MODELO DE SEGURIDAD - Gobierno en línea.

More documents

Recommendations

Info

INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM6.2.1 Control: La organización que hace uso de una infraestructura de clave pública (PKI), debe establecer y documentar normas y procedimientos que definan: a) el proceso necesario para la gestión de claves criptográficas y certificados digitales dentro de la PKI b) los métodos necesarios para el funcionamiento del PKI c) las medidas que deben adoptarse en caso de un compromiso o una sospecha de compromiso de la PKI SM6.2.2 Control: Los usuarios de PKI deben ser conscientes del propósito y función de la PKI, y su responsabilidad para proteger las claves privadas y para utilizar la firma digital SM6.2.3 Control: Una Autoridad de Certificación (CA) está compuesto por las personas, los procesos y las herramientas que son responsables de la creación, generación y administración de los certificados de clave pública que se utilizan dentro de una PKI. Donde una PKI es soportada por una CA interna la cual debe estar protegida por: a) la restricción de acceso a personas autorizadas (por ejemplo, utilizando mecanismos de control de acceso y autenticación fuerte) b) el aseguramiento del sistema operativo que lo soporta (por ejemplo, mediante la eliminación de todas las vulnerabilidades conocidas) c) el empleo de otros controles generales (por ejemplo, la gestión de cambios) de manera organizada SM6.2.4 Control: Los planes de contingencia para las aplicaciones que se soportan en PKI deberían incluir los métodos para la recuperación de la PKI en el evento de un desastre SM6.3 Correo electrónico SM6.3.1 Control: Se deben establecer y documentar normas y procedimientos para la provisión y uso del correo electrónico, los cuales deben especificar métodos para: a) configurar los servidores de correo (por ejemplo, para limitar el tamaño de los mensajes o buzones de usuario) b) escanear los mensajes de correo electrónico (por ejemplo, para el malware, cadenas de mensajes o el contenido ofensivo) c) mejorar la seguridad de los mensajes de correo electrónico (por ejemplo, mediante la utilización de descargos de responsabilidad, algoritmos de hashing, cifrado o técnicas de no-repudio) d) hacer que los usuarios sean más conscientes de las consecuencias de sus acciones al utilizar el correo electrónico Página 164 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM6.3.2 Control: Los servidores de correo deben estar configurados para prevenir que el sistema de mensajería está sobrecargado estableciendo limites en el tamaño de los mensajes o los buzones de usuario, restringiendo el uso de grandes listas de distribución e identificando y cancelando automáticamente los loops del correo electrónico SM6.3.3 Control: Los sistemas de correo electrónico deben revisarse periódicamente para garantizar que se satisfacen los requisitos de oportunidad y disponibilidad futura SM6.3.4 Control: Los mensajes de correo electrónico deben escanear: a) los archivos adjuntos que pueden contener código malicioso (por ejemplo, el código malicioso oculto en el auto-extracción de archivos zip o videoclips MPEG) b) las palabras prohibidas (por ejemplo, palabras que son racistas, ofensivas, difamatorias u obscenas) c) las frases asociadas con el malware (por ejemplo, las de uso común en los virus hoax o cadenas de mensajes) SM6.3.5 Control: Los sistemas de correo electrónico deben suministrar protección mediante: a) el bloqueo de los mensajes considerados indeseables b) el uso de firmas digitales para determinar si los mensajes de correo electrónico han sido modificados en el tránsito, y la encriptación de los mensajes de correo sensitivos o confidenciales c) la garantía de no repudio de origen para los mensajes de correo más importantes (por ejemplo, utilizando la firma digital) d) el suministro de no repudio en el recibo de mensajes importantes SM6.3.6 Control: Se debe proteger la integridad mediante: a) la inserción de información legal y detalles de la dirección de retorno para el correo empresarial b) la advertencia a los usuarios que el contenido de los mensajes de correo electrónico pueden ser contractual y jurídicamente vinculantes y que el uso del correo electrónico puede ser monitoreado SM6.3.7 Control: La organización debe prohibir: a) el uso del correo de los sitios web b) el desvío automático de correo electrónico a direcciones externas c) la publicidad no autorizada d) la encriptación privada del correo electrónico o archivos adjuntos e) la apertura de archivos adjuntos de fuentes desconocidas o no confiables Página 165 de 207
Page 1 and 2:
ENTREGABLES 3, 4, 5 y 6: INFORME FI
Page 3 and 4:
INFORME FINAL - MODELO DE SEGURIDAD
Page 5 and 6:
Page 7 and 8:
Page 9 and 10:
Page 11 and 12:
Page 13 and 14:
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
5.1. Introducción INFORME FINAL -
Page 23 and 24:
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
Page 45 and 46:
Page 47 and 48:
Page 49 and 50:
5.6.2. Mejora del SGSI: INFORME FIN
Page 51 and 52:
Page 53 and 54:
6.2. Objetivos del Sistema INFORME
Page 55 and 56:
Page 57 and 58:
Objetivos de Control: INFORME FINAL
Page 59 and 60:
Objetivos de Control: INFORME FINAL
Page 61 and 62:
PS2 - Política de no repudiación
Page 63 and 64:
Page 65 and 66:
PS6 - Política de disponibilidad d
Page 67 and 68:
PS8 - Política de registro y audit
Page 69 and 70:
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
Page 113 and 114: INFORME FINAL - MODELO DE SEGURIDAD
Page 163: INFORME FINAL - MODELO DE SEGURIDAD
Page 199 and 200: La documentación del Modelo SGSI d
Page 207: INFORME FINAL - MODELO DE SEGURIDAD
show all

MODELO DE SEGURIDAD - Gobierno en línea.

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?