INGENIERA DE SEGURIDAD Y

AUDITORA INFORMTICA

Normas Tcnicas Peruanas

Bayron Fanor Chvez Bravo

 CONTENIDO

1. Definicin
2. Elaboracin
3. Tipos
4. NTP ISO/IEC 27001:2008
5. Laboratorio Anlisis de Riesgo
Las Normas Tcnicas
Peruanas
Son documentos de aplicacin voluntaria, aprobadas
por la Comisin de Reglamentos Tcnicos y Comerciales
-CNB del INDECOPI y elaboradas por los Comits
Tcnicos de Normalizacin
Comits Tcnicos de
Normalizacin - CTN
Grupos creados por la Comisin y conformados por
representantes de los sectores involucrados en una
actividad definida, que bajo la supervisin del
INDECOPI elaboran Proyectos de Normas Tcnicas
Peruanas relacionados con su campo de actividad

Participan: sector productor/exportador, tcnico y

consumo
Elaboracin de NTPs

1. Bsqueda de antecedentes
Normas internacionales (ISO,
CODEX, otras)
Proyectos de Normas Tcnicas
internacionales en fase final de
aprobacin
Normas Tcnicas Regionales:
CEN, CENELEC, COPANT
Normas Tcnicas Peruanas o de
otros pases
Elaboracin de NTPs
2. Etapa de propuesta de elaboracin:
Comit Tcnico de Normalizacin,
grupos de inters
3. Formulacin del Esquema de Norma
Tcnica Peruana.
4. Aprobacin del Proyecto de Norma
Tcnica Peruana.
5. Discusin pblica
6. Aprobacin: Resolucin de la
Comisin del INDECOPI y publicacin
en diario El Peruano
7. Edicin de la Norma Tcnica Peruana
Tipos de Normas Tcnicas
Peruanas
1. De producto: requisitos que un producto debe
cumplir para ser apto para su uso y consumo
2. De terminologa: aquellas que definen el significado
de los trminos a emplear
3. De mtodos de ensayo: establece mtodos,
mquinas y tiles para la realizacin de pruebas y
anlisis sobre materiales y productos
4. De muestreo: especifica planes para la extraccin de
muestras y procedimientos para la ejecucin de
inspecciones
Tipos de Normas Tcnicas
Peruanas

5. De proceso: especifica los requisitos que debe

cumplir un proceso. Las NTP de proceso abordan
temas vinculados a los SG: calidad, ambiental,
ocupacional, etc.

Ocasionalmente las NTP pueden ser completas,

incluyendo terminologa, clasificacin ,etc
 NTP ISO/IEC 27001:2008
SGSI Sistema de Gestin de
Seguridad de la Informacin
 SGSI

A continuacin se muestran las principales

versiones del estndar:
ISO 27000 Vocabulario y Glosario
ISO 27001 Estndar certificable
ISO 27002 Controles de Seguridad de la Informacin
ISO 27003 Gua de implantacin
ISO 27004 Mtricas e indicadores
ISO 27005 Gestin de Riesgos
ISO 27006 Requerimientos para las entidades de
auditora y certificacin.
www.iso27000.es
... recordando algunos conceptos

Seguridad :
Certeza, Garanta, Cumplimiento... Mecanismos que previenen
algn riesgo o aseguran el buen funcionamiento...

Informacin :
Conjunto de datos sobre una actividad especfica...
Datos que poseen significado... ISO-standares
Es un Activo que tiene Valor, cualquiera sea el medio
que lo soporta ISO-27001

Seguridad de la Informacin
Es la proteccin y preservacin adecuada de la Informacin frente a las
amenazas, vulnerabilidades y/o riesgos; asegura la continuidad del negocio
y reduce los posibles daos o perjuicios a la Organizacin.. ISO-27001
... recordando algunos conceptos

RIESGO
exposicin o proximidad
a un dao o peligro

AMENAZA + VULNERABILIDAD
= Seguridad de la
Informacin

accin o evento que condicin de debilidad,

puede atentar contra algo inseguridad o flaqueza

IMPACTO
resultado o consecuencia
de una accin crtica
Qu es SGSI?

La seguridad de la informacin, segn ISO 27001, consiste en la preservacin

de su confidencialidad, integridad y disponibilidad, as como de los sistemas
implicados en su tratamiento, dentro de una organizacin

1 2 3
Confidencialidad Integridad Disponibilidad

La informacin no se Mantenimiento de la Acceso y utilizacin de la

pone a disposicin ni exactitud y completitud informacin y los
se revela a individuos, de la informacin y sus sistemas de tratamiento
entidades o procesos mtodos de proceso de la misma por parte de
no autorizados los individuos, entidades
o procesos autorizados
cuando lo requieran

Para garantizar que la seguridad de la informacin es gestionada correctamente, se debe

hacer uso de un proceso sistemtico, documentado y conocido por toda la organizacin,
desde un enfoque de riesgo empresarial.
Cules son las Normativas Peruanas?
Decreto Supremo - Normas Tcnicas Peruanas

Presidencia del Consejo de

Ministros
-------------------------------
Resolucin Ministerial 224-2004-PCM
23 de Julio del 2004
Componentes de un SGSI
Poltica de
1 seguridad
Seguridad
11 Cumplimiento 2 organizacional

Gestin de Gestin de
10 la Continuidad 3 activos

Gestin INFORMACIN Seguridad

9 de Incidencias 4 de los RR HH

Adquisicin de Sistemas disponibilidad

de8Informacin, Desarrollo Seguridad fsica
5 y del entorno
Y mantenimiento
Gestin de
Control de
7 accesos 6 comunicaciones
y operaciones
Cmo se implementa un SGSI?

Establecer el SGSI
Alcance del SGSI, las polticas de seguridad, una
Monitorizar y revisar metodologa de evaluacin de riesgos, una
el SGSI declaracin de aplicabilidad
Para verificar la Implantar y utilizar
efectividad del SGSI, el SGSI
los controles, las Definir e implantar el
evaluaciones de plan de tratamiento
riesgos, los riesgos de riesgos, controles,
residuales y sus PDCA sistema de mtricas,
niveles aceptables, programas de
auditorias externas. formacin y
Actualizar los planes concienciacin y
de seguridad y gestionar las
finalmente para operaciones y
registrar acciones y Mantener y mejorar el SGSI
recursos
eventos implantar mejorar identificadas,
realizar acciones preventivas y
correctivas, comunicar las acciones
las acciones y mejoras
Integracin del SGSI
Integracin del SGSI con otros
Sistemas de Gestin

ISO 27001
En el anexo C, se detalla la
correspondencia

ISO 9001 ISO 14001

Gestin de la Calidad Gestin Medioambiental

Integracin del SGSI con otros Sistemas
de Gestin

ISO 9001 ISO 14001

Gestin de la calidad Gestin medioambiental

Especificacin
ISO/IEC 20000 Pblica OHSAS 18001
Gestin de
servicios de TI
PASS 99 Salud y seguridad
en el trabajo

ISO 22000 ISO/IEC 27001

Inocuidad de los Seguridad de la informacin
alimentos seguridad
alimentaria