deutlizar alguna copia de este documento, verique que el nimero de version sea igual al que muesivala eta maestra de control, para asegurar que la copia ests vigente. De no ser asi, destuya la copla para asegurar que no se haga de esta ‘un uso no prevsio” 26Versién: 07 e POLITICAS DE SEGURIDAD DE LA INFORMACION DE LA POLICIA NACIONAL DEL PERU INTERNO| Pagina 25 de 36 vil. Ix. Comunicaciones y Usuarios, que utilicen los activos de informacién que sea administrada y/o propiedad de la Policia Nacional del Peri. RESPONSABILIDADES Todo el personal comprendido en el alcance de la presente politica, es responsable de: * Conocer, adoptar y cumplir la presente politica de seguridad de la informacion. * _ Notificar los incidentes de seguridad de la informacién por medio de los. canales establecidos. ° Participar en tas actividades de concientizacién en Seguridad de la Informacién. * Guardar secreto y mantener la confidencialidad sobre toda la informacion y datos de carécter personal a los que tenga acceso en virtud de su trabajo, obligacién que subsiste incluso después de finalizar su relacién con la Policia Nacional del Perii por el plazo que indica la norma. SANCIONES POR INCUMPLIMIENTO La Policia Nacional del Pert realiza acciones contra los que incumplan con lo dispuesto en la Politica de Seguridad de la Informacién, conforme a las normas aplicables prescritas en la base legal de la presente politica, no siendo taxativas las mismas y sin prejuicio de las acciones administrativas civiles ylo penales que pudieran corresponder MEJORA CONTINUA La Politica de Seguridad de la Informacién se revisa una vez al afio o si ‘curren cambios significativos en el contexto interno y externo en el cual se desenvuelve la Policia Nacional del Pert, para garantizar su idoneidad, adecuacién y efectividad continua. VIGENCIA Lo dispuesto en las presentes politicas de uso obligatorio, entra en vigencia a partir del 27 de abril de 2019 y se publica en la pagina web (Aguila) administrada por la Direccién de Recursos Humanos de la Policia Nacional del Peri, permaneciendo vigente hasta la aprobacion y/o publicacion de otro documento de similar jerarquia que lo sustituya “Antes de uiizar alguna copia de este documento, verinque que el nimero de versin sea igual al que muestra iota maestia de control, para asegurar que la copia esté vigente. De no ser asi, destruy la copia para asegurar que no se haga de esta lun use no previste” fF@ POLITICAS DE SEGURIDAD DE LA INFORMACION DE LA POLICIA NACIONAL DEL PERU INTERNO| xi. GLOSARIO DE TERMINOS ‘Se detallan en el anexo |. Xt. DISPOSICION En cumplimiento a la normatividad vigente expresada en la base legal especial, se dispone el cumplimiento obligatorio de la presente politica de seguridad de la informacién a los 27 dias del mes de abril de 2019. Marilyn del Carmen VALENZUELA NEYRA Capitan S PNP. {0x6 Antonio VENTURA RUEDA LJEFE DE SECCION DE POLITICAS DE Caplin PNP ‘SEGURIDAD JEFE DEL DPTO. DE CIBERSEGURIOAD DIRTIC PNP “Antes de uiizar alguna copie de este documento, verifque que el numero de vers sea igual al que muestra la sta maestro de control, para asegurar que la copia esta vigenis, De no ser asl, destuya la copia para asegurar que no se haga de esto ‘un uso no previsto” 2| 6éaigo: PL-SGSI-PNP-OT @ POLITICAS DE SEGURIDAD DE LA INFORMACION (J DE LA POLICIA NACIONAL DEL PERU i INTERNO, _ [Pésinaz7dexe ANEXO |! GLOSARIO DE TERMINOS Los términos y definiciones que se indican lineas abajo, son aquellas que se encuentran detalladas en las normas emitidas por la Organizacién Internacional para la Estandarizacion 1. Aceptacién de riesgo Decisién informada de asumir un riesgo en particular. Nota 1 La aceptacién del riesgo puede ocurrir sin tratamiento de riesgo 0 durante el proceso de tratamiento de riesgo. Nota 2 Los riesgos aceptados estén sujetos a monitoreo y revisién. 2. Activo Algo que tiene valor para una organizacion Nota 1 Activos incluyen pero no limitados a personas, equipos, informacion, recursos intangibles y ambientales. 3. Activo de informacién Es todo aquello que genera, procesa, almacena y/o sirve de soporte de la informacion, necesaria para la operacién y el cumplimiento de los objetivos de la organizacion. Alcance de auditoria Extension y limites de auditoria. 5. Alta direccién Persona 0 grupo de personas que dirige y controla una organizaci6n al mas alto nivel. Nota 1 La alta direccién tiene el poder de delegar autoridad y proporcionar recursos dentro de la organizacion. Nota 2 Si el alcance del sistema de gestién cubre solo una parte de una organizacién, entonces la alta direccién se refiere a aquellos quienes dirigen y controlan aquella parte de la organizacién. Nota 3 La alta gerencia es algunas veces llamada administracion ejecutiva y puede incluir al presidente ejecutivo, directores financieros, jefes de informaci6n y roles similares. 6. Amenaza Causa potencial de un incidente no deseado, que puede resultar en dafios para un sistema u orgenizacion, Atributo Propiedad o caracteristica de un objeto que es cuantitativa o cualitativamente distinguible por medios humanos 0 automaticos. “Antes de utlizarelguna copia de este documento, verfique que el numero de versién Sea igual al que muestra la ata maestra e control, para asegurar que la copia esté vigente. Oe no ser asi, destruya la copia para asegurar que no se haga de ta ‘un uso no previt, ~~| @ POLITICAS DE SEGURIDAD DE LA INFORMACION | DE LA POLICIA NACIONAL DEL PERU INTERNO | Pagina 28 de 38 10. 11. 12. 14. 15. 16. Ataque Intento de destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado hacer un uso no autorizado de un activo. Auditoria Proceso sisteméttico, independiente y documentado para obtener evidencias de auditora y evaluarlas de manera objetiva, con el fin de determinar el grado en el que se cumplen los criterios de auditori Nota 1 Una auditoria puede ser una auditoria interna (primera parte) o una auditoria externa (segunda parte o tercera parte), y puede ser una auditoria combinada (combinando dos o més disciplinas) Nota 2 Una auditoria interna es realizada por la propia organizacién o por una parte externa en su nombre. Autenticacion Aportacién de garantias de que son correctas las caracteristicas que una entidad reivindica_para si misma. Autenticidad Propiedad consistente en que una entidad es lo que dice ser. Competencia Capacidad para aplicar conocimientos y habilidades con el fin de lograr los. \ resultados previstos. omunicacin y consulta de riesgos Conjunto de procesos continuos e iterativos que una organizacién realiza para Proporcionar, compartir u obtener informacion, y para entablar un didlogo con las partes interesadas sobre la gestién del riesgo. Nota 1 La informacién puede relacionarse con la existencia, naturaleza, forma, Probabilidad, importancia, evaluacién, aceptabilidad y tratamiento del riesgo Nota 2 La consulta es un proceso bidireccional de comunicacién informada entre una organizacién y sus partes interesadas sobre un tema antes de tomar una decisién 0 determiner una direccién sobre ese tema. La consulta es: ~ _ Un proceso que impacta en una decision por influencia mas que por poder; y ~ Una aportacién para la toma de decisiones, no una toma de decisiones conjunta, Comunidad para compartir informacion Grupo de organizaciones que aceptan compartir informacion Nota 1 Una organizacién puede ser un individuo. Confiabilidad Propiedad de un comportamiento planeado consistente y resultado. Propiedad de la informacién por la que se mantiene inaccesible yno se revela a personas, entidades 0 procesos no autorizados. “Anes de utitzar alguna copia de este documento, veriique que el nimero de versién sea igual el que muestra la sta macstra e conto, para asegurar que la copia est vigenie, De no ser asl, destuya la copia para asegurar que no se haga de esta tun uso ne previsto”2 | C6digo: PLSGSI-PNP-O1 | w POLITICAS DE SEGURIDAD DELA INFORMACION ‘ier =~=~~OCO*=«~ DE LA POLICIA NACIONAL DEL PERU [CINTERNO | ___ | Pasina 20036 47. Conformidad Cumplimiento de un requisito. 18. Consecuencia Resultado de un suceso que afecta a los objetivos. Nota 1 Un suceso puede conducir a una serie de consecuencias. Nota 2 Una consecuencia puede ser cierta o incierta y, en el contexto de la seguridad de la informacién, suele ser negativa Nota 3 Las consecuencias se pueden expresar cualitativa o cuantitativamente. Nota 4 Las consecuencias iniciales pueden escalar a través de los efectos de darse un golpe. 19. Contexto externo 241. 22. Entorno externo en el cual, la organizacién busca alcanzar sus objetivos. Nota 1 El contexto externo puede incluir lo siguiente: - El entorno cultural, social, politico, legal, regulatorio, financiero, tecnolégico, econémico, natural y competitive, ya sea internacional, nacional, regional o local; - Factores clave y tendencias que tienen un impacto en los objetivos de la organizacion ~ Relaciones con, y percepciones y valores de, las partes interesadas externas. Contexto interno Entomo interno en el que la organizacién busca alcanzar sus objetivos. Nota 1 El contexto interno puede incluir: - Gobemanza, estructura organizacional, roles y responsabilidades; - Politicas, objetivos, y las estrategias que existen para alcanzarlos, ~ _ Las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologias): - Sistemas de informacién, flujos de informacién y procesos de toma de decisiones (tanto formales como informales); - _ Las relaciones, las percepciones y los valores de las partes interesadas internas; - Lacultura de la organizaci6n; - Normas, directrices y modelos adoptados por la organizacién; - Forma y aleance de las relaciones contractuales. Continuidad de la seguridad de la informacion Procesos y procedimientos para garantizar las operaciones continuas de seguridad de la informacién Control Medida que modifica un riesgo. Nota 4 Los controles incluyen cualquier proceso, politica, dispositivo, practica U otras acciones que modifiquen el riesgo. Nota 2 Es posible que los controles no siempre ejerzan el efecto de modificacién previsto 0 supuesto. “snes de ullizar alguna copia de este documento, veriique que el nimero de version sea igual al que muestala Feta maestra de contro, para asegurar qu ‘copia esta vigenie, De no ser asi, destuya la copa para ategurar que-no se haga de ela {un Uso no previsto." 3/Versién: 01 @ POLITICAS DE SEGURIDAD DE LA INFORMACION Z 7 DE LA POLICIA NACIONAL DEL PERU a INTERNO Pagina 30 d6 36 23. Control de acceso | ; Medios para asegurar que el acceso a los activos esté autorizado y restringido en funcién de los requerimientos del negocio y de seguridad. 24, Correccién Accién para eliminar una no conformidad detectada. 25. Criptogratia Arte de escribir con clave secreta 0 de un modo enigmatico. 26. Criterios de riesgo Términos de referencia contra el cual la importancia del riesgo es evaluada. Nota 1 Los criterios de riesgo estan basados en los objetivos de la organizacién y el contexto externo e contexto interno, Nota 2 Los criterios de riesgo pueden ser derivados de estandares, leyes, politicas y otros requisitos. 27. Datos Conjunto de valores asociados a medidas basicas, medidas derivadas ylo indicadores. Disconformidad Incumplimiento de un requisito. } Disponibitidad Propiedad de ser accesible y utiizable bajo demanda de una entidad autorizada. 30. Duefio o propietario del riesgo Persona 0 entidad que tiene la responsabilidad y autoridad para gestionar el riesgo. 34. _Esténdar de implementacién de seguridad Documento que especifica las formas autorizadas para realizar la seguridad 32. Entidad de comunicacién de informacién confiable Organizacion aut6noma que soporta el intercambio de informacién dentro de una comunidad de comparticion de informacién. 33. Eficacia Grado en el cual se realizan las actividades planificadas y se logran los resultados planificados. 34. Evaluacién del riesgo Proceso de comparar los resultados del andlisis de riesgo con los criterios de riesgo para determinar si el riesgo y/o su magnitud son aceptable o tolerable. Nota 1 La evaluacién de riesgos ayuda en la decision acerca del tratamiento de riesgo. “Antes de ulizar alguna copia de este documento, verifque a e control para asegurar que la copia esta vigente. De'no 3 tun uso no provsto” én sea igual al que musstra la iste maesira copia para asegurar que no se haga de ésta F2- ‘Codigo: PLSGSLPNP-OT @ POLITICAS DE SEGURIDAD DE LA INFORMACION J DE LA POLIGIA NACIONAL DEL PERU bine INTERNO | Pisina 37 de36 35. Evento | Ocurrencia 0 cambio de un conjunto particular de circunstancias. 36. Evento de seguridad de la informacién Ocurrencia identificada de un sistema, servicio 0 estado de la red indicando una posible infracci6n de la politica de seguridad de la informacién o falla de los controles, © una situacién previamente desconocida que pueda ser relevante para la seguridad. 37. Fiabilidad Propiedad relativa a la consistencia en el comportamiento y en los resultados deseados. 38. Funcién de medicién Algoritmo 0 calculo realizado para combinar dos o mas medidas basicas. 39. Gestién de incidentes de seguridad de informacion Conjunto de procesos para detectar, reportar, evaluar (estimar), responder, tratar y aprender de incidentes de seguridad de la informacion. 40. Gestién de riesgos Actividades coordinadas para dirigir y controlar una organizacién con respecto ry ‘Gobernanza de la seguridad de la informacion Sistema por el cual las actividades de seguridad de la informacién de una organizacion son dirigidas y controladas. 42. Identificacién de riesgo Proceso de encontrar, reconocer y describir riesgos. Nota 1 La identificacion del riesgo implica la identificacién de las fuentes de riesgo, eventos, sus causas y sus consecuencias potenciales Nota 2 La identificacién del riesgo puede incluir datos histéricos, andlisis tedricos, opiniones informadas y de expertos, y las necesidades de las partes. interesadas. 43. Incidente de seguridad de la informacién Uno 0 una serie de eventos de seguridad de la informacién no deseados 0 inesperados que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la informacion. 44. Indicador Medida que proporciona una estimacion o una evaluacién de determinados atributos usando un modelo analitico para salisfacer unas determinadas necesidades de informacién 45. Instalaciones de procesamiento de informacion Cualquier sistema de procesamiento de informacién, servicio 0 infraestructura, © la ubicacién fisica que lo alberga. “Rates de vilizar alguna copia de este documento, verfique que el nmero de version sa igual al que muestra la sta maesta {de contra, para asegurar que la copia esta vigente. De no ser asi, desruya la copla para asegurar que no se haga de ota tun uso no prevste SP34% Cédigo: PLSGSIPNP-O Versisn: DE LA POLICIA NACIONAL DEL PERU INTERNO | Pagina 32 d0 36 L @ | POLITICAS DE SEGURIDAD DE LA INFORMACION 46. Integridad Propiedad de exactitud y completitud. 47. Medida Variable a la que se la asigna un valor como resultado de una medicién. 48. Medicién Proceso para determinar un valor. 49. Método de medida Secuencia légica de operaciones, descritas genéricamente, utilizada para cuantificar un atributo con respecto a una escala especificada Nota 1 El tipo de método de medicién depende de la naturaleza de las operaciones utilizadas para cuantificar un atributo. Dos tipos pueden ser distinguidos: - Subjetivo: cuantificacién involucrando el juicio humano; y - _ Objetivo: cuantificacién basada en reglas numéricas. 50. Medida base Medida definida en términos de un atributo y el método para cuantificarlo. Nota 1 Una medida base es funcionalmente independiente de otras medidas. Mejora continua Actividad recurrente para mejorar el rendimiento. Medida derivada Medida que es definida como una funcién de dos o mas valores de medidas basicas. 53. Monitoreo Determinar el estado de un sistema, un proceso o una actividad. Nota 1 Para determinar el estado, puede ser necesario verificar, ‘supervisar u observar criticamente. 54. Necesidad de informacion Vision necesaria para gestionar los objetivos, metas, riesgos y problemas. 55. Nivel de riesgo Magnitud de un riesgo expresado en términos de la combinacién de consecuencias y su probabilidad. §6. No conformidad Incumplimiento de un requisito. 57. No repudio Capacidad de probar la ocurrencia de un evento reclamado 0 accién y sus entidades originarias “Antes de utlizar alguna copia de este documento, verfique que el nimero de versén sea igual al que muestra la Esta macstra e control, para asegurar que la copia esta vigente. De'no ser asi, destuya la copa para asegurar que no se haga de sta ‘un uso no previstoCédiga: PLSGSIPNP.OT | POLITICAS DE SEGURIDAD DE LA INFORMACION 1 —_ | DE LA POLICIA NAGIONAL DEL PERU ee INTERNO Pagina 39 de06 58. Objetivo Resultado a ser logrado Nota 1 Un objetivo puede ser estratégico, téctico u operacional Nota 2 Los objetivos pueden relacionarse con diferentes disciplinas (como los metas financieras, de salud y seguridad y medioambientales) y pueden aplicarse en diferentes niveles [tales como estratégico, de toda la organizacién, proyecto, producto y proceso} Nota 3 Un objetivo se puede expresar de otras maneras, es decir, como un resultado previsto, un propésito, un criterio operacional, como un objetivo de seguridad de la informacién o mediante el uso de otras palabras con un significado similar (por ejemplo, fin, objetivo o propdsito). Nota 4 En el contexto de los sistemas de gestion de la seguridad de la informacién, la organizacién establece los objetivos de seguridad de la informacién, de conformidad con la politica de seguridad de la informacién, para lograr resultados especificos. 59. Objetivo de control 63. 65. Declaracion describiendo lo que va ser logrado como resultado de la implementacién de controles. Objetivo de revision Declaracién que describe lo que se lograra como resultado de una revision. Objeto de revision Articulo especifico que est siendo revisado. Organizacion Persona 0 grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos. Nota 1 El concepto de organizacién incluye, pero no se limita a, comerciante individual, empresa, corporacién, empresa, autoridad, sociedad, institucién benéfica © institucién, 0 parte 0 combinacién de los mismos, ya sea incorporada 0 no, publica o privada Organo rector Persona 0 grupo de personas quienes son responsables del rendimiento y la conformidad de la organizacién. Nota 1 El 6rgano rector puede, en algunas jurisdicciones, ser una junta Parte interesada Persona u organizacién que puede afectar, estar afectada o percibir que esta afectada por una decision o actividad. Politica Intenciones y direccién de una organizacién, formalmente expresado por la alta direcci6n. “Atos de utlizar alguna copia de este documento, verifique que el numero de version sea igual al que muestra la lista maestra 4e contro, para asogurar que le copia esta vigente, De no ser asi, desiruya la copia para asegurar que no se haga de ésta un use no previsi, 3s~ Ghaigo: PLSGSLPNP-OI (ie) POLITICAS DE SEGURIDAD DE LA INFORMACION [Jo DE LA POLICIA NACIONAL DEL PERU [FINTERNO 66. Proceso Conjunto de actividades interrelacionadas o que interactuan, que transforma elementos de entrada en elementos de salida. 67. Probabilidad Posibilidad (oportunidad) de que algo suceda 68. Proceso de gestién de riesgos Aplicacién sistemética de politicas de gestién, procedimientos y practicas a las actividades de comunicar, consultar, establecer el contexto e identificar, analizar, evaluar, tratar, monitorear y revisar del riesgo. Nota 1 ISO/IEC 27008 utiliza el término "proceso" para deseribir toda la gestion de riesgos. Los elementos dentro del proceso de gestion de riesgos estan referidos como "actividades". 69. Profesional del sistema de gestion de seguridad de la informacién Persona que establece, implementa, mantiene y mejora continuamente uno o mas procesos del sistema de gestion de la seguridad de la informacién. Propietario del activo Tanto individuos como otros érganos que hayan sido autorizados por la Direcci6n como competencialmente aptos para la gestion del ciclo de pueden ser designados como propietarios de activos. EI propietario del activo no tiene necesariamente que tener derechos de propiedad sobre el activo. Rendimiento Resultado medible Nota 1 El rendimiento puede relacionarse con hallazgos cuantitativos o cualitativos. Nota 2 EI rendimiento puede relacionarse con la gestién de actividades, Procesos, productos (incluidos los servicios), sistemas u organizaciones. 72. Requisito Necesidad 0 expectativa que esté establecida, generalmente implicita u obligatoria, Nota 1 "Generalmente implicito” significa que es costumbre o practica comin en la organizacion y en las partes interesadas, que la necesidad o expectativa que se considera esta implicita Nota 2 Un requisito especificado es el que est declarado, por ejemplo, en informacién documentada. 73. Revisién Actividad realizada para determinar la idoneidad, adecuacion y efectividad de la materia para alcanzar los objetivos establecidos. 74. Riesgo Efecto de la incertidumbre sobre la consecucién de los objetivos. ‘Antes de utlizr alguna copia de este documento. verique que el nimero de versin sea igual al que muestra la sta maestra de control, para asegurar que la copia esté vigente. De no ser as, destuya la copia para asegurar que no se hage de éste lun so no prevsto”T ‘Cédigo: PLSGSLPNP-OT | & POLITICAS DE SEGURIDAD DE LA INFORMAGION | oo _| DE LA POLICIA NACIONAL DEL PERU INTERNO | Pagina 35 d036 7. 78. 79. Nota 1 Un efecto es una desviacién de lo esperado, positivo 0 negativa, respecto a lo previsto. Nota 2 La incertidumbre es el estado, incluso parcial, de deficiencia en la informacion relativa a la comprensién o al conocimiento de un suceso, de sus consecuencias o de su probabilidad. Nota 3 Con frecuencia, el riesgo se caracteriza por referencia a sucesos potenciales y a sus consecuencias o una combinacion de ambos. Nota 4 Con frecuencia, el riesgo se expresa en términos de combinacién de las consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su probabilidad Nota 5 En el contexto de sistemas de gestion de seguridad de la informacién, los riesgos de seguridad de la informacién pueden ser expresados como un efecto de incertidumbre sobre los objetivos de seguridad de la informacién Nota 6 El riesgo de seguridad de la informacién esta asociado con el potencial de que las amenazas exploten las vulnerabilidades de un activo de informacién 0 grupo de activos de informacién y, por lo tanto, causen daiio a una organizacién. Riesgo residual Riesgo remanente después del tratamiento de riesgo. Nota 1 El riesgo residual puede contener un riesgo no identificado. Nota 2 El riesgo residual también puede ser referido como “riesgo retenido’. Seguridad de informacion Preservacién de la confidencialidad, integridad y disponibilidad de la informacién. Nota 1 Ademés, otras propiedades, como autenticidad, responsabilidad, no repudio y confiabilidad también pueden estar involucradas. Sistema de gestién Conjunto de elementos interrelacionados o interactuantes de una organizacién para establecer politicas y objetivos y procesos para lograr esos objetivos. Nota 1 Un sistema de gestién puede abordar una unica disciplina 0 varias disciplinas. Nota 2 Los elementos del sistema incluyen la estructura de la organizacién, los roles y responsabilidades, planeamiento y operacién, Nota 3 El alcance (ambito) de un sistema de gestion puede incluir la totalidad de la organizacién, funciones especificas e identificadas de la organizacion, secciones especificas identificadas de la organizacién o una o més funciones en un grupo de organizaciones, Sistema de informacién Conjunto de aplicaciones, servicios, activos de tecnologia de la informacion u otros componentes de manejo de la informacién. Subcontratar Hacer un arreglo donde una organizacién externa realiza parte de la funcion 0 proceso de una organizacién, “Antes de ulizar alguna copia de este documento, veriique que el numero de versin sea igual al que muestra la fsta maestra de contol, para asegurar que la copia esta vigente. Deno ser asi, destuya la Copia pare asegurar que no ve haya de Cola ‘un aso no prevst, 32Cbdigo: PLSGSIPNP.OT POLITICAS DE SEGURIDAD DE LA INFORMACION fubasse DE LA POLICIA NACIONAL DEL PERU INTERNO Pagina 36 de 38 80. 81. 82. Nota 1 Una organizacién externa esta fuera del alcance del sistema de gestion, aunque la funcién o el proceso subcontratado esta dentro del alcance. Tratamiento de riesgo Proceso para modificar el riesgo. Nota 1 El tratamiento de riesgo puede involucrar: ~ _ Evitar el riesgo al decidir no comenzar o continuar con la actividad que da lugar incremento del riesgo; - Tomar o aumentar el riesgo para buscar (perseguir) una oportunidad; - _ Eliminar la fuente de riesgo; - Cambiar la probabilidad; ~ Cambiar las consecuencias; - Compartir el riesgo con otra parte o partes (incluyendo contratos y la financiacion de riesgos); - _ Retener el riesgo por eleccién informada. Nota 2 Los tratamientos de riesgo que se ocupan de las consecuencias negativas, son algunas veces denominadas como "mitigacién del riesgo", “eliminacién del riesgo", "prevencién del riesgo" y "reduccién del riesgo" Nota 3 El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes. Valoracién de riesgos Todo el proceso de identificacién de riesgos, analisis de riesgos y evaluacién de riesgos. Vulnerabilidad Debilidad de un activo 0 control que puede ser explotado por una o mas amenazas ‘Antes de uiizs alguna copia de este documento, verifaue que el numero de versin sea igual al que muestra la ieta maestra de control, para asegurar que Ia copia estévigenie. De no ser asl, destruya la copla para aeequrar que no se hage de tale lun uso no previsto 23