Beruflich Dokumente
Kultur Dokumente
Versin:
Ano:
2.0
2012
Elaborado por:
Revisado por:
Aprobado por:
Oficial de Seguridad de
Informacin
Coordinador de Seguridad
de Informacin
Gerente de Certificacin y
Registro Digital
Poltica de Seguridad
ECERNEP - ECEP - EREP
~isiorialde Cambios
Ver.
Fecha
1.O
13/07/2012
2.0
2011 112012
Responsable
Estado
Elaboracin y aprobacin.
GCRD
Aprobado
GCRD
Aprobado
Descripcin
Poltica de Seguridad
ECERNEP .ECEP .EREP
1.
Objetivo ................................................................................................................
4
2.
3.
Base legal.............................................................................................................
4
4.
Alcance .................................................................................................................
5
5.
Responsables .......................................................................................................
5
6.
7.
Politicas ................................................................................................................
7
8.
Referencias ......................................................................................................16
..
Poltica de Seguridad
ECERNEP - ECEP - EREP
1. Objetivo
a)
b)
Persona de contacto
Oficial de Seguridad de Informacin de la Gerencia de Certificacin y
Registro Digital. Telfono: (01) 315 2700 - (01) 315 4000 anexo 1195.
Correo Electrnico: identidaddigital@reniec.gob.pe.
3. Base legal
Ley No 27269 Ley de Firmas y Certificados Digitales.
Ley No 27310 Ley que modifica el artculo 11 de la Ley No 27269.
O
i.
a)
reas de alcance
El contenido de la presente poltica as como las reglas o normas y
procedimientos que se deriven de ella, sern de cumplimiento obligatorio
para el personal de la ECERNEP, ECEP y EREP del RENIEC, as como
del personal de las distintas unidades orgnicas del RENIEC que
participen en la ejecucin de las actividades que son parte del proceso de
certificacin digital.
La presente poltica as como las reglas o normas y procedimientos que se
deriven de ella, tambin sern de cumplimiento obligatorio para los
proveedores de servicios o terceros de la ECEP y EREP del REhIIEC.
b)
Servicios de alcance
La presente Poltica de Seguridad de la Informacin aplica para los
siguientes servicios:
EREP - RENIEC: comprende los servicios de emisin, cancelacin y
entrega de certificados digitales, as como la proteccin de los
documentos sustentatorios y su archivo ya sean en formato fsico o
digital.
ECEP - RENIEC: Comprende los servicios de emisin y cancelacin de
certificados digitales, administracin de su ciclo de vida, administracin
de repositorio y consulta de estado de certificados digitales.
c)
Responsables
Responsables de aprobar y apoyar la implementacin de la Poltica de
Seguridad ECEP - EREP
La Gerencia de Certificacin y Registro Digital del RENIEC.
5
Poltica de Seguridad
ECERNEP - ECEP - EREP
6. Glosario de trminos
7. Polticas
Genrica
El RENIEC en su calidad de Entidad de Certificacin Nacional para el Estado
Peruano - ECERNEP, Entidad de Certificacin para el Estado Peruano - ECEP y
Entidad de Registro o Verificacin para el Estado Peruano - EREP, reconoce
como su activo principal a la informacin resultante del proceso de certi.ficacin
digital, que permite la generacin de la identidad digital; en tal sentido, se
efecta el anlisis y evaluacin de los riesgos, la aplicacin de controles y la
toma de conciencia en el personal, de modo que nos permita mantener la
confidencialidad, integridad y disponibilidad de la misma, as como dar
cumplimiento a los requisitos tcnicos y legales vigentes.
Especificas
,1\cL(l*bt.
a.
Organizacin
El RENIEC ha establecido la siguiente estructura de gestin de la
seguridad de la informacin en el mbito de la ECERNEP, ECEP y EREP
del RENIEC con la finalidad de implementar en el proceso de certificacin
digital controles que perrriitan asegurar la confidencialidad, integridad y
disponibilidad de la informacin.
*.,
REU~C' '
Versin: 2.0
Poltica de Seguridad
ECERNEP - ECEP - EREP
Gerencia de
Certificacin y
Registro Digital
ial de Privacidad
Seguridad de
Informacin de la
CRD
Supervisores de
Seguridad de
Privacidad de Datos
ECEP - RENIEC
de la Informacin de
Supervisores de
Seguridad de
Informacin y
Privacidad de Datos
EREP - R
a
-
Poltica de Seguridad
ECERNEP - ECEP - EREP
b.
Evaluacin de riesgos
Para cada proceso vital o crtico que se desarrolla en el mbito de la
EREP-RENIEC y ECEP-RENIEC, se deber efectuar el anlisis y
evaluacin de riesgos, tenindose en consideracin tanto las amenazas
internas como las externas; asimismo, se identificarn, evaluarn e
implementarn las opciones de tratamiento del riesgo que permitan mitigar
el impacto en los activos de informacin involucrados en el proceso de
certificado digital.
La evaluacin y tratamiento del riesgo se realizar de acuerdo a la
Metodologa de Anlisis y Tratamiento del Riesgo definida por la ECEPRENIEC y EREP-RENIEC.
La EREP y ECEP son responsables de realizar la evaluacin de los
riesgos en el mbito de sus competencias, debiendo presentar los
resultados de la evaluacin a la Gerencia de Certificacin y Registro Digital
y proponer las respectivas opciones para su tratamiento.
Corresponder a la Gerencia de Certificacin y Registro Digital en
concordancia con la Jefatura Nacional, decidir si se acepta el riesgo o se
brinda las facilidades necesarias para implementar las opciones de
Poltica de Seguridad
ECERNEP - ECEP - EREP
1o
d.
Seguridad de personal
Cada rea o unidad debe asegurar que el personal, contratista y terceros
reciban y comprendan sus responsabilidades respecto al uso y tratamiento
de los activos de informacin relacionados al proceso de certificacin
digital, con la finalidad de reducir el riesgo de hurto, fraude o mal uso de la
informacin. As mismo, debern asegurar la implementacin de controles
de seguridad relacionados al personal, antes, durante y finalizado el
empleo o servicio brindado a la ECERNEP, ECEP-RENIEC y10 EREPREhIIEC.
Antes del empleo:
Los perfiles de los puestos debern ser definidos en base a las
funciones que se van a desarrollar y las responsabilidades que les
competan.
La Gerencia de Recursos Humanos debe implementar controles para
la seleccin y contratacin del personal, a fin de verificar la veracidad
de los datos proporcionados por los postulantes, as como sus
antecedentes penales y policiales. Para el caso de quienes tienen
roles de confianza, se efectuar la verificacin de sus antecedentes
crediticios.
Para los servicios efectuados por terceros, la verificacin de los datos
la efectuar el proveedor del servicio. El REhIIEC se reserva el
derecho de verificar dicha documentacin.
Cada una de las personas que presta servicios en la ECERNEP,
ECEP-RENIEC y EREP-RENIEC deben firmar un acuerdo de
confidencialidad y10 un documento de compromiso para salvaguardar
la integridad, disponibilidad y confidencialidad de la informacin que
utilice 6 sea de su conocimiento.
Durante el empleo:
Toda persona que presta servicios en la ECERNEP, ECEP-REhIIEC o
EREP-RENIEC, recibir charlas de induccin en materia de Seguridad
de la Informacin.
Se deben desarrollar actividades de capacitacin continua dirigidas a
mantener actualizados los conocimientos del personal respecto al uso
y reserva de la informacin, as como a las polticas y procedimientos
relevantes para sus funciones. Estas actividades de capacitacin as
e.
Seguridad fsica
La ECERhIEP, ECEP-RENIEC y EREP-RENIEC deben implementar
controles de seguridad fsica con la finalidad de prevenir accesos no
autorizados a los ambientes en que se procesa o resguarda informacin
confidencial, as mismo, evitar el dao o perdida de los activos de
informacin crticos que intervienen en el proceso de certificacin digital.
Se deben delimitar los permetros del ambiente en que se procesa o
resguarda la informacin sensible, y se establecern los controles fsicos
de entrada y salida; asimismo, se instalarn controles de seguridad contra
incendios, aniegos y otros, que permitan alertar en casos de emergencia.
Los ambientes sern diseados e implementados adecuadamente para la
seguridad de los recursos que albergan y del personal. Se deber, as
mismo, establecer controles de acceso a los ambientes, al uso de las
llaves de los mismos, y asignar a los responsables respectivos. As mismo,
Poltica de Seguridad
ECERNEP - ECEP - EREP
f.
g.
Poltica de Seguridad
ECERNEP - ECEP - EREP
Informtica, la Gerencia de Registros de Identificacin y a la ECEPRENIEC el efectuar los mantenimientos de los equipos de su competencia.
h.
i.
Planificacin de contingencias
La ECEP-RENIEC y EREP-RENIEC implementarn un Plan de
Contingencias a nivel de servicios, que les permita reaccionar ante una
posible interrupcin en las actividades crticas del proceso de certificacin
digital, y en el tiempo requerido por el RENIEC.
Para establecer el Plan de Contingencias se identificarn procesos crticos
para el servicio prestado por la ECEP-RENIEC y EREP-RENIEC, los
eventos que pueden ocasionar interrupciones en estos procesos, y los
planes o acciones que se debern efectuar para mantener y recuperar las
operaciones, as como el periodo en que estos debern recuperarse.
Se deber establecer pruebas peridicas del Plan de Contingencias en un
lugar alternativo, que permitan evaluar su eficacia y efectuar su
actualizacin.
Corresponde a las Gerencias de las Unidades Orgnicas que conforman la
ECERNEP, ECEP y EREP, implementar las polticas de planificacin de
contingencias.
Respuesta a incidentes
Se deber clasificar, comunicar y atender los incidentes de manera rpida,
eficaz y sistemtica, a fin de garantizar el restablecimiento del servicio
Poltica de Seguridad
ECERNEP - ECEP - EREP
k.
l.
Medios de almacenamiento
Se asegurar la proteccin de los documentos, medios informticos, datos
de entrada o salida y documentacin del proceso de certificacin digital, de
las ocurrencias como dao, modificacin, robo o acceso no autorizado.
La ECEP-REIVIEC y EREP-RENIEC deben establecer el procedimiento
para la administracin de los medios de almacenamiento de informacin, y
Poltica de Seguridad
ECERNEP - ECEP - EREP
m.
Administracin de Claves
La ECERhlEP y ECEP-RENIEC deben asegurar la confidencialidad de
claves criptogrficas e implementarn para su proteccin los controles
requeridos de acuerdo al nivel de seguridad acreditado.
La proteccin de las claves criptogrficas administradas por la ECERNEP,
y las administradas por la ECEP-RENIEC y EREP-RENIEC
correspondientes a entidades finales, se efectuar conforme a lo
establecido en el Plan de Seguridad y Administracin de Claves.
Las gerencias de las unidades orgnicas que conforman la ECERNEP,
EREP-RENIEC y ECEP-RENIEC tiene la responsabilidad de implementar
lo establecido en el Plan de Seguridad y Administracin de Claves.
8. Referencias
La norma ISO/IEC 17799 "lnformation technology - Code of practice for
information security management" y la norma ISO/IEC TR13335 "Information
technology - Guidelines for the management of IT Security".
La norma ISO/IEC 27001 :2005 "lnformation technology - Security techniques
lnformation security managementsystems - Requirements".
La norma ISO/IEC 15408 "lnformation technology - Security techniques Evaluation criteria for IT security".