Subido por Pedro Alcaide

nte inen iso 27799

Anuncio
Quito – Ecuador
NORMA
TÉCNICA
ECUATORIANA
NTE INEN-ISO 27799
TO
Primera edición
2014-01
EX
TR
AC
INFORMÁTICA SANITARIA. GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN EN SANIDAD UTILIZANDO LA NORMA ISO/IEC
27002 (ISO 27799:2008, IDT)
HEALTH INFORMATICS. INFORMATION SECURITY MANAGEMENT IN HEALTH USING
ISO/IEC 27002. (ISO 27799:2008, IDT)
_____________________________________
Correspondencia:
Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional
ISO 27799:2008
DESCRIPTORES: Informática sanitaria, gestión, seguridad, información, sanidad.
ICS: 35.240.80
64
Páginas
© ISO 2008 Todos los derechos reservados
© INEN 2014.
NTE INEN-ISO 27799
2014-01
Prólogo nacional
EX
TR
AC
TO
Esta Norma Técnica Ecuatoriana NTE INEN-ISO 27799 es una traducción idéntica de la Norma
Internacional ISO 27799:2008, “Health informatics. Information security management in health using
ISO/IEC 27002.”, la fuente de la traducción es la norma adoptada por AENOR. El comité nacional
responsable de esta Norma Técnica Ecuatoriana y de su adopción es el Comité Interno del INEN.
2014-0698
© ISO 2008  Todos los derechos reservados
© INEN 2014
i
-5-
ISO 27799:2008
ÍNDICE
Página
PRÓLOGO .............................................................................................................................................. 6
INTRODUCCIÓN ................................................................................................................................... 7
OBJETO Y CAMPO DE APLICACIÓN ............................................................................. 9
Generalidades ......................................................................................................................... 9
Exclusiones del objeto y campo de aplicación ...................................................................... 9
2
NORMAS PARA CONSULTA ........................................................................................... 10
3
3.1
3.2
TÉRMINOS Y DEFINICIONES ........................................................................................ 10
Términos sanitarios .............................................................................................................. 10
Términos de seguridad de la información .......................................................................... 11
4
TÉRMINOS ABREVIADOS............................................................................................... 13
5
5.1
5.2
5.3
5.4
5.5
SEGURIDAD DE LA INFORMACIÓN SANITARIA ..................................................... 13
Metas de la seguridad de la información sanitaria ............................................................ 13
Seguridad de la información dentro del gobierno de la información .............................. 14
Gobierno de la información dentro del gobierno corporativo y clínico ........................... 14
Información sanitaria a proteger ........................................................................................ 15
Amenazas y vulnerabilidades en la seguridad de la información sanitaria..................... 15
6
6.1
6.2
6.3
6.4
6.5
6.6
6.7
PLAN DE ACCIÓN PRÁCTICO PARA IMPLEMENTAR LA NORMA
ISO/IEC 27002 ...................................................................................................................... 16
Taxonomía de las Normas ISO/IEC 27002 e ISO/IEC 27001 ........................................... 16
Compromiso de gestión para implementar la Norma ISO/IEC 27002 ............................ 17
Establecimiento, operación, mantenimiento y mejora del ISMS ..................................... 17
Planificación: establecimiento del ISMS ............................................................................ 18
Hacer: implementación y operación del ISMS .................................................................. 26
Comprobar: realizar seguimiento y revisar el ISMS ........................................................ 27
Acción: mantenimiento y mejora del ISMS ....................................................................... 28
7
7.1
7.2
7.3
7.4
7.5
7.6
7.7
7.8
7.9
7.10
7.11
7.12
IMPLICACIONES SANITARIAS DE LA NORMA ISO/IEC 27002 ............................. 28
Generalidades ....................................................................................................................... 28
Políticas de seguridad de la información ............................................................................ 28
Aspectos organizativos de la seguridad de la información ............................................... 30
Gestión de activos ................................................................................................................. 32
Seguridad de los recursos humanos .................................................................................... 34
Seguridad física y del entorno ............................................................................................. 36
Gestión de comunicaciones y operaciones .......................................................................... 38
Control de accesos ................................................................................................................ 43
Adquisición, desarrollo y mantenimiento de los sistemas de información ...................... 47
Gestión de incidentes de seguridad de la información ...................................................... 48
Aspectos de seguridad de la información en la gestión de la continuidad del negocio ... 49
Cumplimiento ....................................................................................................................... 50
EX
TR
AC
TO
1
1.1
1.2
ANEXO A (Informativo) AMENAZAS A LA SEGURIDAD DE LA INFORMACIÓN
SANITARIA ............................................................................................. 52
ANEXO B (Informativo) TAREAS Y DOCUMENTOS RELACIONADOS CON EL
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN ...................................................................................... 57
ANEXO C (Informativo) BENEFICIOS POTENCIALES Y ATRIBUTOS NECESARIOS
DE LAS HERRAMIENTAS DE SOPORTE ......................................... 61
BIBLIOGRAFÍA ................................................................................................................................... 63
ISO 27799:2008
-6-
PRÓLOGO
ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales
de normalización (organismos miembros de ISO). El trabajo de preparación de las normas internacionales
normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en
una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en
dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también
participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC)
en todas las materias de normalización electrotécnica.
TO
Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las
Directivas ISO/IEC.
AC
La tarea principal de los comités técnicos es preparar normas internacionales. Los proyectos de normas
internacionales adoptados por los comités técnicos se envían a los organismos miembros para votación.
La publicación como norma internacional requiere la aprobación por al menos el 75% de los organismos
miembros que emiten voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos
los derechos de patente.
EX
TR
La Norma ISO 27799 fue preparada por el Comité Técnico ISO/TC 215 Informática sanitaria.
-7-
ISO 27799:2008
INTRODUCCIÓN
TO
Esta norma internacional proporciona orientación a las organizaciones sanitarias y a otros custodios de información
personal sanitaria sobre la mejor forma de proteger la confidencialidad, integridad y disponibilidad de dicha
información a través de la implementación de la Norma ISO/IEC 270021). Específicamente, esta norma internacional
trata sobre las necesidades especiales de gestión de seguridad de la información del sector sanitario y sus entornos
operativos únicos. Mientras que la protección y seguridad de la información personal es importante para todos los
individuos, corporaciones, instituciones y gobiernos, en el sector sanitario existen requisitos especiales que es necesario
cumplir para asegurar la confidencialidad, integridad, trazabilidad y disponibilidad de los datos personales sanitarios. La
mayoría considera este tipo de información entre las más confidenciales de todos los tipos de datos personales. Para
mantener la privacidad de los sujetos de la asistencia es esencial proteger esta confidencialidad. La integridad de la
información sanitaria se debe proteger para asegurar la seguridad del paciente, y un componente importante de tal
protección es asegurar que el ciclo de vida completo de la información es totalmente auditable. La disponibilidad de la
información sanitaria también es crítica para la prestación sanitaria efectiva. Los sistemas de informática sanitaria deben
cumplir demandas únicas para mantenerse operativos ante desastres naturales, fallos de sistema y ataques de denegación
de servicio. Por lo tanto proteger la confidencialidad, integridad y disponibilidad de la información sanitaria requiere
habilidades específicas del sector sanitario.
TR
AC
La necesidad de una gestión de seguridad de TI efectiva se ha convertido en urgente debido al uso creciente de
tecnologías inalámbricas y de Internet en la prestación sanitaria. De no implementarse adecuadamente, estas tecnologías
complejas incrementarán los riesgos para la confidencialidad, integridad y disponibilidad de la información sanitaria.
Sin tener en cuenta la dimensión, ubicación y el modelo de prestación del servicio, todas las organizaciones sanitarias
necesitan tener implantados controles rigurosos para proteger la información sanitaria que se les confía. Aunque
muchos profesionales sanitarios trabajan como proveedores sanitarios independientes o en pequeñas clínicas que
adolecen de los recursos TI dedicados para gestionar la seguridad de la información. Por tanto las organizaciones
sanitarias deben tener orientaciones claras, concisas y especificas de la sanidad sobre la selección e implementación de
tales controles. Estas orientaciones deben ser adaptables al amplio rango de dimensiones, ubicaciones y modelos de la
prestación de servicios que hay en sanidad. Finalmente, con el incremento del intercambio electrónico de datos
personales sanitarios entre profesionales sanitarios, existe un beneficio claro en la adopción de una referencia común
para la gestión de seguridad de la información en sanidad.
EX
La Norma ISO/IEC 27002 ya se está utilizando extensamente en la gestión de seguridad TI en informática sanitaria a
través de directrices nacionales o regionales en Australia, Canadá, Francia, Países Bajos, Nueva Zelanda, Sudáfrica y el
Reino Unido. También está creciendo el interés en otros países. Esta norma internacional (ISO 27799) hace uso de la
experiencia adquirida en estos esfuerzos nacionales en el tratamiento de la seguridad de los datos personales sanitarios y
pretende ser un manual de la Norma ISO/IEC 27002. No pretende suplantar a las Normas Internacionales
ISO/IEC 27002 o ISO/IEC 27001. Más bien, es un complemento a estas normas más genéricas.
Esta norma internacional aplica la Norma ISO/IEC 27002 al dominio sanitario considerando cuidadosamente la
aplicación apropiada de los controles de seguridad para los propósitos de proteger los datos personales sanitarios. En
algunos casos estas consideraciones han conducido a los autores a concluir que la aplicación de ciertos objetivos de
control de la Norma ISO/IEC 27002 es esencial para proteger adecuadamente los datos personales sanitarios. Por lo
tanto esta norma internacional pone restricciones a la aplicación de ciertos controles de seguridad especificados en la
Norma ISO/IEC 27002. Por contra ha llevado a la inclusión en el capítulo 7 de varias declaraciones normativas que
establecen que la aplicación de un control de seguridad dado es obligatoria. Por ejemplo, el apartado 7.2.1 señala que
Las organizaciones que traten información sanitaria, incluyendo los datos personales sanitarios, deben
tener una política de seguridad de la información escrita aprobada por la dirección, publicada, y
comunicada a todos los empleados y partes externas relevantes.
En el dominio sanitario, una organización (un hospital) se puede certificar utilizando la Norma ISO/IEC 27001 sin
requerir una certificación contra, o incluso reconocimiento de, esta norma internacional. Es de esperar, sin embargo, que
como organizaciones sanitarias se esfuercen por mejorar la seguridad de los datos personales sanitarios, de conformidad
con esta norma internacional, más que como una norma estricta para sanidad, también estará ampliamente difundida.
1) Esta directriz es compatible con la versión revisada de la Norma ISO/IEC 27002:2005.
ISO 27799:2008
-8-
Todos los objetivos de control de seguridad descritos en la Norma ISO/IEC 27002 son relevantes para la informática
sanitaria, pero algunos controles requieren explicaciones adicionales con respecto a cómo se pueden utilizar mejor para
proteger la confidencialidad, integridad y disponibilidad de la información sanitaria. También existen requisitos
adicionales específicos del sector sanitario. Esta norma internacional proporciona orientaciones adicionales en un
formato que las personas responsables de la seguridad de la información sanitaria pueden fácilmente entender y adoptar.
Los autores de esta norma internacional no pretenden escribir un manual sobre seguridad informática, ni repetir lo que
ya ha sido escrito en las Normas Internacionales ISO/IEC 27002 o ISO/IEC 27001. Existen muchos requisitos de
seguridad que son comunes a todos los sistemas informáticos, tanto si se usan en servicios financieros, de fabricación,
de control industrial, o de hecho en cualquier otra iniciativa organizada. Se ha realizado un esfuerzo coordinado para
centrarse en los requisitos de seguridad exigidos por los desafíos únicos de entregar información electrónica sanitaria
que de soporte a la provisión de la asistencia.
¿Quién debería leer esta norma internacional?
Beneficios de la utilización de esta norma internacional
TO
Esta norma internacional está dirigida a aquellos responsables de supervisar la seguridad de la información sanitaria y a
las organizaciones sanitarias y otros custodios de información sanitaria que busquen orientación sobre este tema, junto
con los asesores de seguridad, consultores, auditores, proveedores y proveedores de servicios de terceros.
AC
La Norma ISO/IEC 27002 es una norma amplia y compleja y sus indicaciones no están específicamente adaptadas para
la sanidad. Esta norma internacional permite la implementación de la Norma ISO/IEC 27002, dentro de entornos
sanitarios, de una forma consistente y con particular atención a los desafíos únicos que posee el sector de la salud.
Aplicando esta norma, las organizaciones sanitarias ayudan a asegurar que la confidencialidad y la integridad de los
datos a su cuidado se mantienen, que los sistemas de información sanitarios críticos permanecen disponibles, y que se
mantiene el control de la información sanitaria.
TR
La adopción de estas orientaciones por las organizaciones sanitarias tanto dentro como entre jurisdicciones ayudará al
trabajo cooperativo y habilitará la adopción segura de nuevas tecnologías colaborativas en la prestación sanitaria.
Compartir la información de forma segura y protegiendo la privacidad puede mejorar significativamente los resultados
sanitarios.
EX
Como resultado de la implementación de esta guía, las organizaciones sanitarias pueden esperar ver reducido el número
y la severidad de sus incidentes de seguridad, que permitan redirigir a sus recursos en actividades productivas. La
seguridad TI permitirá de ese modo desplegar los recursos sanitarios de forma productiva y costo-efectiva. De hecho,
las investigaciones desarrolladas por el respetado Foro de Seguridad de la Información y por analistas de mercado
muestran que la seguridad global puede tener un efecto positivo en los resultados de las organizaciones de hasta un 2 %.
Finalmente, un enfoque consistente hacia la seguridad TI, comprensible por todos los involucrados en sanidad, mejorará
la moral del personal y aumentará la confianza del público en los sistemas que mantienen datos personales sanitarios.
Cómo utilizar esta norma internacional
A los lectores que todavía no estén familiarizados con la Norma ISO/IEC 27002 se les insta a leer las secciones
preliminares de dicha norma internacional antes de continuar. Los implementadores de esta Norma (ISO/IEC 27799)
deben leer primero minuciosamente la Norma ISO/IEC 27002, ya que el texto a continuación frecuentemente referirá al
lector a secciones relevantes de dicha norma internacional. El presente documento no se puede comprender en su
totalidad sin acceder al texto completo de la Norma ISO/IEC 27002.
Los lectores que todavía no estén familiarizados con la seguridad de la información sanitaria y sus metas, desafíos y
amplio contexto, se beneficiarán de la lectura de una breve introducción, disponible en el capítulo 5.
Los lectores que busquen orientaciones sobre como implementar la Norma ISO/IEC 27002 en un entorno sanitario
hallarán un práctico plan de acción descrito en el capítulo 6. Este capítulo no contiene requisitos obligatorios. En
cambio proporciona indicaciones y orientaciones generales sobre como proceder mejor con la implementación de la
Norma ISO/IEC 27002 en sanidad. El capítulo está organizado alrededor de un ciclo de actividades
(planificar/hacer/comprobar/actuar) descritas en la Norma ISO/IEC 27001 y que, al seguirlas, conducirán a una
implementación robusta de un sistema de gestión de seguridad de la información.
-9-
ISO 27799:2008
Los lectores que busquen una indicación específica sobre los once capítulos de controles de seguridad y las 39
categorías principales de controles de seguridad descritas en la Norma ISO/IEC 27002 la hallarán en el capítulo 7. Este
capítulo conduce al lector a través de cada uno de los once capítulos de controles de seguridad de la Norma
ISO/IEC 27002. Se establecen requisitos mínimos allí donde es apropiado y, en algunos casos, se exponen directrices
normativas sobre la correcta aplicación de ciertos controles de seguridad de la Norma ISO/IEC 27002 para la protección
de la información sanitaria.
Esta norma concluye con tres anexos informativos. El anexo A describe las amenazas generales a la información
sanitaria. El anexo B describe brevemente las tareas y los documentos relacionados con el sistema de gestión de
seguridad de la información. El anexo C analiza las ventajas de las herramientas de soporte como una ayuda para la
implementación. La bibliografía lista las normas relacionadas con la seguridad de la información sanitaria.
1 OBJETO Y CAMPO DE APLICACIÓN
1.1 Generalidades
TO
Esta norma define directrices para dar soporte a la interpretación e implementación en informática sanitaria de la Norma
ISO/IEC 27002 y es un manual de dicha norma2).
AC
Esta norma internacional especifica un conjunto detallado de controles para gestionar la seguridad de la información
sanitaria y proporciona directrices de buenas prácticas en seguridad de la información sanitaria. Con la implementación
de esta norma internacional, las organizaciones sanitarias y otros custodios de información sanitaria serán capaces de
asegurar un requisito mínimo de nivel de seguridad que es apropiado a las circunstancias de su organización y que
mantendrá la confidencialidad, integridad y disponibilidad de los datos personales sanitarios.
TR
Esta norma internacional se aplica a la información sanitaria en todos sus aspectos, cualquiera que sea su formato
(palabras y números, grabaciones de sonido, dibujos, imágenes y videos médicos), cualesquiera que sean los medios
para su almacenamiento (impreso o escrito en papel o almacenamiento electrónico) y cualesquiera que sean los medios
utilizados para transmitirla (en mano, vía fax, a través de redes de ordenadores o por correo), dado que la información
debe estar apropiadamente protegida en todo momento.
EX
Esta norma internacional y la Norma ISO/IEC 27002 unidas definen qué se requiere en términos de seguridad de la
información en sanidad; y no definen como se han de cumplir esos requisitos. Eso es tanto como decir, con la mayor
extensión posible, que esta norma internacional es tecnológicamente neutral. La neutralidad con respecto a las
tecnologías de implementación es una característica importante. Las tecnologías de seguridad todavía están
experimentando un rápido desarrollo y el ritmo de ese cambio se mide ahora en meses más que en años. Por el
contrario, aunque sujetas a una revisión periódica, se pretende que las normas en general permanezcan válidas durante
años. Igualmente importante, la neutralidad tecnológica deja libertad a los proveedores y empresas de servicios para
sugerir tecnologías nuevas o en desarrollo que cumplan los requisitos necesarios como describe esta norma.
Tal como se advierte en la introducción, la familiaridad con la norma ISO/IEC 27002 es indispensable para la
comprensión de esta norma internacional.
1.2 Exclusiones del objeto y campo de aplicación
Las siguientes áreas de seguridad de la información están fuera del campo de aplicación de esta norma internacional:
a) las metodologías y las pruebas estadísticas para la disociación efectiva de los datos personales sanitarios;
b) las metodologías para la generación de seudónimos de los datos personales sanitarios (véase la Referencia
bibliográfica [10] para un ejemplo de una Especificación Técnica ISO que trata específicamente este tema);
c) calidad de servicio de la red y métodos para medir la disponibilidad de las redes utilizadas para la informática
sanitaria;
d) calidad de los datos (diferente de la integridad de los datos).
2) Estas directrices son compatibles con la versión revisada de la Norma ISO/IEC 27002:2005.
INFORMACIÓN COMPLEMENTARIA
Documento:
NTE INEN-ISO
27799
TÍTULO: INFORMÁTICA SANITARIA. GESTIÓN DE LA Código: ICS
SEGURIDAD DE LA INFORMACIÓN EN SANIDAD LA NORMA 35.240.80
ISO/IEC 27002
ORIGINAL:
Fecha de iniciación del estudio:
2013-11-25
REVISIÓN:
La Subsecretaría de la Calidad del Ministerio de Industrias
y Productividad aprobó este proyecto de norma
Oficialización con el Carácter de
por Resolución No.
publicado en el Registro Oficial No.
Fecha de iniciación del estudio:
Fechas de consulta pública: 2013-11-27 al 2013-12-12
Comité Interno del INEN:
Fecha de iniciación: 2013-12-13
Integrantes del Comité Interno:
TO
Fecha de aprobación: 2013-12-13
NOMBRES:
DIRECCION EJECUTIVA
COORDINACIÓN GENERAL TÉCNICO
DIRECCIÓN DE NORMALIZACIÓN
DIRECCIÓN DE VALIDACIÓN Y
CERTIFICACIÓN
DIRECCIÓN DE METROLOGÍA
DIRECCION DE REGLAMENTACIÓN
DIRECCIÓN DE NORMALIZACIÓN
AC
Eco. Agustín Ortiz (Presidente)
Ing. José Luis Pérez
Ing. Paola Castillo
Ing. Tatiana Briones
INSTITUCIÓN REPRESENTADA:
EX
TR
Ing. Laura González
Ing. Bolívar Cano
Ing. Gonzalo Arteaga (Secretaría Técnica)
Otros trámites: Compromiso Presidencial N° 20549 del 08 de junio del 2013, para el fortalecimiento
de normas del Instituto Ecuatoriano de Normalización – INEN
La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de
norma
Oficializada como: Voluntaria
Registro Oficial No. 158 de 2014-01-09
Por Resolución No. 13532 de 2013-12-20
TO
AC
EX
TR
Instituto Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre
Casilla 17-01-3999 - Telfs: (593 2)2 501885 al 2 501891 - Fax: (593 2) 2 567815
Dirección Ejecutiva: E-Mail: [email protected]
Dirección de Normalización: E-Mail: [email protected]
Regional Guayas: E-Mail: [email protected]
Regional Azuay: E-Mail: [email protected]
Regional Chimborazo: E-Mail: [email protected]
URL:www.inen.gob.ec
Descargar