Poltica de Seguridad

ECERNEP ECEP EREP

Versin:

Ano:

2.0

2012

Elaborado por:

Revisado por:

Aprobado por:

Oficial de Seguridad de
Informacin

Coordinador de Seguridad
de Informacin

Gerente de Certificacin y
Registro Digital

Comit para Acreditacin GCRD

Poltica de Seguridad
ECERNEP - ECEP - EREP

~isiorialde Cambios
Ver.

Fecha

1.O

13/07/2012

2.0

2011 112012

Responsable

Estado

Elaboracin y aprobacin.

GCRD

Aprobado

Se recoge observaciones del

evaluador de INDECOPI.

GCRD

Aprobado

Descripcin

Poltica de Seguridad
ECERNEP .ECEP .EREP

1.

Objetivo ................................................................................................................
4

2.

Administracin del documento ..............................................................................

4

3.

Base legal.............................................................................................................
4

4.

Alcance .................................................................................................................
5

5.

Responsables .......................................................................................................
5

6.

Glosario de trminos .............................................................................................

6

7.

Politicas ................................................................................................................
7

8.

Referencias ......................................................................................................16

..

Poltica de Seguridad
ECERNEP - ECEP - EREP

1. Objetivo

Establecer el marco general y los lineamientos para la seguridad de la informacin

que administra la Entidad de Certificacin Nacional para el Estado Peruano ECERNEP, Entidad de Certificacin para el Estado Peruano - ECEP y Entidad de
Registro o Verificacin para el Estado Peruano - EREP, del RENIEC; a fin de
garantizar la disponibilidad, confidencialidad e integridad de la informacin durante
el desarrollo de las operaciones y acciones que stas realizan.

2. Administracin del documento

a)

Organizacin que administra el documento

Registro IVacional de Identificacin y Estado Civil - RENIEC.
Direccin Jr. Bolivia 109, Centro Cvico - 1-ima, Per. Telfonos: (01) 315 2700 - (01) 315 4000.

b)

Persona de contacto
Oficial de Seguridad de Informacin de la Gerencia de Certificacin y
Registro Digital. Telfono: (01) 315 2700 - (01) 315 4000 anexo 1195.
Correo Electrnico: identidaddigital@reniec.gob.pe.

3. Base legal
Ley No 27269 Ley de Firmas y Certificados Digitales.
Ley No 27310 Ley que modifica el artculo 11 de la Ley No 27269.
O

Ley No 29733 Ley de Proteccin de Datos Personales.

Decreto Supremo 052-2008-PCM, Reglamento de la Ley de Firmas y
Certificados Digitales.
Resolucin Ministerial No 246-2007-PCM, del 22 de agosto de 2007, que
Aprueban el uso obligatorio de la Norma Tcnica Peruana "NTP-ISO/IEC
17799:2007 EDI. Tecnologa de la Informacin. Cdigo de buenas prcticas
para la gestin de la seguridad de la informacin. 2da. Edicin" en todas las
entidades integrantes del Sistema Nacional de Informtica.
Resolucin Comisin de Reglamentos Tcnicos y Comerciales No 0302008/CRT-INDECOPI, del 12 de marzo de 2008, que Aprueban las Guas de
Acreditacin de Entidades de Certificacin Digital, Entidades de Registro o
Verificacin de Datos y Entidades de Prestacin de Servicios de Valor
Aadido, as como la Gua para la Acreditacin del Software de Firmas
Digitales.
Resolucin Ministerial No 129-2012-PCM, del 23 de mayo del 2012, que
aprueba el uso obligatorio de la norma NTP-ISO/IEC 27001:2008 EDI
Tecnologa de la Informacin. Tcnicas de seguridad. Sistemas de Gestin
de Seguridad de la Informacin. Requisitos.

i.

Resolucin Jefatural No 265-201O-JNACIRENIEC, del 30 de marzo de 2010,

que aprueba la Directiva DI-288-G11020 "Lineamientos generales de
Seguridad de la Informacin".
Resolucin Jefatural No 154-201OIJIVACIRENIEC, del 03 de marzo de 2010,
que aprueba la Poltica de Seguridad de la Informacin del RENIEC.
4. Alcance

a)

reas de alcance
El contenido de la presente poltica as como las reglas o normas y
procedimientos que se deriven de ella, sern de cumplimiento obligatorio
para el personal de la ECERNEP, ECEP y EREP del RENIEC, as como
del personal de las distintas unidades orgnicas del RENIEC que
participen en la ejecucin de las actividades que son parte del proceso de
certificacin digital.
La presente poltica as como las reglas o normas y procedimientos que se
deriven de ella, tambin sern de cumplimiento obligatorio para los
proveedores de servicios o terceros de la ECEP y EREP del REhIIEC.

b)

Servicios de alcance
La presente Poltica de Seguridad de la Informacin aplica para los
siguientes servicios:
EREP - RENIEC: comprende los servicios de emisin, cancelacin y
entrega de certificados digitales, as como la proteccin de los
documentos sustentatorios y su archivo ya sean en formato fsico o
digital.
ECEP - RENIEC: Comprende los servicios de emisin y cancelacin de
certificados digitales, administracin de su ciclo de vida, administracin
de repositorio y consulta de estado de certificados digitales.

c)

Inclusiones de este documento

El presente documento incluye los siguientes aspectos: la evaluacin de
riesgos, control de acceso, seguridad de personal, seguridad fsica,
seguridad de comunicaciones y redes, mantenimiento de equipos y su
desecho, control de cambios y configuracin, planificacin de
contingencias, respuesta a incidentes, auditoras y deteccin de
intrusiones, medios de almacenamiento y la administracin de claves;
todos ellos dentro del mbito de las actividades que la ECEP y EREP del
RENIEC realizan.

Responsables
Responsables de aprobar y apoyar la implementacin de la Poltica de
Seguridad ECEP - EREP
La Gerencia de Certificacin y Registro Digital del RENIEC.
5

Poltica de Seguridad
ECERNEP - ECEP - EREP

Responsables de elaborar, efectuar revisiones peridicas, proponer y

apoyar la implementacin de la Poltica de Seguridad ECEP - EREP
El Oficial de Seguridad de Informacin de la GCRD.
El Coordinador de Seguridad de Informacin de la GCRD.
El Comit para la Acreditacin ECERhIEP, ECEP y EREP de la GCRD.

Responsables de implementar la Poltica de Seguridad ECEP - EREP

Las unidades orgnicas del REhllEC involucradas en el proceso de
certificacin digital, en los aspectos que les correspondan.

Responsables de supervisar el cumplimiento de la Poltica de

Seguridad ECEP - EREP
El Oficial de Seguridad de Informacin de la GCRD.
El Coordinador de Seguridad de Informacin de la GCRD.
Cada Gerente de las unidades orgnicas del RENIEC involucradas en el
proceso de certificacin digital.
Los Supervisores de Seguridad de Informacin y Privacidad de Datos
de las unidades orgnicas que conforman la ECEP y EREP.

6. Glosario de trminos

Activo: Algo que tenga valor para la organizacin

Anlisis de riesgos: Uso sistemtico de la informacin para identificar
orgenes y estimar el riesgo.
Amenaza: Una causa potencial de un incidente no-deseado, el cual puede
resultar en dao a un sistema u organizacin.
Control: Herramienta de la gestin de riesgos, incluido polticas, pautas,
estructuras organizacionales, que pueden ser de naturaleza administrativa,
tcnica, gerencia1 o legal.
Evaluacin del riesgo: Proceso general de anlisis y evaluacin del riesgo.
Evento de seguridad de la informacin: Cualquier evento de seguridad de la
informacin es una ocurrencia identificada del estado de un sistema, servicio o
red, indicando una posible falla en la poltica de seguridad de la informacin o
falla en las salvaguardas, o una situacin previamente desconocida que puede
ser relevante para la seguridad.
Gestin del riesgo: Actividades coordinadas para dirigir
y. controlar una
organizacin considerando el riesgo.
Identidad digital: Es el reconocimiento de la identidad de una persona en un
medio digital (como por ejemplo Internet) a travs de mecanismos tecnolgicos

seguros y confiables, sin necesidad de que la persona est presente

fsicamente.

Incidente de seguridad de la informacin: Es indicado por una o varias

series de eventos inesperados y no deseados que tienen una gran probabilidad
de comprometer las operaciones de negocio y de amenazar la seguridad de la
informacin.
Riesgo: Combinacin de la probabilidad de un evento y sus consecuencias.
Seguridad de la Informacin: Preservacin de la confidencialidad,
disponibilidad o integridad de la informacin, as mismo, otras propiedades
como la autenticidad, no rechazo, veracidad o confiabilidad tambin pueden ser
consideradas.
Tratamiento del riesgo: Proceso de seleccin e implementacin de medidas o
controles para modificar el riesgo.
Vulnerabilidades: Debilidades de seguridad asociadas con los activos de
informacin.

7. Polticas

Genrica
El RENIEC en su calidad de Entidad de Certificacin Nacional para el Estado
Peruano - ECERNEP, Entidad de Certificacin para el Estado Peruano - ECEP y
Entidad de Registro o Verificacin para el Estado Peruano - EREP, reconoce
como su activo principal a la informacin resultante del proceso de certi.ficacin
digital, que permite la generacin de la identidad digital; en tal sentido, se
efecta el anlisis y evaluacin de los riesgos, la aplicacin de controles y la
toma de conciencia en el personal, de modo que nos permita mantener la
confidencialidad, integridad y disponibilidad de la misma, as como dar
cumplimiento a los requisitos tcnicos y legales vigentes.

Especificas
,1\cL(l*bt.

a.

Organizacin
El RENIEC ha establecido la siguiente estructura de gestin de la
seguridad de la informacin en el mbito de la ECERNEP, ECEP y EREP
del RENIEC con la finalidad de implementar en el proceso de certificacin
digital controles que perrriitan asegurar la confidencialidad, integridad y
disponibilidad de la informacin.

*.,

REU~C' '

Versin: 2.0

Poltica de Seguridad
ECERNEP - ECEP - EREP

Gerencia de
Certificacin y
Registro Digital

ial de Privacidad

Seguridad de
Informacin de la
CRD

Supervisores de
Seguridad de
Privacidad de Datos
ECEP - RENIEC

de la Informacin de

Supervisores de
Seguridad de
Informacin y
Privacidad de Datos
EREP - R

a
-

Fig. l: Estructura de gestin de la Seguridad de la Informacin

en la ECERNEP- EREP- ECEP

El Oficial de Seguridad de Informacin y el Coordinador de Seguridad de

Informacin de la GCRD, tienen entre sus funciones la elaboracin de la
Poltica de Seguridad, as mismo, despus de la aprobacin de esta
poltica por la Gerencia de Certificacin y Registro Digital, esta ser
publicada a travs de la lntranet para conocimiento de todo el personal de
las distintas unidades orgnicas que interviene en el proceso de
certificacin digital.
La Gerencia de Certificacin y Registro Digital tambin tiene entre sus
responsabilidades coordinar el desarrollo de las auditoras internas a
intervalos planificados o cuando ocurran cambios significativos en la
puesta en marcha de la seguridad; as mismo, asignar las distintas
responsabilidades respecto a la Seguridad de la Informacin a las
unidades involucradas en el proceso de certificacin digital.
Con la finalidad de garantizar la disponibilidad, confidencialidad e
integridad de la informacin, coordinar la ejecucin de revisiones y
actualizaciones peridicas de la Poltica de Seguridad en concordancia con
los riesgos identificados, requerimientos de la entidad, leyes y regulaciones
Para asegurar la Proteccin de Datos Personales se cuenta con un Oficial
de Privacidad de Datos de la GCRD responsable de la supervisin del

Poltica de Seguridad
ECERNEP - ECEP - EREP

cumplimiento de la normativa sobre proteccin de datos personales y la

implementacin de las acciones respectivas.
Para la supervisin de la Seguridad de la Informacin se cuenta en la
Gerencia de Certificacin y Registro Digital con un Oficial de Seguridad de
Informacin quien tiene la responsabilidad de supervisar la implementacin
de la visin de seguridad de la informacin, as como de las estrategias,
programas, polticas, procedimientos y controles relacionados a la
seguridad de la informacin en el mbito de la ECERNEP, EREP-RENIEC
y ECEP-REbIIEC.
Para la planificacin y ejecucin de las auditoras internas a la ECEP RENIEC y EREP RENIEC, la Gerencia de Certificacin y Registro Digital
cuenta con un Analista de Control Interno, quien en coordinacin con las
Gerencias involucradas en el proceso de Certificacin Digital establecer
la frecuencia y los recursos necesarios para ejecutar las auditoras internas
en el Plan Anual de Auditoria Interna.
Corresponde a los Supervisores de Seguridad de la Informacin y
Privacidad de Datos designados por las unidades orgnicas que
conforman la EREP y ECEP, el verificar el cumplimiento de la Poltica de
Seguridad y el Plan de Seguridad en la ECEP-RENIEC y EREP-RENIEC.

b.

Evaluacin de riesgos
Para cada proceso vital o crtico que se desarrolla en el mbito de la
EREP-RENIEC y ECEP-RENIEC, se deber efectuar el anlisis y
evaluacin de riesgos, tenindose en consideracin tanto las amenazas
internas como las externas; asimismo, se identificarn, evaluarn e
implementarn las opciones de tratamiento del riesgo que permitan mitigar
el impacto en los activos de informacin involucrados en el proceso de
certificado digital.
La evaluacin y tratamiento del riesgo se realizar de acuerdo a la
Metodologa de Anlisis y Tratamiento del Riesgo definida por la ECEPRENIEC y EREP-RENIEC.
La EREP y ECEP son responsables de realizar la evaluacin de los
riesgos en el mbito de sus competencias, debiendo presentar los
resultados de la evaluacin a la Gerencia de Certificacin y Registro Digital
y proponer las respectivas opciones para su tratamiento.
Corresponder a la Gerencia de Certificacin y Registro Digital en
concordancia con la Jefatura Nacional, decidir si se acepta el riesgo o se
brinda las facilidades necesarias para implementar las opciones de

Se controlar el acceso a la informacin confidencial generada durante el

proceso del certificado digital, en concordancia con lo establecido en el
9

Poltica de Seguridad
ECERNEP - ECEP - EREP

Plan de Privacidad de la ECEP-RENIEC y EREP-REhIIEC, as como la

informacin reservada de la ECERNEP y los resultados de la evaluacin
de riesgos.
La administracin del acceso a los usuarios considerar que:
Toda solicitud de acceso fsico y lgico, as como la administracin de
las cuentas de usuario a los activos de informacin deber ser realizada
conforme a los procedimientos establecidos.
Slo se asignar cuentas de acceso individuales, si por razones de
operacin se requiere el uso de una misma cuenta para ms de un
usuario, lo que deber ser de conocimiento del Oficial de Seguridad de
Informacin de la GCRD y aprobado por la Gerencia correspondiente al
rea usuaria.
El personal que reciba una cuenta de usuario para el acceso a los activos
de informacin de la ECEP-RENIEC y10 EREP-RENIEC deber hacer uso
adecuado de sus contraseas de acceso manteniendo la confidencialidad
de la misma, no dejando sus estaciones de trabajo desatendidas,
solicitando su cambio de contrasea si tiene algn indicio de su
vulnerabilidad y seleccionado una contrasea que tenga un nivel adecuado
de complejidad; es responsabilidad del supervisor del personal el informar
a ste sobre el cumplimiento estas disposiciones y el verificar su
cumplimiento.
Es responsabilidad de los propietarios de los activos de informacin de la
ECEP-RENIEC y EREP-RENIEC clasificar la informacin (fsica o digital)
de acuerdo a lo indicado en los lineamientos definidos para la clasificacin
de informacin. Asimismo, identificar y agrupar a los usuarios,
considerando su necesidad de informacin para el desarrollo de sus
funciones o labores que realizan, con la finalidad de establecer los niveles
de acceso a la base de datos, sistemas y/o aplicativos, centros de datos,
infraestructura de procesamiento de informacin, archivos fsicos y
electrnicos, de acuerdo con el resultado de la evaluacin de riesgos y los
requerirnientos de la organizacin.
Con respecto a los accesos de entidades, organizaciones o instituciones
externas que requieran acceder a los servicios de la ECEP-RENIEC, se
deber controlar los accesos lgicos proporcionados a dichas entidades
estableciendo interfaces seguras entre la red de datos del RENIEC y la red
de datos de la entidad externa, a nivel de puertos para los que se
requieren los servicios.
Previo al acceso a los servicios del RENIEC, dichas entidades externas
debern firmar un acuerdo de confidencialidad y un compromiso a
salvaguardar la integridad, disponibilidad y confidencialidad de la
informacin que utilice o sea de su conocimiento.
Corresponde a las unidades orgnicas que conforman la ECEP-RENIEC y
la EREP-RENIEC establecer un proceso peridico de revisiones de los
derechos de acceso tanto de su personal como de los usuarios de

1o

entidades externas, as mismo, programar revisiones peridicas de las

polticas configuradas en su red de datos.
Es responsabilidad del encargado o supervisor de cada unidad solicitar en
el menor tiempo posible la inactivacin de las cuentas de usuario cuando
estos ya no presten servicios para la ECERNEP, EREP-REhIIEC o ECEPREIVIEC, o cuando el usuario o entidad externa ya no requiera del acceso
a la informacin del RENIEC.

d.

Seguridad de personal
Cada rea o unidad debe asegurar que el personal, contratista y terceros
reciban y comprendan sus responsabilidades respecto al uso y tratamiento
de los activos de informacin relacionados al proceso de certificacin
digital, con la finalidad de reducir el riesgo de hurto, fraude o mal uso de la
informacin. As mismo, debern asegurar la implementacin de controles
de seguridad relacionados al personal, antes, durante y finalizado el
empleo o servicio brindado a la ECERNEP, ECEP-RENIEC y10 EREPREhIIEC.
Antes del empleo:
Los perfiles de los puestos debern ser definidos en base a las
funciones que se van a desarrollar y las responsabilidades que les
competan.
La Gerencia de Recursos Humanos debe implementar controles para
la seleccin y contratacin del personal, a fin de verificar la veracidad
de los datos proporcionados por los postulantes, as como sus
antecedentes penales y policiales. Para el caso de quienes tienen
roles de confianza, se efectuar la verificacin de sus antecedentes
crediticios.
Para los servicios efectuados por terceros, la verificacin de los datos
la efectuar el proveedor del servicio. El REhIIEC se reserva el
derecho de verificar dicha documentacin.
Cada una de las personas que presta servicios en la ECERNEP,
ECEP-RENIEC y EREP-RENIEC deben firmar un acuerdo de
confidencialidad y10 un documento de compromiso para salvaguardar
la integridad, disponibilidad y confidencialidad de la informacin que
utilice 6 sea de su conocimiento.
Durante el empleo:
Toda persona que presta servicios en la ECERNEP, ECEP-REhIIEC o
EREP-RENIEC, recibir charlas de induccin en materia de Seguridad
de la Informacin.
Se deben desarrollar actividades de capacitacin continua dirigidas a
mantener actualizados los conocimientos del personal respecto al uso
y reserva de la informacin, as como a las polticas y procedimientos
relevantes para sus funciones. Estas actividades de capacitacin as

como los responsables de efectuarlas estarn definidas en el Plan de

Capacitacin.
Para los casos de tercerizacin de servicios se informar al prestador
del servicio cules son los criterios que deber considerar para la
seguridad de la informacin, as como tambin, se monitorear y
revisar su cumplimiento.
Todo incumplimiento de la Poltica de Seguridad de parte del personal
o proveedores, debern ser informadas, por el personal que tome
conocimiento del hecho, al Oficial de Seguridad de Informacin de la
GCRD para su anlisis, evaluacin y comunicacin a la Gerencia de
Recursos Humanos, afn de que sta proceda a la sancin que
corresponda en concordancia con su normativa correspondiente o en
el caso de los proveedores para su comunicacin a la Gerencia de
Administracin para la sancin que corresponda de acuerdo a la Ley
de Contrataciones del Estado o a lo establecido en el Contrato.
Finalizacin del empleo:
Todo cambio o finalizacin de funciones deber realizarse de acuerdo
a los procedimientos del RENIEC, incluyendo la entrega de los bienes
asignados al personal. De igual modo, cada encargado o supervisor
de unidad deber solicitar el retiro de accesos a la informacin o
servicios de la ECERNEP, ECEP-RENIEC y EREP-RENIEC de todo
personal que ya no labore en su unidad.
La Gerencia de Recursos Humanos, la Gerencia de Administracin, y las
Gerencias de las Unidades Orgnicas que conforman la ECERNEP, ECEP
y EREP, son los responsables de implementar lo estipulado en la Poltica
de Seguridad con el personal y proveedores, respectivamente.

e.

Seguridad fsica
La ECERhIEP, ECEP-RENIEC y EREP-RENIEC deben implementar
controles de seguridad fsica con la finalidad de prevenir accesos no
autorizados a los ambientes en que se procesa o resguarda informacin
confidencial, as mismo, evitar el dao o perdida de los activos de
informacin crticos que intervienen en el proceso de certificacin digital.
Se deben delimitar los permetros del ambiente en que se procesa o
resguarda la informacin sensible, y se establecern los controles fsicos
de entrada y salida; asimismo, se instalarn controles de seguridad contra
incendios, aniegos y otros, que permitan alertar en casos de emergencia.
Los ambientes sern diseados e implementados adecuadamente para la
seguridad de los recursos que albergan y del personal. Se deber, as
mismo, establecer controles de acceso a los ambientes, al uso de las
llaves de los mismos, y asignar a los responsables respectivos. As mismo,

Poltica de Seguridad
ECERNEP - ECEP - EREP

Estas polticas de seguridad fsica se deben considerar tambin para los

ambientes de contingencia.
La Oficina de Seguridad y Defensa Nacional, y las Gerencias de las
Unidades Orgnicas que conforman la ECERNEP, ECEP y EREP, son los
responsables de implementar las polticas de seguridad fsica.

f.

Seguridad de comunicaciones y redes

Se deben establecer responsabilidades y procedimientos documentados
de operacin asociado al procesamiento de informacin y recursos de
comunicaciones, con el objetivo de evitar daos, accesos no autorizados,
mal uso de los activos de informacin, garantizar la seguridad de los datos
y la disponibilidad de los servicios utilizados a travs de la red del RENIEC
y del internet.
En lo posible se segregarn las tareas e implementar un procedimiento
de gestin de cambios con la finalidad de prevenir modificaciones no
autorizadas en los equipos de comunicaciones y redes.
La ECEP-RENIEC asegurar que los datos disponibles en los repositorios
pblicos se encuentren protegidos, as mismo, deber garantizar la
disponibilidad de los mismos.
Es responsabilidad de la Gerencia de informtica y las Gerencias de las
Unidades Orgnicas que conforman la ECERNEP, ECEP y EREP, el
implementar las polticas de seguridad de comunicaciones y redes.

g.

Mantenimiento de equipos y su desecho

Se debe asegurar la disponibilidad e integridad de los equipos a travs de
un adecuado plan de mantenimiento. Antes del su desecho o reso de los
equipos se revisar que toda informacin sensible haya sido removida o
sobre escrita con la finalidad de prevenir el acceso no autorizado a
informacin sensible.

Se debe elaborar un plan de mantenimiento preventivo especialmente para

los equipos crticos, el cual se realizar segn el procedimiento establecido
por el RENIEC, documentndose los incidentes que ocurran antes, durante
y despus del mantenimiento.
El reemplazo, decomiso, manipulacin y desecho, tanto del hardware
como del software, se realizarn de acuerdo a los criterios establecido por
RENIEC para el correcto uso de los equipos.
La Gerencia de Administracin, la Gerencia de Informtica, y las Gerencias
de las Unidades Orgnicas que conforman la ECERNEP, ECEP y EREP,
sern los responsables de implementar las polticas de mantenimiento de
equipo y su desecho. As mismo, corresponde a la Gerencia de
13

Poltica de Seguridad
ECERNEP - ECEP - EREP

Informtica, la Gerencia de Registros de Identificacin y a la ECEPRENIEC el efectuar los mantenimientos de los equipos de su competencia.

h.

Control de cambios y configuracin

La ECEP-RENIEC y EREP-REIVIEC deben asegurar un control
satisfactorio de todos los cambios realizados a los equipos, software y
procedimientos, en lo posible se deber garantizar la posibilidad de revertir
los cambios efectuados sin xito.
Se deber realizar y aprobar los cambios en los sistemas y recursos de
tratamiento de informacin, de acuerdo a lo establecido; as mismo, previo
al cambio se efectuar un anlisis de impacto a los sistemas y procesos,
comunicando el cambio a todos los involucrados. Se ha dispuesto que todo
cambio o modificacin que se realice al sistema sea debidamente
documentado, y adems que dichas modificaciones se efecten de
preferencia, fuera del horario de atencin a los clientes o en horas de
menor demanda.
Corresponde a la Gerencia de Informtica, y las Gerencias de las
Unidades Orgnicas que conforman la ECERNEP, ECEP y EREP,
implementar las polticas asociadas a la gestin de cambios y
configuracin.

i.

Planificacin de contingencias
La ECEP-RENIEC y EREP-RENIEC implementarn un Plan de
Contingencias a nivel de servicios, que les permita reaccionar ante una
posible interrupcin en las actividades crticas del proceso de certificacin
digital, y en el tiempo requerido por el RENIEC.
Para establecer el Plan de Contingencias se identificarn procesos crticos
para el servicio prestado por la ECEP-RENIEC y EREP-RENIEC, los
eventos que pueden ocasionar interrupciones en estos procesos, y los
planes o acciones que se debern efectuar para mantener y recuperar las
operaciones, as como el periodo en que estos debern recuperarse.
Se deber establecer pruebas peridicas del Plan de Contingencias en un
lugar alternativo, que permitan evaluar su eficacia y efectuar su
actualizacin.
Corresponde a las Gerencias de las Unidades Orgnicas que conforman la
ECERNEP, ECEP y EREP, implementar las polticas de planificacin de
contingencias.

Respuesta a incidentes
Se deber clasificar, comunicar y atender los incidentes de manera rpida,
eficaz y sistemtica, a fin de garantizar el restablecimiento del servicio

Poltica de Seguridad
ECERNEP - ECEP - EREP

Para el caso de los incidentes que afecten la seguridad de la informacin,

se deber establecer que toda persona (personal o proveedor) que presta
servicios en la ECEP-RENIEC y EREP-RENIEC deber comunicar
oportunamente al Oficial de Seguridad de Informacin de la GCRD o
persona designada, cuando se haya detectado o tomado conocimiento del
incidente. Adicionalmente, los Supervisores de Seguridad de la
Informacin y Privacidad de Datos, tanto de la ECEP-RENIEC como de la
EREP-RENIEC debern llevar un registro de los incidentes de seguridad
ocurridos en su mbito de alcance, monitoreando la implementacin de las
acciones correctivas o preventivas que ameriten.
Las Gerencias de las Unidades Orgnicas que conforman la ECERLIEP,
ECEP y EREP sern los responsables de implementar la poltica de
respuesta a incidentes.

k.

Auditorias y deteccin de intrusiones

Se programarn como mriimo auditoras semestrales, las cuales se
ejecutarn de acuerdo al Plan Anual de Auditoria. Al trmino de la auditoria
el rea o persona auditada deber implementar en el menor tiempo posible
las acciones correctivas y preventivas identificadas.
Se debern ejecutar pruebas peridicas de deteccin de intrusiones, as
como, implementar controles que permitan alertar los intentos de acceso
no autorizados.
Los sistemas y procesos (manuales o automticos) debern contar con
registros de auditora actualizados, los mismos que deben brindar
informacin de la accin ejecutada, como hora, fecha, identificacin del
personal, software y hardware utilizado, segn corresponda.
Corresponde al Analista de Control Interno de la Gerencia de Certificacin
y Registro Digital elaborar el Plan Anual de Auditora Interna y a la
Gerencia de Certificacin y Registro Digital aprobarlo, y a las Gerencias de
las Unidades Orgnicas que conforman la ECERNEP, ECEP y EREP
brindar las facilidades necesarias para su ejecucin. Las pruebas
peridicas de deteccin de lntrusiones para la ECEP-RENIEC y EREPRENIEC sern programadas en el Plan de Auditoria Interna.
Adicionalmente, los controles de deteccin de intrusiones debern ser
implementados por la Gerencia de Informtica, Gerencia de Registros de
Identificacin y la ECEP - RENIEC segn corresponda.

l.

Medios de almacenamiento
Se asegurar la proteccin de los documentos, medios informticos, datos
de entrada o salida y documentacin del proceso de certificacin digital, de
las ocurrencias como dao, modificacin, robo o acceso no autorizado.
La ECEP-REIVIEC y EREP-RENIEC deben establecer el procedimiento
para la administracin de los medios de almacenamiento de informacin, y

Poltica de Seguridad
ECERNEP - ECEP - EREP

los controles de seguridad requeridos para el almacenamiento, uso y

proteccin de la informacin, considerndose tarribin el uso de los medios
de almacenamiento removibles, el proceso de eliminacin segura de
informacin, la planificacin y ejecucin de copias de seguridad, as como
su proceso de restauracin.
La Gerencia de Informtica, Gerencia de Registros de Identificacin y la
ECEP - RENIEC, tendrn bajo su responsabilidad la implementacin de la
Poltica de Medios de Almacenamiento de acuerdo a su competencia.

m.

Administracin de Claves
La ECERhlEP y ECEP-RENIEC deben asegurar la confidencialidad de
claves criptogrficas e implementarn para su proteccin los controles
requeridos de acuerdo al nivel de seguridad acreditado.
La proteccin de las claves criptogrficas administradas por la ECERNEP,
y las administradas por la ECEP-RENIEC y EREP-RENIEC
correspondientes a entidades finales, se efectuar conforme a lo
establecido en el Plan de Seguridad y Administracin de Claves.
Las gerencias de las unidades orgnicas que conforman la ECERNEP,
EREP-RENIEC y ECEP-RENIEC tiene la responsabilidad de implementar
lo establecido en el Plan de Seguridad y Administracin de Claves.

8. Referencias
La norma ISO/IEC 17799 "lnformation technology - Code of practice for
information security management" y la norma ISO/IEC TR13335 "Information
technology - Guidelines for the management of IT Security".
La norma ISO/IEC 27001 :2005 "lnformation technology - Security techniques
lnformation security managementsystems - Requirements".

La norma ISO/IEC 15408 "lnformation technology - Security techniques Evaluation criteria for IT security".