Escolar Documentos
Profissional Documentos
Cultura Documentos
_____________________________________
Correspondencia:
Esta norma nacional es una traducción idéntica de la Norma Internacional ISO/IEC 27033-1:2009
Prólogo nacional
Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27033-1:2014, es una traducción idéntica a
la Norma Internacional ISO/IEC 27033-1:2009 “Information technology — Security techniques —
Network security — Part 1: Overview and concepts”, la traducción ha sido desarrollada por el
Ministerio de Telecomunicaciones y de la Sociedad de la Información MINTEL.
Dentro del texto de esta norma se han hecho los siguientes cambios editoriales:
a) Las palabras “esta Norma Internacional” han sido reemplazadas por “esta norma nacional”.
Para el propósito de esta Norma Técnica Ecuatoriana se indica que para el documento normativo
internacional de referencia, que se menciona en la Norma Internacional ISO/IEC 27033-1, existen
los siguientes documentos normativos nacionales correspondientes.
ISO/IEC TR 7498 (all parts), Information ISO/IEC TR 18044:2004 (todas las partes),
technology — Open Systems Interconnection Tecnología de información – Interconexión
— Basic Reference Model de Sistemas Abiertos – Modelo Básico de
Referencia.
Índice
Prólogo nacional .............................................................................................................................. ii
Prólogo ............................................................................................................................................. iv
Introducción ..................................................................................................................................... vi
1 Objeto y campo de aplicación .................................................... ¡Error! Marcador no definido.
2 Referencias normativas .............................................................. ¡Error! Marcador no definido.
3 Términos y definiciones .............................................................. ¡Error! Marcador no definido.
4 Abreviaturas ................................................................................. ¡Error! Marcador no definido.
5 Estructura ................................................................................................................................. 9
6 Descripción general ............................................................................................................... 11
6.1 Antecedentes .......................................................................................................................... 11
6.2 Planeación y gestión de la seguridad de red ...................................................................... 12
7 Identificación de riesgos y preparación para identificar los controles de seguridad ..... 14
7.1 Introducción ............................................................................................................................ 14
7.2 Información sobre la red actual o planeada ........................................................................ 15
7.3 Riesgos de seguridad de la información y áreas potenciales de control ........................ 20
8 Controles de Respaldo .......................................................................................................... 23
8.1 Introducción ............................................................................................................................ 23
8.2 Gestión de la seguridad de la red ......................................................................................... 23
8.3 Gestión de las Vulnerabilidades Técnicas .......................................................................... 27
8.4 Identificación y autenticación ............................................................................................... 28
8.5 Registro de los Resultados de Auditoría y Monitoreo de la Red ...................................... 29
8.6 Detección y prevención de intrusos .................................................................................... 30
8.7 Protección contra el código malicioso ................................................................................ 31
8.8 Servicios Basados en Encriptación ..................................................................................... 32
8.9 Gestión de la continuidad de negocios ............................................................................... 33
9 Directrices para el Diseño e Implementación de Seguridad de Red ................................ 34
9.1 Antecedentes .......................................................................................................................... 34
9.2 Arquitectura/diseño técnico de la seguridad de red .......................................................... 34
10 Escenarios de referencia de red - Riesgos, diseño, técnicas y control de problemas .. 36
10.1 Introducción ............................................................................................................................ 36
10.2 Servicios de Acceso a Internet para Empleados ................................................................ 36
10.3 Mejora de servicios de colaboración ................................................................................... 37
10.4 Servicios de empresa a empresa ......................................................................................... 37
10.5 Servicios de Empresa a Cliente ............................................................................................ 37
10.6 Servicios subcontratados ..................................................................................................... 38
10.7 Segmentación de red ............................................................................................................. 38
10.8 Comunicaciones Móviles ...................................................................................................... 38
10.9 Soporte de red para los usuarios viajeros .......................................................................... 39
10.10Soporte de red para el hogar y pequeñas oficinas comerciales ...................................... 39
11 Temas de 'tecnología ' - riesgos, técnicas de diseño y problemas de control ............... 39
12 Desarrollar y Probar la Solución de Seguridad .................................................................. 40
13 Operar la Solución de Seguridad ......................................................................................... 41
14 Monitoreo y Revisión de la Implementación de la Solución .............................................. 41
Anexo A (informativo) Temas de "tecnología" - riesgos, técnicas de diseño y problemas de
control ............................................................................................................................................. 42
Anexo B (informativo) Referencias cruzadas entre las normas ISO/IEC 27001 e ISO/IEC 27002
sobre controles de seguridad de redes relacionados y capítulos de esta parte de ISO/IEC
27033 .............................................................................................................................................. 70
Anexo C (informativo) Ejemplo de plantilla para un documento de procedimientos operativos
de seguridad ................................................................................................................................... 75
Bibliografía ...................................................................................................................................... 78
Prólogo
Las Normas Internacionales son redactadas de acuerdo con las reglas dadas en las Directivas de
ISO/IEC, Parte 2.
La principal tarea del comité técnico conjunto es preparar Normas Internacionales. Los proyectos
de las Normas Internacionales adoptados por el comité técnico conjunto son distribuidos a los
organismos nacionales para su votación. Su publicación como una Norma Internacional requiere la
aprobación de por lo menos un 75% de los organismos nacionales con derecho a voto.
Se llama la atención sobre la posibilidad de que algunos elementos de este documento puedan ser
sujetos a derechos de patentes. ISO e IEC no deben ser responsables de la identificación de
alguno o de todos los derechos de patentes antes señalados.
ISO/IEC 27033-1 fue preparada por el Comité Técnico ISO/IEC JTC 1, Tecnología de la
Información, Subcomité SC 7, Técnicas de Seguridad Informática.
ISO/IEC 27033 contiene las siguientes partes bajo el título general de Tecnología de la
información – Técnicas de seguridad – Seguridad de la red de TI:
- asegurar las comunicaciones entre redes que utilizan puertas de enlace de seguridad,
- asegurar las redes privadas virtuales,
- Convergencia IP, y
- redes inalámbricas
Introducción
- dentro de la organización,
Además, con la rápida evolución de la tecnología de red a disposición del público (en particular,
con el Internet) ofreciendo importantes oportunidades de negocio, las organizaciones están
utilizando cada vez más el comercio electrónico a escala global y prestando servicios públicos en
línea. Las oportunidades incluyen un menor costo en la comunicación de datos, el uso del Internet
simplemente como un medio de conexión global, a través de servicios más sofisticados prestados
por los proveedores de servicios de Internet (ISP). Esto puede significar el uso local de puntos de
conexión a relativamente un bajo costo en cada extremo de un circuito para el comercio
electrónico en línea y sistemas de entrega de servicios en línea a gran escala mediante la
utilización de aplicaciones y servicios basados en la Web. Además, la nueva tecnología
(incluyendo la integración de datos, voz y vídeo) aumenta las oportunidades de trabajo a distancia
(también conocido como “teletrabajo” o “telecomunicación”) que permiten al personal operar lejos
de su base de trabajo madre durante períodos de tiempo significativos. Las personas pueden
mantenerse en contacto a través del uso de las instalaciones remotas para acceder a la
organización y a redes comunitarias, y a la información y los servicios de soporte a los negocios
pertinentes.
Sin embargo, mientras que este entorno proporciona ventajas comerciales importantes, existen
nuevos riesgos de seguridad a enfrentar. Según las organizaciones se basan en gran medida en el
uso de la información y redes asociadas para llevar a cabo sus negocios, la pérdida de
confidencialidad, integridad y disponibilidad de la información y de los servicios podría tener
impactos adversos significativos en las operaciones comerciales. Por lo tanto, existe un requisito
importante para proteger adecuadamente las redes y sistemas de información, y la información
correspondientes. En otras palabras: la implementación y mantenimiento de una seguridad de red
El propósito de ISO/IEC 27033 es proporcionar una guía detallada sobre los aspectos de gestión,
operación y uso de las redes de sistemas de información y sus interconexiones. Las personas
dentro de una organización que son responsables de la seguridad de la información en general, y
de la seguridad de la red en particular, deben ser capaces de adaptar el material en esta norma
nacional para satisfacer sus necesidades específicas. Los principales objetivos son los siguientes.
- ISO/IEC 27033-3, Riesgos, Técnicas de diseño y los problemas de control para los
escenarios de red de referencia, para definir los riesgos específicos, las técnicas de diseño
y los problemas de control asociados con los escenarios típicos de red. Es relevante para
todo el personal que participe en la planificación, diseño e implementación de los aspectos
arquitectónicos de la seguridad de la red (por ejemplo, los arquitectos y diseñadores de red,
los administradores de red, y los agentes de seguridad de la red).
Se propone que las futuras partes de ISO/IEC 27033 aborden los siguientes temas.
- ISO/IEC 27033-4, Riesgos, técnicas de diseño y problemas de control para asegurar las
comunicaciones entre redes que utilizan puertas de enlace de protección, para determinar
los riesgos específicos, técnicas de diseño y problemas de control para asegurar el flujo de
información entre redes que utilizan puertas de enlace de seguridad. Será relevante para
todo el personal que participa en la planificación detallada, el diseño y la implementación de
puertas de enlace de seguridad (por ejemplo, los arquitectos y diseñadores de red, los
administradores de red, y los agentes de seguridad de la red).
- ISO/IEC 27033-6, Convergencia IP, para definir los riesgos específicos, técnicas de diseño y
problemas de control para asegurar las redes de convergencia IP, es decir, aquellas con la
convergencia de datos, voz y video. Es aplicable para todo el personal que participe en la
planificación detallada, el diseño y la implementación de la seguridad de redes de
convergencia IP (por ejemplo, los arquitectos y diseñadores de red, los administradores de
red, y los agentes de seguridad de la red).
- ISO/IEC 27033-7, Inalámbrica, para definir los riesgos específicos, técnicas de diseño y
problemas de control de seguridad de las redes inalámbricas y de radio. Es aplicable para
todo el personal que participe en la planificación detallada, el diseño y la implementación de
la seguridad de redes inalámbricas y de radio (por ejemplo, los arquitectos y diseñadores de
red, los administradores de red, y los agentes de seguridad de la red).
Se enfatiza que ISO/IEC 27033 proporciona una guía más detallada sobre la aplicación de los
controles de seguridad de red que se describen en un nivel básico estandarizado en ISO/IEC
27002.
Si hubiere otras partes en el futuro, éstas serán relevantes para todo el personal que participe en
la planificación detallada, el diseño y la implementación de los aspectos de la red cubiertos por
estas partes (por ejemplo, los arquitectos y diseñadores de red, los administradores de red, y los
agentes de seguridad de red).
Cabe señalar que esta norma nacional no es una referencia o un documento normativo de los
requisitos reglamentarios y legislativos de seguridad. Aunque se hace hincapié en la importancia
de estas influencias, no puede identificarlas específicamente, ya que dependen del país, del tipo
de negocio, etc.
A menos que se indique lo contrario, a lo largo de esta parte de ISO/IEC 27033 la guía a la que se
hace referencia es aplicable a las redes actuales o planificadas, pero sólo se hará referencia a
ellas como “redes” o “la red”.
Parte 1:
Generalidades y conceptos
Esta parte de ISO/IEC 27033 proporciona una descripción de la seguridad de la red y las
definiciones relacionadas. Define y describe los conceptos asociados, y proporciona orientación
sobre la gestión de la seguridad de la red. (La seguridad de la red se aplica a la seguridad de los
dispositivos, la seguridad de las actividades de gestión relacionadas con los dispositivos,
aplicaciones/servicios y los usuarios finales, además de la seguridad de la información que se
transfiere a través de los enlaces de comunicación).
Tiene aplicación para cualquier persona involucrada que posee, opera o utiliza una red. Esto
incluye a los altos directivos y otros administradores no técnicos o usuarios, además de los
gerentes y administradores que tienen responsabilidades específicas para la seguridad de la
información o seguridad de la red, el funcionamiento de la red, o que son responsables del
programa general de seguridad de la organización y del desarrollo de políticas de seguridad.
También es útil para cualquier persona involucrada en la planificación, diseño e implementación de
los aspectos arquitectónicos de la seguridad de red.
- ofrece una descripción de los controles que soportan a las arquitecturas de red de seguridad
técnica y a los controles técnicos relacionados, así como los controles no técnicos y los
controles técnicos que son aplicables no sólo a las redes,
- brevemente trata las cuestiones relacionadas con la aplicación y operación de los controles
de seguridad de la red, y el continuo seguimiento y revisión de su implementación.
En general, se ofrece una descripción de la serie ISO/IEC 27033 y una “hoja de ruta” para todas
las demás partes.
2 Referencias normativas
ISO/IEC 7498 (todas las partes), Tecnología de la información - Interconexión de sistemas abiertos
- Modelo de referencia básico
ORIGINAL: REVISIÓN:
Fecha de iniciación del estudio: La Subsecretaría de la Calidad del Ministerio de Industrias
y Productividad aprobó este proyecto de norma
Oficialización con el Carácter de Obligatorio
por Resolución No.
publicado en el Registro Oficial No.
Fecha de iniciación del estudio:
Otros trámites: Esta NTE INEN-ISO XX:XX (XXXX), reemplaza a la NTE INEN XX:XX (XX)