MODELO DE SEGURIDAD - Gobierno en línea.

More documents

Recommendations

Info

INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW2.4.5 Control: El acceso inalámbrico debe estar protegido mediante el uso de: a) control de acceso a la red (por ejemplo, IEEE 802.1X) b) autenticación de dispositivo (por ejemplo, EAP-TLS) c) autenticación de usuario NW2.4.6 Control: El acceso inalámbrico debe estar protegido por: a) el uso de encriptación (por ejemplo, WEP, WPA y WPA2) entre dispositivos de computación puntos de acceso inalámbrico b) el cambio periódico de las claves de encriptación NW2.4.7 Control: Las conexiones de acceso inalámbrico críticas deben estar sujetas a controles de seguridad adicionales tales como redes virtuales privadas, VPNs NW3 Operación de la red NW3.1 Monitoreo de la red NW3.1.1 Control: El desempeño de la red debe ser monitoreado: a) frente a los objetivos acordados b) revisando la utilización actual de las facilidades de red en periodos normales y periodos pico o de mayor demanda c) usando software automatizado de monitoreo de red d) revisando periódicamente los registros de actividad de la red e) investigando problemas tales como cuellos de botella o sobrecarga NW3.1.2 Control: Se deben llevar a cabo actividades de planeación de la capacidad para permitir capacidad extra de la red antes de que ocurran incidentes como cuellos de botella y sobrecarga NW3.1.3 Control: Las actividades de monitoreo deben ser periódicas y debe incluir: a) el escaneo de vulnerabilidades para servidores y dispositivos de red usando productos especializados (por ejemplo, Nessus, Pingware o SATAN) b) la verificación de desactivación en los dispositivos de red de los comandos y utilitarios innecesarios c) la verificación de la existencia de redes inalámbricas no autorizadas (por ejemplo, usando productos de terceros tales como Netstumbler, KISMET y Airsnort) d) el descubrimiento de la existencia de sistemas no autorizados NW3.1.4 Control: Se deben utilizar mecanismos de detección e intrusión de manera que cubran: a) la detección de características de ataques conocidas b) un proceso para desarrollar actualizaciones periódicas al software de detección de intrusos c) la protección de los mecanismos de detección de intrusos contra ataques Página 184 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW3.1.5 Control: El uso de herramientas para análisis y monitoreo de la red debe estar restringido a personas autorizadas NW3.1.6 Control: Se deben revisar los reportes enviados por los proveedores de servicios para descubrir uso inusual de la red u otras facilidades de red NW3.1.7 Control: El dueño de la red debe revisar los resultados de las actividades de monitoreo y comunicarlos a los dueños de las aplicaciones e instalaciones para quienes se prestan los servicios NW3.2 Administración de cambios NW3.2.1 Control: Se debe establecer un proceso de gestión de cambios que cubra todos los tipos de cambios en la red (por ejemplo, actualizaciones de equipos de comunicaciones y software, la introducción de nuevos servicios de los proveedores de servicios y ajustes temporales o de emergencia a la red) NW3.2.2 Control: El proceso de gestión de cambios debe estar documentado e incluir: a) la aprobación de los cambios y las pruebas para asegurarse de que no pongan en peligro los controles de seguridad b) la realización de cambios y su aprobación para asegurarse de que se realizan correctamente y de forma segura c) la revisión de los cambios realizados para garantizar que no se aplican cambios no autorizados NW3.2.3 Control: Antes de que sean aplicados los cambios al ambiente productivo de la red se debe considerar: a) la documentación de las solicitudes de cambio y la aceptación por parte de las personas autorizadas b) los cambios deben ser aprobados por el representante del negocio apropiado c) se debe evaluar el impacto potencial para el negocio de los cambios a ser realizados d) los cambios deben ser probados e) los cambios deben ser revisados para garantizar que no comprometan los controles de seguridad f) se debe realizar un copia de respaldo de manera que se pueda restaurar la red después de cambios fallidos o resultados inesperados NW3.2.4 Control: Los cambios en la red deben ser: a) realizados por personal capacitado y competente b) supervisados por un especialista de la red c) aprobados por el representante del negocio apropiado Página 185 de 207
Page 1 and 2:
ENTREGABLES 3, 4, 5 y 6: INFORME FI
Page 3 and 4:
INFORME FINAL - MODELO DE SEGURIDAD
Page 5 and 6:
Page 7 and 8:
Page 9 and 10:
Page 11 and 12:
Page 13 and 14:
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
5.1. Introducción INFORME FINAL -
Page 23 and 24:
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
Page 45 and 46:
Page 47 and 48:
Page 49 and 50:
5.6.2. Mejora del SGSI: INFORME FIN
Page 51 and 52:
Page 53 and 54:
6.2. Objetivos del Sistema INFORME
Page 55 and 56:
Page 57 and 58:
Objetivos de Control: INFORME FINAL
Page 59 and 60:
Objetivos de Control: INFORME FINAL
Page 61 and 62:
PS2 - Política de no repudiación
Page 63 and 64:
Page 65 and 66:
PS6 - Política de disponibilidad d
Page 67 and 68:
PS8 - Política de registro y audit
Page 69 and 70:
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
Page 113 and 114:
Page 115 and 116:
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134: INFORME FINAL - MODELO DE SEGURIDAD
Page 183: INFORME FINAL - MODELO DE SEGURIDAD
Page 199 and 200: La documentación del Modelo SGSI d
Page 207: INFORME FINAL - MODELO DE SEGURIDAD
show all

MODELO DE SEGURIDAD - Gobierno en línea.

Create successful ePaper yourself

Delete template?

Save as template?