Beruflich Dokumente
Kultur Dokumente
CURSO:
AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS
INTEGRANTES:
Omar Pizarro Mendoza.
Marco Antonio Nieves Pealva.
DOCENTE:
ING. PALOMINO OLIVERA, EMILIO
CUSCO PER
2014
INDICE
INTRODUCCIN
1
1.1
PLANTEAMIENTO
DEL
PROBLEMA.1
1.2
HIPTESIS
...1
1.3
OBJETIVOS
GENERALES..
..1
1.4
OBJETIVOS
ESPECFICOS
1
11
CONTROLE
ACCESOS.
...2
11.1
Requisitos
de
negocio
para
el
control
de
accesos....2
11.1.1
Poltica
de
control
de
accesos..3
11.2
Gestin
de
acceso
de
Usuarios..6
11.2.1
Registros
de
Usuarios.6
11.2.2
Gestin
de
privilegios.9
11.2.3
Gestin
de
contraseas
de
Usuario...12
11.2.4 Revisin de los derechos de acceso de los
usuarios...15
INTRODUCCION
La Norma Tcnica Peruana NTP-ISO/IEC 17799: 2007 EDI. Tecnologa de la
informacin. Cdigo de buenas prcticas para la gestin de la seguridad de
la informacin, fue elaborada por el Comit Tcnico de Normalizacin de
Codificacin en Intercambio de Datos (EDI) junto a otras instituciones que
participaron en la elaboracin; para la Comisin de Reglamentos Tcnicos y
Comerciales de INDECOPI en Enero del 2007, teniendo como antecedente la
norma ISO/IEC 17799: 2007, el cual es un estndar internacional para la
seguridad de la informacin. Dicha norma es de uso obligatorio para las
instituciones del Estado y es recomendable y opcional para las instituciones
privadas. En resumen esta norma es una gua para la implementacin de
controles de seguridad de la informacin en las organizaciones, esto para una
consecuente identificacin, evaluacin y tratamiento de los riesgos de seguridad
de la informacin que puedan existir. Ya que se trata a la informacin, en sus
diversas formas, como un activo importante que debido a diversos factores est
1.1
Hiptesis
Si el conjunto de procesos de llevase a cabo siguiendo los procedimientos
establecidos de forma secuencial, entonces se tendr un mejor control de
accesos a los sistemas de informacin de la institucin.
1.3
Objetivos Generales
Plantear un conjunto de procesos para el control de accesos a la
informacin dentro de una institucin basndose en la NTP-ISO-IEC-177992007.
1.4
Objetivos Especficos
Identificar, analizar y seleccionar las clausulas que comprenden al
CONTROL
Una poltica de control de acceso debe ser establecida, documentada y
revisada y debe estar basada en los requerimientos de seguridad y del
negocio.
Gua de Implementacin
Se deberan establecer claramente en una poltica de accesos las reglas y los
derechos de cada usuario o grupo de usuarios. Los controles de acceso son
lgicos y fsicos, y estos deben ser considerados juntos. Se debera dar a los
usuarios y proveedores de servicios una especificacin clara de los requisitos de
negocio cubiertos por los controles de accesos.
Esta poltica debera contemplar lo siguiente:
a Requisitos
de
seguridad
de
cada
aplicacin
de
negocio
individualmente.
b Identificacin de toda la informacin relativa a las aplicaciones y los
riesgos que la informacin est enfrentando.
c Polticas para la distribucin de la informacin y las autorizaciones (por
ejemplo, el principio de suministro slo de la informacin que se
necesita conocer y los niveles de seguridad para la clasificacin de
dicha informacin).
d Coherencia entre las polticas de control de accesos y las polticas de
clasificacin de la informacin en los distintos sistemas y redes.
e Legislacin aplicable y las obligaciones contractuales respecto a la
f
comunes de trabajos.
g Administracin delos derechos de acceso en un entorno distribuido en
red que reconozca todos los tipos disponibles de conexin.
h Segregacin de los roles de control de acceso, como el pedido de
acceso, autorizacin de acceso, administracin de accesos.
i Requerimientos para la autorizacin formal de los pedidos de acceso.
j Requerimientos para la revisin peridica de los controles de acceso.
k Retiro de los derechos de acceso.
Otra Informacin
Al especificar las reglas de los controles de accesos se tendr la precaucin
de considerar:
a) Distincin entre reglas a cumplir siempre y reglas opcionales o
condicionales.
b) Establecimiento de reglas
c) Cambios en las etiquetas de informacin iniciadas automticamente por
los recursos del tratamiento de informacin y las que inicia el usuario
manualmente.
d) Cambios a las autorizaciones a los usuarios realizados automticamente
por el sistema de informacin y los que realiza un administrador.
SECUENCIA DE ACTIVIDADES:
1.- rea de Informtica.a) Establece la elaboracin de las polticas de control de acceso.
b) Asigna el presupuesto para la elaboracin de polticas de control
de accesos.
c) Enva documento de elaboracin de polticas de control de acceso
a la comisin de polticas de control de acceso.
2.- Comisin de polticas de control de accesos
a) Elabora propuesta de polticas de control de acceso a los sistemas
de informacin
3.- rea de Informtica
a) Analiza, revisa y establece polticas de control de accesos.
b) Aprueba politicas de control de accesos.
c) Emite informe de politicas de control de accesos.
4.- Direccin de la gerencia general
a) Elabora documento
acceso.
Verificacin de la adecuacin del nivel de acceso asignado al propsito
delnegocio y su consistencia con la poltica de seguridad de laorganizacin
acceso.
La peticin a los usuarios para que reconozcan con su firma la comprensin
usarel servicio.
La eliminacin inmediata de las autorizaciones de acceso a los usuarios
usuarioredundantes.
La garanta de no reasignacin a otros usuarios de los identificadores de
usuario redundantes.
Otra Informacin
Se debera considerar el establecimiento de roles de acceso a usuarios
basado en requisitos de negocio que resuman un numero de derechos de
acceso en un expediente tpico de acceso de usuario. Los pedidos y
revisiones de acceso son manejadas ms fcilmente al nivel de dichos roles
que los niveles de derechos particulares.
SECUENCIA DE ACTIVIDADES:
a) rea de Informtica. Establecer derechos de acceso del usuario al sistema.
Enviar documentos de derechos de acceso del usuario al
sistema.
b) Direccin de la Gerencia General. Evaluar las autorizaciones de acceso de los usuarios al sistema.
Aprobar el derecho de acceso a los sistemas.
c) rea de informtica. Autorizar el derecho de acceso a los usuarios al sistema.
acceso.
d) Usuario. Aceptacin de las condiciones de los derechos de acceso al
sistema.
Remitir documento y/o firma de conformidad.
e) rea de Informtica. Asignar un identificador nico a cada usuario.
Revisar identificadores redundantes.
Eliminar o cambiar las autorizaciones de acceso al Sistema.
Mantener un registro de todos los usuarios autorizados.
f) Usuario. Usar el servicio de acceso a los sistemas.
Versin
Ingrese en este campo la versin
RESPONSABLE (Del AREA)
Nombre
Cargo
Firma
rea
Ingrese el nombre.
Ingrese el Cargo.
Ingrese el rea.
RESPONSALBE DE GERENCIA GENERAL
Nombre
Cargo
Firma
rea
Ingrese el nombre.
Ingrese el Cargo.
Ingrese el rea.
Ingrese el nombre.
USUARIO
Nombre
Cargo
Firma
rea
Ingrese el Cargo.
Ingrese el rea.
N
rea de Cambio
Sistema
Responsabilidades
Identificador Temporal
Contrasea
Fecha de Entrega
Identificador Nuevo
Contrasea
Fecha de modificacin
Supervisor:
Descripcin:
DOCUMENTO
Nombre del Documento
N Documento
Fecha
Versin
Ingrese en este campo la versin
RESPONSABLE (Del AREA)
Nombre
Cargo
Firma
Ingrese el nombre.
Ingrese el Cargo.
USUARIO
Nombre
Cargo
Firma
Ingrese el nombre.
Privilegios
Sistema Operativo
SIAF
SEACE
Sistema de Base de Datos
Microsoft Office
Servicio de impresora
rea
Ingrese el rea.
rea
Ingrese el Cargo.
Privilegios Asociados al Sistema
reas
Gerencia
Contabilidad Informtica
Almacn
Otros
Ingrese el rea.
11.2.3
Gestin
de
Contraseas
de
Usuario
CONTROL
Se debera controlar la asignacin de
Gua de Implementacin
El proceso debe incluir los siguientes requisitos:
Requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseas personales y las
compartidas por un grupo slo entre los miembros de ese grupo (compromiso que podra incluirse en los trminos y
despus.
Establecer procedimientos para verificar la identidad de un usuario antes de proveer una contrasea nueva, de
reemplazo o temporal.
Establecer un conducto seguro para hacer llegar las contraseas temporales a los usuarios. Se debera evitar su
SECUENCIA DE ACTIVIDADES:
a) Jefe del rea de informtica
a. Documento de compromiso para mantener en secreto sus contraseas temporales.
b. Verificar identidad de usuario antes de proveer una contrasea nueva.
c. Enviar documento a los usuarios con contraseas temporales mas polticas de cumplimiento.
b) Usuario
a. Aceptacin de polticas de cumplimiento y registro de nuevas contraseas.
b. Firmar compromiso de confidencialidad de su contrasea.
Fecha
Versin
Ingrese en este campo la versin
RESPONSABLE (Del AREA)
Nombre
Cargo
Firma
Ingrese el nombre.
Ingrese el Cargo.
USUARIO
Nombre
Cargo
Firma
Ingrese el nombre.
Ingrese el Cargo.
N
Responsabilidades
Contraseas Establecidas
Contrasea Temporal
Fecha
de
Contrasea Entrega
Ingrese
Contrasea
Temporal.
FORMATOS DE CUMPLIMIENTO DE
GESTION DE CONTRASEAS DE
USUARIO
rea
Ingrese el rea.
rea
Ingrese el rea.
Contrasea Nueva
Fecha
de
Contrasea
Modificacin
Ingrese
contrasea
Nueva.
Otra Informacin
Versin
Ingrese en este campo la versin
RESPONSABLE (GERENCIA GENERAL)
Nombre Y Apellidos
Cargo
Firma
Ingrese el nombre.
Ingrese el Cargo.
Ingrese el rea.
RESPONSABLE (AREA)
Nombre y Apellidos
Cargo
Firma
USUARIO
Nombre y Apellidos
ID del Usuario
Fecha de Revisin
Ingrese el nombre.
Ingrese ID del Usuario.
Motivo de la revisin