Syllabus of SAT PHYSICS, CHEMISTRY AND BIOLOGY compiledFull description
Full description
SAT 2 Physics RevisionFull description
Sat 2 Biology notes from SparknotesFull description
Descripción: School of Sacophone
Flute book for learning flute.
SAT docFull description
rru & rbs
UCTI
Descripción: Presentacion del mmpi 2 Revisado, test para medir la personalidad.
Descripción: empresa ficti
metodo tubaFull description
Sistema de Gestión de Seguridad de la Información (SGSI) – SAT SAT Presentador: Frano Capeta M.
Agenda •
¿Por qué un SGSI?
•
Objetivos
• Alcance del SGSI •
Metodología de Implementación
•
Etapas del Servicio
•
Conclusiones
¿Por qué un SGSI? 1.- Publicación: 22 de Agosto del 2007 RM N° 246-2007-PCM Uso obligatorio de la NTP-ISO/IEC 17799:2007 EDI. 2.- Publicación: 23 de Mayo del 2012 RM N° 129-2012-PCM La implementación de los Sistemas de Seguridad de la Información en las entidades integrantes del Sistema Nacional de Informática deberá empezar con la aplicación de la “NTP-ISO/IEC 27001:2008 EDI”, cuyos controles deberán ser implementados de acuerdo a las recomendaciones de la “NTP-ISO/IEC 17799:2007 EDI. 2ª. Edición”, dispuesto por la RM N° 246-2007-PCM. 3.-Se logra proteger los procesos del negocio mediante el análisis y gestión de riesgos, mejorando y manteniendo la seguridad de la información empresarial y garantizando una continuidad de negocio, con lo cual los ciudadanos percibirán a la organización como una empresa seria, responsable y comprometida con la mejora de sus procesos y servicios. .
Objetivos • Implementar un Sistema de Gestión de Seguridad
de la Información (SGSI) en aplicación de lo dispuesto por la “NTP-ISO/IEC 27001:2008 EDI”, e implementando las recomendaciones de la “NTPISO/IEC 17799:2007 EDI. 2da. Edición”. • Implementar y probar el Plan de Continuidad de los
servicios de Tecnología de la Información.
Alcance del SGSI El alcance comprende los activos de información de los siguientes procesos: • Gestión de la Plataforma tecnológica, subproceso del
proceso de Gestión de Tecnologías de Información. • Centro de Llamadas, subproceso del proceso Orientación.
de
• Defini r el alcance del s is tema de
g es tión y la política de s eg uri dad. Metodología de implementación Inventariar, valorar y c las ifi car los •
activos de información.
PLAN • Mejorar y mantener el SGSI. • Implementar las acciones de mejora.
• E valuar los riesg os. • Generar planes de mitigación.
• Implementar y utilizar el SGSI. • Implementar el Plan de Mitigación de
Riesgos. MANUAL DE SEGURIDAD
PROCEDIMIENTOS
ACT
INSTRUCCIONES / CHECKLISTS / FORMULARIOS
REGISTROS
• Monitorear el cumplimiento de las Políticas
y Procedimientos. • Revisar los eventos e incidentes de seguridad de la información reportados. • Auditar el SGSI. • Medir la efectividad de los controles implementados.
CHECK
• Implementar los controles. • Concientizar sobre la importancia del
SGSI.
DO
Etapas del Servicio Etapa 1. Organización y Planificación 1. Actividades Preliminares 1.1. Revisión de Información Relevante del SAT 1.2. Entendimiento del Negocio 2.
Análisis de Brechas. •
Se usarán cuestionarios diseñados específicamente para el SAT, los cuales estarán basados en la ISO 27001:2005, los cuales serán completados por los usuarios seleccionados en reuniones de trabajo..
•
Modelo de cuestionario, el siguiente formato se usara para realizar el relevamiento de datos durante la realización del análisis de brechas:
•
Luego de realizar el análisis de la información se obtendrá la siguiente información:
• Al
consolidar los resultados obtenidos se tiene los siguientes resultados que permiten definir el nivel de cumplimiento de la norma por cada control y por cada dominio:
Etapa 2. Establecimiento del SGSI 1.
Análisis De Riesgo. Las principales actividades son: • Identificación de los activos que soportan los procesos definidos en el alcance y sus propietarios. • Clasificación y valoración de los activos de información. • Identificar las amenazas y las vulnerabilidades que afectan a los activos. • Determinar la Probabilidad e Impacto de Ocurrencia de Amenazas. • Calcular los niveles de riesgo. • Determinar si el riesgo es aceptable o requiere tratamiento utilizando el criterio de aceptación del riesgo establecido.
Estas actividades se realizan con el uso de los siguientes formatos: •
Matriz de Tasación de A ctivos Ítem
•
Activo
Detalle del Activo
Propietario del Activo
Tipo de Activo
Tipo de Información
Tasación Activo
Matriz de R ies g os Código Riesgo
•
Código del Activo
Nombre del Riesgo
Amenaza
Vulnerabilidad
Activo Afectado
Informe de A nális is de R iesg os
C
I
D
Valor CID
Impacto
Probabilida d
Nivel Riesgo
•
Mapa de R ies g os
O T C A P M I
o c i f ó r t s a t a C
Alto
Extremo
Extremo
Extremo
Extremo
o v i t a c i f i n g i S
Alto
Alto
Extremo
Extremo
Extremo
o d a r e d o M
Mediano
Mediano
Alto
Alto
Extremo
r o n e M
Bajo
Bajo
Mediano
Alto
Alto
i t a c i f i n g i S o N
Bajo
Bajo
Bajo
Mediano
Alto
Muy Baja
Baja
Moderada
Alta
Muy Alta
PROBABILIDAD
2. Declaración de Aplicabilidad.
3. Políticas de Seguridad de la Información.
4. Análisis de Impacto (BIA) – Plan de Continuidad. •
Se relevará información a través del cuestionario de análisis de impacto y las
entrevistas con las Gerencias y/ó representantes de cada área. • Se validarán procesos, funciones, recursos y tiempos de recuperación críticos del negocio. • Se determinar la criticidad de recursos de información.
5. Evaluación y Calculo de Riesgo – Plan de Continuidad. • • • •
Identificación de amenazas y vulnerabilidades. Revisión de controles actuales y mitigar el riesgo. Calcular el nivel de exposición al riesgo. Determinar los escenarios de amenazas.
Etapa 3. Implementación del SGSI
1. Procedimientos de Seguridad de la Información. 2. Desarrollo de Talleres de Concientización al personal del SAT.
3. Desarrollo de Estrategia del Plan de Continuidad • • •
Identificar requerimientos de recuperación. Identificar opciones de recuperación. Evaluar disponibilidad de opciones de recuperación.
4. Desarrollo del Plan de Continuidad Contiene los procedimientos de recuperación y lineamientos que el SAT debe seguir durante una situación de crisis. 5. Pruebas del Plan de Continuidad Administración de ejercicios mediante los cuales se validen la estrategia, las ventanas de recuperación, los procedimientos y el entrenamiento del personal.
Conclusiones
• SGSI estará integrado al Sistema de Gestión de Calidad ISO 9001 del SAT. • Alineamiento a las mejores prácticas de seguridad de la información (ISO
27001 / ISO 27005). • Cumplimiento de las Resoluciones Ministeriales N ° 246-2007-PCM y Nº 1292012-PCM. • Evaluación de Riesgos en base a una Metodología. • Reforzamiento de la cultura de Seguridad de la Información dentro de las diversas áreas del SAT.