Scribd Logo
Upload

Welcome to Scribd!

  • ISO 27032 Descargar

    Uploaded by

    Efrofriendlyns Jhesvergreen Mc'Namara Guevara Marcano
    2K views99 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    2K views99 pages

    ISO 27032 Descargar

    Uploaded by

    Efrofriendlyns Jhesvergreen Mc'Namara Guevara Marcano

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 99
    ‘Servi Eeualorane de Normaliacion Quito ~ Ecuador NORMA NTE INEN-ISO/IEC 27032 TECNICA Tercera edicion ECUATORIANA 2015-10 TECNOLOGIAS DE LA INFORMACION - TECNICAS DE SEGURIDAD ~ DIRECTRICES PARA CIBERSEGURIDAD (ISO/IEC 27032:201 2, IDT) INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — GUIDELINES FOR CYBERSECURITY (ISO/IEC 27032:2012, IDT) Correspondencia: Esta Noma Técnica Eoustoriana es una traduccién idéntica de la Norma inlernacional {SO/IEG 27032:2012. DESCRIPTORES:Teenoi ‘35000 dea nfarmacion,wonas de segundad, quiae ,Gberpolecabn ebowsrp {GISONEC 2012 Todos ee darechos eservatos SINeN 2018, NTE INENAsONEC 27082 201810 indice Pag. Prologo .. a Inroducti8 enema 1. Odjeto y campo de aplicacion 2 Apheabilidad un ae BA Audienciaencnnnn ase 22 Limtaciones = ‘ 3. Referencias normativas, i 4. Términos y detniciones..... 5. Abreviaturas 6 Gonoratidades. 6.1 Introduccion... 6.2 Lanaturaleza del Ciberespacio... 63 Lanaturaleza ce la Ciberseguridad 8.4 Modelo general, 85 Enfeque. 7. Partes interesadas 71 Generalidades. 22 Consumidores 73 Proveedores... 8. Actives en el Civerespacio 16 21 Generalicades. 16 82 Actives personales... nan 18 83 Actives organizaciensies, 7 3, Amenazas coral segviad en ol Cherespaci, 17 91 Amenazzs .... as 7 92 Los agentas de smonazas 19 93° Vulneratiidades... 94 Mecanismos de atacue .. 10. Roles de las partes interesadas en la Cerrone. 10.1 Gonoralidados. 402 Rotesde ics consumicores . 103 Rolesde ios provesdoces 11. Directrices para las partes inleros@d@S,.1. sun eunnonnn ae 24 12:1 Generaiiceses 24 41.2. Eveluacién y tralemiento de nesges...... 24 11.3. Directrices para los consumidores... eee ieae| 11.4 Ditectrices pera las organ zaciones y provesdores de servicios. Baer 12, Controlos de Cibersepurdad ... $2.4 Generaligades cr 32.2 Controles a nivel de aplieacion 42.3 Proteccion cel servider. 12.4 Controles del usuario final. 12.5 Contioles contra etaques de Ingenieria social 126 Disposicion de la Ciberseguridad. 12.7 Off08 COMIFCIES cr nman {SISO 2012 Todos lo darsene reservation SINEN 2045 2015.0379 a NTEINENISONEC 27052 po1s40 Prélogo 180 (Crganizacion internacional de Normalizacién) © IEC (Comisién Electrotécnica Internacional) forman el sistema especializado para la normelizacién mundial. Los organismos nacionales miembros do ISO 0 IEC participan en el desarrollo de Normas Internacionales @ través de comites técnicos establecidos por la orgenizacién respectiva, para tratar los campos particulares de la actividad \écnica. Los comités tonicos de ISO e IEC colsboran en campos de interés mutuo. Otras, organizaciones interiacionales, piblicss y privadas, en coordinacion con ISO e IEC. también partcipan en el trabajo. En el campo de ia tecnologia de fa informacion, la ISO y le IEC han establecido un comité técnico conjunta ISOMEC JTC 1. Las Normas internacionales son redactadas de conformidad con las reglas establecidas en fas Directivas ISONEC, Parte 2. La larea principal dei comilé técnico conjunto es preparar Normas internacionales. Los proyectos de Normas Internacionales adoptados por el Comité Técnico Conjunto se envian a los organismos nacionales para votacién. La publicacién como una norma nacional requiere la aprobacién de. al menos el 75 Ye de los organismos miembros con derecho a voto. Se llama la atencién sobre la posibilided de que algunos de los elementos de este documento puedan ‘ser objeto de derechos de patente. ISO e IEC no asumen la responsabilidad por la identificacion de ‘cuslquiers o todos los derechos de patente. ISONEC 27032 tue preparada por el Comité Técnico Conjunto ISO/IEC JTC 4, Tecnologias de ta Informacion, Sudcomité SC 27, Técnicas de Segurided Tl © 1SOVEC 2012 Todos los derechos reservatos SINEN 2018 20180279, w NTEINENISONEC 27032 2016-0 El marco de referencia incluye: — elementos clave sobre consideraciones para establecer contianza, — _procesos necesarios para la colaboracién © inlorcambio y difusién de informacién, asi como — _requisitos técnicos para la inlegracién de los sistemas e interoperabilidad entre las diferentes partes interesadas. Dado el campo de aplicacién de esta norma nacional, os controles provistos son necesarlamente de alto nivel. Para mayor orientacién, se hacen referencia a las normas de especificaciones técnicas etallades y directrices aplicables a cada érea dentro de esta norma nacional @ISOVEC 2012 Toccsloe derechos rossnades OINEN 2045 2ois0a79 ” INTE INENssOnEC 27082 20150 Cabe recalcar que el concepto de Delito Informatica, aunque mencionado, no es tratado. Esta norma nacional no es una guia sobre la legislacion relacionada a los aspecios del Cibsrespac, o la reglamentacién de la Cibersoguridad. Las directrices de esta norma nacional se limiten a la comprensién de o que constituye ol Ciberespacio en Internet, incluyendo sus extremos. Sin embargo, la extensi6n del Ciberospacio a otras representaciones espaciales a travas de medios y plataformas ce comunicacién no se abardan, tampoco los aspecios de seguridad fisica relacionados con ellos, EJEMPLO 1 _No se abo ia proteccion de elemertos de inranstetra tales coma ponadoes de las comunicasones gue Spininin ol Cberespaco, EJEMPLO 2 No se aborda la segura ica de teeros mévies que se canecten al Cherespaco para bear contenios 0 maniplactén EJEMPLO'3._ No se aborda la monssjeria de tena y las Knones de convereacién on voz proporionedos@ os telfones roves. 3 Referencias normativas Los siguientes documentos de referencia son indispencables para la aplicacién de este documento, En el caso de referencias con fecha, solamente la edicion cada se aplica. Para referencies sin fecha, la bitima edicion del documento ctad (incluyendo cuelquier enmionda) Se apiica ISOMEC 27000, Tecnologia de la Informacion ~ Téenioas de seguridad ~ Sistemas de gestién de ‘seguridad de la informacion — Descripcion general y vocebulario 4 Términos y definiciones Para los fines de este documento, los términos y dofinicionas dades en ISOMEC 27000 y bos siguientes se aplican: 4a adware (software publicitario) aplicaciones que durante su funcionamienlo desplogan publicidad a les usuarios 0 colectan informecién sobre los movimientos 0 la conducta en linea del Usuario sora Ls eplcason puede © no instalse oon el consertmiera © conoemient del usuara @ £6 hirodece ‘orzadamerte a vavde do tro dois eenca de ove sotare, 42 aplicacién solucién de Tl, incluyendo programas de aplicacién, datos de aplicaciones y procedimientos disehados para ayudar a los usuarios do las organizaciones a realizer tareas especifices o mancjar tipos especificos de problemas de TI, autometizando un proceso o funcion del negocio [ISONEC 27034-1:2011} 43 proveedor de servicios de aplicaciones ‘operador quien proporciona una solucién de hosted software que brinda servicios de aplicaciones que incluyen modelos entregacos a travas de una pagina web o modelo cliente sorvidor EJEMPLO Operadores de juegos anf proveedores de aplcationes admmistavesy provendotes de akmaveramienlo 44 servicios de aplicaciones software con funcionalidad enlregada bajo demanda a los suscriptores a través de un modeto en linea {que incluye aplicaciones basadas en paginas web o cliente servidor {© ISOVIEC 2012 ~ Todos ls derechos reeenatos ‘OINEND0i8 20160379 200 6 NTE INeNasotie 27032 201840 443. botnet software de control remoto, especificamente una colaccién de bots maliciosos, que se ejeculan de manera auténoma o automética en compuladoras comprometidas 414 cookie capacidad 0 tickel en un sistema de contol de acceso 445 cookie datos intercambiados por ISAKMP para evitar ciertos ataques de denegacién de servicio durante el establecimiento de una asociacidn de seguridad 416 cooki datos intercambiados entre el servidor HTTP y un navegador para almacenar la informacién de estado en el lado del cliente y recuperarlo Gespués para el uso del servidor NOTA Un navegador web puede ser un stents oun sonido aar contro! contramedida os medios de gestidn de riesgos, que inclvyen las polticas, procedimientos, directrices. practicas 0 estructures orgenizativas, que pueden ser de cardcler administrativa, técnico, de gestion o de cardcter legal [lsonec 27000:2008) NOTA. La guia 80 78:2000 deine! cont como singlemente una medida Que esta medcando # espn 418 Delito Informatico (Cibercrimen) actividad delictiva, donde se utiizan los servicios o aplicaciones en el Ciberespacio pare 0 son objeto 4de un dolito, o donde el Ciberespacio es la fuente, herramienta, blanco 0 el lugar de un delito 449 Ciberproteccién ccondicién de estar protegido contra consecuoncias fisicas, sociales, espirtuales, fnancieras, pollicas, cemecionales, laborales, psicolégicas, educacionales u otro tipo de consecuencias por falla, dao, error, accidente, o cualquier evento en el Ciberespacio que podria ser considerado no deseable NOTA Esto puede tomar fons de estar protegto del venta dela exposcion a alg quo cavca prddes dea salud ‘© perdides econdmias, Puede inca protec Goes personas odes acts, NOTA 2 _ La seguridad on ganar tambien se define come a xiado de estar seguro de que ls efectns adversos no serén ‘aurados por algun agen baa condiciones defsstes, 420 Ciborseguridad Cyberspace security preservacién de la confidencialidad, integridad y disponibilidad de Ia informacion en el Ciberespacio NOTA1 danas también pueden estar involved otas propadades, como Is utente la responesiide, of 0 Fepude yi abla, NOTA2 —Adeplado dela defi de saguided dels informacion en ISOMEC 270002008, © 'SONEC 2012. Todos os derechos reservados OINEN ONS 20180379 0056 NTE INENAsONEC 27032 2018410 430 delincuencia en Internet actividad delictva donde se utlizan los senicios o aplicaciones en Internet para o camo objeto de un elilo, o cuando la Internet es la fuente, herramienta, blanco, o el lugar de un delito 4st aseguramiento en Internet 9 el estado de estar protegido contra consecuencias fisicas, sociales, espirituales, financieras, politcas, emocionaies, laborales, psicoldgicas, educacionales u otro tipo de consecuencias por fala, ano, error, accidenta, 0 cusiquier oto evento en la Internet que podria ser considerado no deseable 432 seguridad en Internet preservacion de la confidencialidad, integridad y disponibilidad de la informacién en la Internet 433 Servicios de Internet servicios prestados a un usuario para permite el acceso a Inteznet a través de una diraccién IP asignada, que tipicamente suelen incluir servicios de autenticacién, autorizacion y nombre de dominio 434 proveedor de servicios de Internet ‘organizecion que presta servicios de Intemet a un usuario y permite a sus clientes accoder a Internet NOTA Tambien se lo conoce 2 veces coe un proveedor de ecceso@ nee 435 malware software malicioso software disefiado con malas inlenciones que contieno caracteristicas 0 capacidades que polencialmente pueden causar dafio direclamente 0 indirectamente al usuario ylo al sistema Informatico del usuario EJEMPLOS —Veus, qusanes, vayanes. 436 contenidos maliciosos aplicaciones, documentos, archivos, datos u otros recursos que tienen caracteristicas 0 capacidades maliciosas incustadas, disfrazadas o escondides on ollos 437 organizacién ‘grupo de personas © instalaciones con una disposicién de responsabilidades, aulordades y relaciones [1S0 e000:2005), NOTA Enel contest de esta norma ndclona, una Fersane e distnis de na organtzacion, NOTA En goneal un gcberno es tambien ura eganizacén. En el conte de este ronms nesionl. es goblemes puedo considerarse po separade de as arganzacines pra mayer cea 438 phishing [proceso fraudulento o intento de adutir informacién privada o confidencial de manera enmascarada hhaciéndose pasar por una entidad confiable en una eomunicacién electronica NOTA _Elpnching se puede lograr mediante uo dt ingerier cea 9 engaoteeico, ISONEC 2012 Tedoslescorechosresovadee INER 2048 20150379, 50055 NTE INEN-SOnEC 27032 2015-10 448 correo electrénico no solicitado Correa electrénico que no es biervenido, o no 80 solicits 4.49 activos virtuales representacién de un activa an el Ciberespacio NOTA _ Enso conoxa, a monad puode sor defria como un medi de ntereambio o une gropedaa que Sere valor en un {nleeno especen, cana un vege de video oun rec de simulacon de comersa tance, 4350 moneda virtual activos monetarios viruales 454 mundo virtual tentorno simulado al cual tienen acceso moltiples usuarios a través de una interfaz en linea NOTA Los enlomee sinuiados son menus inrscos NOTA 2 1 mundo iso en el que ven as personas yas caracteristias a relacionadas, Sern rferdos come el "mundo ‘eal pora derensrlos de om mona vt

    You might also like