las microformas en la gestión del documento electrónicodel ... · de archivo de documentos e...

Nuevas tecnologías aplicadas aNuevas tecnologías aplicadas a la gestión documental

Las microformas en la gestión del documento electrónicodel documento electrónico

Base legal y técnica

Miguel Véliz GranadosSecretario Técnico del Comité Especializado de

li ió d i f di i lnormalización de microformas digitalesMayo 2010

1

OBJETIVO

Conocer los requisitos establecidos en lasqnormas legales y técnicas para la gestión dedocumentos electrónicos en laimplementación de líneas de producción demicroformas orientadas a obtener valor legalg

2

PROLOGO

E l P ú l d l t l í d d t iEn el Perú el uso de las tecnologías de avanzada en materiade archivo de documentos e información está regulada por unconjunto de normas legales orientadas a:

Otorgar facilidades para elaborar microformas tanto por procesos convencionales como informáticos en computadoras

Otorgar reconocimiento de valor legal a los archivos conservados mediante microformas que permitan ahorro de espacio y costos a las organizaciones, colaborando a su eficiencia y productividad.g y p

Aprovechar los adelantos de la tecnología en beneficio de actividades empresariales, alentando las inversiones y mejorando sus

3

rendimientos.

LOS ARCHIVOS DE LAS ORGANIZACIONES

Constituyen el legajo de la gestióndocumentaldocumental.Son objeto de consulta interna yexterna.Ti l hi tó i l d tiTienen valor histórico, valor de activoy/o patrimonial para la organización.Deben ser conservados por periodos

t bl id l i ióestablecidos por la organización o pororden legal.

4

La gestión de la documentación y la información en lasorganizaciones

Adecuado soporte para la gestión ytoma de decisionesI t l d ti id d lIncrementa la productividad y lacompetitividadEs dependiente de la tecnología de lainformación y las comunicacionesinformación y las comunicacionesTiene aptitud para el rápido acceso ydifusión a distanciaFacilita el ingreso al contexto de laginternacionalización de losintercambios comerciales.

5

Normas legales y reglamentarias que enmarcan laNormas legales y reglamentarias que enmarcan laelaboración de microformas (MFS)

DL Nº 681 - 14 de octubre de 1991Regula el uso de tecnologías de avanzada para el archivo de documentos

DS Nº 009-92-JUS – 27 de junio 1992jReglamento del DL Nº 681

Ley Nº 26612 - 21 de mayo de 1996Modificatoria del DL Nº 681

DL N° 827 05 d j i d 1996DL N° 827 – 05 de junio de 1996Amplían alcances del DL Nº 681 a las entidades públicas a fin de modernizar elsistema de archivos oficiales

Resolución Nº 070-97/INDECOPI-CRT – 16 de enero19981998

Aprueban el reglamento para la certificación de la idoneidad técnica del sistema deproducción y almacenamiento de microformas

DS N° 002-98-ITINCI – 21 de febrero de 1998A b i it di i t t i t d tifi d d id id d

6

Aprueban requisitos y procedimiento para otorgamiento de certificado de idoneidadtécnica para la confección de microformas

Normas legales y reglamentarias que enmarcan laNormas legales y reglamentarias que enmarcan laelaboración de microformas (MFS)

DS Nº 001-2000-JUS - 26 de marzo de 2000Reglamentan la ampliación del alcance del DL Nº 827 y se establecen requisitos paraReglamentan la ampliación del alcance del DL Nº 827 y se establecen requisitos parala formación de los representantes de la fe pública

Ley N° 27269 – 28 de mayo de 2000Ley de Firmas y Certificados Digitales

RM N° 169-2000-JUS – 24 de junio de 2000RM N 169 2000 JUS 24 de junio de 2000Reglamento para supervisión de eventos de capacitación de fedatarios juramentadoscon especialidad en informática

DL N° 1030 - 24 de junio de 2008Ley de los sistemas nacionales de normalización y acreditación- SNA

DS N° 052 2008 PCM 19 d j li 2008DS N° 052-2008-PCM – 19 de julio 2008Reglamento de la Ley de Firmas y Certificados Digitales

7

Normas legales y reglamentarias que enmarcan la

DS N° 001 98 TR 22 d d 1998

Normas legales y reglamentarias que enmarcan laelaboración de microformas (MFS)

DS N° 001-98-TR - 22 de enero de 1998Normas reglamentarias relativas a obligación de los empleadores de llevar Planillasde Pago

Ley Nº 27291 - 24 de junio de 2000L difi l Códi Ci il iti d l d l di l t ó i lLey que modifica el Código Civil permitiendo el uso de los medios electrónicos para lacomunicación de la manifestación de voluntad y la utilización de la firma electrónica

Ley N° 27419 – 06 de febrero 2001Ley sobre notificación por correo electrónico

Ley N° 27658 30 de enero de 2002Ley N° 27658 – 30 de enero de 2002Ley marco de modernización de la gestión del estado

Ley N° 28186 - 05 de marzo de 2004Ley que establece los alcances del DL N° 681 – Conservación de documentos concontenido tributariocontenido tributario

Ley N° 27323 - 22 de julio de 2000Ley que establece funciones de la CONASEV y la SBS para autorizar e inscribir aempresas e instituciones que recurren a servicios de microarchivos cuando estas nocuentan con un microarchivo propio

8

Definiciones de orden legalArt. 5° Ley 26612 (Sustitúyase el Art. 234º del D. Leg. Nº 768 ...)

1) MICROFORMA: Imagen reducida y condensada, o compactada, odi it li d d d t t b d didigitalizada de un documento que se encuentra grabado en un mediofísico técnicamente idóneo, que le sirve de soporte material portador,mediante un proceso fotoquímico, informático, electrónico,electromagnético o que emplee alguna tecnología de efectoselectromagnético, o que emplee alguna tecnología de efectosequivalentes, de modo que tal imagen se conserve y pueda ser vista yleída con la ayuda de equipos visores o métodos análogos; y pueda serreproducida en copias impresas esencialmente iguales al documentoreproducida en copias impresas, esencialmente iguales al documentooriginal.

Están incluidos en el concepto de microforma tanto los documentosEstán incluidos en el concepto de microforma tanto los documentosproducidos por procedimientos informáticos o telemáticos encomputadoras o medios similares como los producidos porprocedimientos técnicos de microfilmación siempre que cumplan los

9

procedimientos técnicos de microfilmación siempre que cumplan losrequisitos establecidos en la presente ley.


2) MICRODUPLICADO: Reproducción exacta del elemento original quecontiene microformas efectuada sobre un soporte material idóneocontiene microformas, efectuada sobre un soporte material idóneosimilar, en el mismo o similar formato, configuración y capacidad dealmacenamiento; y con efectos equivalentes.

3) MICROGRABACIÓN: Proceso técnico por el cual se obtienen lasmicroformas, a partir de los documentos originales en papel o materialsimilar; o bien directamente de los medios o soportessimilar; o bien directamente de los medios o soporteselectromagnéticos, digitales u otros en que se almacena informaciónproducida por computador u ordenador.

10


4) MICROARCHIVO: Conjuntoordenado, codificado y sistematizadode los elementos materiales de soporteo almacenamiento portadores demicroformas grabados, provisto dei d í di di dsistemas de índice y medios de

recuperación que permiten encontrar,examinar visualmente y reproducir encopias exactas los documentoscopias exactas los documentosalmacenados como microformas.

11


Son documentos los escritos públicos oprivados, los impresos, fotocopias, facsímil ofax, planos, cuadros, dibujos, fotografías,

di fí i i áfiradiografías, cintas cinematográficas,microformas tanto en la modalidad demicrofilm como en la modalidad de soportesinformáticos y otras reproducciones de audioinformáticos y otras reproducciones de audioo video, la telemática en general y demásobjetos que recojan, contengan orepresenten algún hecho o actividadrepresenten algún hecho, o actividadhumana o su resultado.

12

Definiciones de carácter técnico

Normalización: Actividad encaminada a establecer respecto aproblemas reales o potenciales disposiciones destinadas a unproblemas reales o potenciales, disposiciones destinadas a unuso común repetido con el fin de conseguir un grado óptimo deorden en un contexto dado.NotasNotas

1. En particular, esta actividad consiste en la elaboración, la difusióny la aplicación de normas

2 L li ió f i t t b fi i d bid2. La normalización ofrece importantes beneficios, debidoprincipalmente a una mejor adaptación de los productos,procesos y los servicios a los fines a que se destinan, laprevención de los obstáculos al comercio y la facilitación de la

13

p ycooperación tecnológica.

Definiciones de carácter técnico

Norma: Documento establecido por consenso yaprobado por un organismo reconocido queaprobado por un organismo reconocido, queestablece, para un uso común y repetido, reglas,directrices o características para ciertas actividades osus resultados, con el fin de conseguir un gradosus resultados, con el fin de conseguir un gradoóptimo de orden de un contexto dado.Nota

Las normas deben basarse en los resultadosLas normas deben basarse en los resultadosconsolidados por la ciencia, la técnica y la experiencia yestar dirigidas a la consecución del óptimo beneficiopara la comunidad.

14

La Norma Técnica PeruanaLa Norma Técnica Peruana 392.030-2:2005

R 0074 2005/INDECOPI*CRT Publicada el 2005 09 22R.0074-2005/INDECOPI CRT. Publicada el 2005-09-22

15

ASPECTOS INTERNACIONALES QUE ORIENTAN LA ELABORACIÓN DE LA NORMA

Adoptar las Normas Internacionales ISO/IECaplicables a las materias, procesos y sistemasque se aplican en micrograbación firmasque se aplican en micrograbación, firmasdigitales, intermediación digital y seguridadinformática en concordancia con elreconocimiento de las normas internacionales ylos sistemas internacionales de evaluación de lalos sistemas internacionales de evaluación de laconformidad para aumentar la eficacia de laproducción y facilitar el comercio internacional

WTOOMCOMC

16

1 OBJETO

Establecer los requisitos que debencumplir las organizaciones que operansistemas de producción de microformasen medios de archivo electrónico, yadministran su almacenamiento encondiciones de seguridad yconservación.

17

2 REFERENCIAS NORMATIVAS

Normas Técnicas PeruanasNTP-ISO 3334:1997 MICROGRAFÍA. Mira de Resolución ISO No 2.Descripción y uso.NTP-ISO 6196-5:1997 MICROGRAFÍA. Vocabulario. Parte 5: Calidad deimágenes, legibilidad, inspección.NTP ISO/IEC 17799-2004 EDI. Tecnología de la Información. Código deBuenas Prácticas para la gestión de la seguridad de la información.

18


Normas Técnicas Internacionales

ISO 10196-2003 Document imaging applications - Recommendations forth ti f i i l d tthe creation of original documentsISO 18927:2002 Imaging materials - Recordable compact disc systems -Method for estimating the life expectancy based on the effects of temperatureand relative humidityand relative humidity.ISO 7498 - 2:1989 Information processing systems – Open SystemsInterconnextion – Basic Reference Model – Part 2: Security ArchitectureISO /IEC 9798 - 1 Information technology - Security techniques - Entitygy y q yautentication - Part 1- General.

19



ISO/IEC 10181-4 Information technology – Open Systems Interconnection –S it f k f t N di ti f kSecurity frameworks for open systems: Non-repudiation framework.ISO/IEC 12119:1994 Information technology. Software packages-Quality requirements and testing (ISO/IEC 25021:2006, nueva norma que reemplaza a laISO/IEC 12119)ISO/IEC 12119)ISO/IEC 13888-1 Information technology – Security techniques – NonRepudiation – Part 1: GeneralISO/IEC 13888-2 Information technology – Security techniques – Nongy y qRepudiation – Part 2 Mechanisms using symmetric techniques.

20



ISO/IEC 13888-3 Information technology – Security techniques – NonR di ti P t 3 M h i i t i t h iRepudiation – Part 3: Mechanisms using asymmetric techniques.ISO/IEC 15947 Information technology – Security – IT intrusion detectionframeworkISO/IEC TR 13335 5 Information Technology Guidelines for theISO/IEC TR 13335-5 Information Technology. Guidelines for themanagement of information technology. Part 5: Management guidance onnetworking security.ISO/IEC TR 14516 Information technology – Security techniques – Gudelinesgy y qfor the use and management of trusted Third Party.

21

Ó3 CAMPO DE APLICACIÓN

Se aplica para la evaluación de:

Sistemas de producción y almacenamiento de MFs de organizacionesi t i d d d ió l i t i t di iópropietarias y de empresas de producción, almacenamiento o intermediación

digital.Sistemas de producción de MFs a partir de documentos originales físicos ogenerados electrónicamente identificados por la organización propietariagenerados electrónicamente, identificados por la organización propietariaLa estructura organizativa asociada al sistema de producción yalmacenamiento de MFs.Las propiedades que deben cumplir los medios de archivo electrónico.p p q p

22

Ó3 CAMPO DE APLICACIÓN

Comprende los requisitos que se deben cumplir cuando en el sistema deelaboración de MFs se incluyen procesos de transferencia electrónica enredes privadas y públicas.

Comprende las condiciones de seguridad y conservación a cumplir para elalmacenamiento de las MFs.

23

4 DEFINICIONES:

Contiene 27 definiciones generales entre las que destacan

Documento original: Para los propósitos de la presente norma. Documento de una organización que autoriza su migración a microformas y de cuyo origen y contenido es responsable.Documento electrónico: Unidades estructuradas de información registrada,Documento electrónico: Unidades estructuradas de información registrada, publicada o no, susceptible de ser generada, clasificada, gestionada, transmitida, procesadas o conservadas por una persona o una organización de acuerdo a sus requisitos funcionales, utilizando sistemas informáticos.

NOTA: El término documento electrónico no se refiere únicamente a los documentos de texto que se suelen crear con procesadores de texto, sino también comprende los mensajes de correo electrónico, las hojas de cálculo, los gráficos e imágenes, los documentos HTML o XML y los documentos compuestos multimedia o de otras clases

24

documentos HTML o XML y los documentos compuestos, multimedia o de otras clases, que incluyen a sus enlaces y accesos automáticos.

5 REQUISITOS GENERALES :

Documentar las ifi i té iespecificaciones técnicas

de sus sistema de elaboración y

Manual del

Sistema yalmacenamiento de microformas.

25

5 REQUISITOS GENERALESLa organización debe estar legalmente constituida

Manual del

Normas Legales y

Manual del

Normas Legales y del

Sistemag y

Reglamen-tarias

Aplicables

del Sistema

g yReglamen-

tarias Aplicables

Manual d

Manual d

Manuales de LíneasManual

dManual

d

Manuales de Líneas

de Procedi-mientos

de Organi-zación

Manual de Seguridad de

la Información

de Líneas de MFsde

Procedi-mientos

de Organi-zación


la Información

de Líneas de MFs

26


La organización propietaria debeTener un sistema integral de administración de sus documentosTener un sistema integral de administración de sus documentos

Generación archivo, eliminación de documentos, además de la planificación, preparación, elaboración, control de calidad y almacenamiento de MFs

Designar al responsable del sistema de elaboración y almacenamiento de MFsCumplir la legislación archivística vigenteAlmacenar las MFs en instalaciones propias o en empresas de servicio certificadas.Asegurar la disponibilidad y renovación de la MFs almacenadas.

27

5 REQUISITOS GENERALES :5 REQUISITOS GENERALES :

Las empresas especializadas en producción y almacenamiento deben:

Tener un sistema de elaboración de MFs que incluya personal, procedimientosbl d l d di ñ d l i i f áti t ly responsables de los procesos de diseño de soluciones informáticas, control

de producción y evaluación del sistema.Designar un responsable ejecutivo del servicio de elaboración oalmacenamientoalmacenamientoEspecificar y documentos la responsabilidad y funciones del personalCumplir la legislación archivística vigente.

28

5 REQUISITOS GENERALES5 REQUISITOS GENERALES :

Confidencialidad y calidad de trabajo del personalSistema de elaboración de MFs

La alta dirección debe aprobar el sistema de elaboración de MFsRegistrar la fecha a partir de la cual se da inicio al sistema deelaboración de MFs

C t t ió d i i d d ióContratación de servicios de producciónEspecificar que la empresa de servicios cumpla lasespecificaciones establecidas por la organización

C t t ió d i i d l i tContratación de servicio de almacenamientoLa organización debe mantener el registro y control de ubicación delas MFs originales

29


El servicio de intermediación digital

Debe ser efectuada con la intervención de un tercero neutral, aplicable en last i ió d j d d t d t í l t ó i fitransmisión de mensajes de datos o documentos por vía electrónica con firmadigital para grabar, almacenar y conservar dichos o mensajes.

El Tercero neutral debe poseer certificado de idoneidad técnica deEl Tercero neutral debe poseer certificado de idoneidad técnica decumplimiento de la NTP 392.030-2:2005, adoptar las especificacionesaplicables de seguridad establecidos en la NTP ISO /IEC 17799 y efectuar susservicios conforme a los lineamientos aplicables de la Norma ISO /IEC TR14516.

30


El servicio de intermediación digitalDebe proporcionar las técnicas o mecanismos requeridos para la intervenciónde los representantes de la fe pública cuando se requiera .

Certificar, utilizando su firma digital o electrónica basada en criptografía asimétrica, la autenticidad e identidad del emisor, titular de la firma digital q e se adj nta al mensaje de datos o doc mentosdigital que se adjunta al mensaje de datos o documentos transmitidos, la confidencialidad y la integridad de dicho mensaje. El mecanismo de autenticación debe adecuarse a las especificaciones aplicables de la norma ISO /IEC 9798 – 1p

31


El servicio de intermediación digital debe:

Certificar la fecha y hora de recepción, para cuyo efecto el tercero neutral debe contarcon un proveedor de fechado y hora (fecha y hora cierta) referida al Tiempo Universalcon un proveedor de fechado y hora (fecha y hora cierta) referida al Tiempo UniversalCoordinado (UTC) el cual debe estar disponible dentro de una red abierta, accesibledesde cualquier plataforma tecnológica,

C tifi l di d i d ió El i d di d bCertificar el no repudio de origen y de recepción. El mecanismo de no repudio debeadecuarse a las especificaciones aplicables de la norma ISO/IEC 13888-3.

32

É6 REQUISITOS TÉCNICOS:

Proceso de generación de documentos originales

Asegurar y documentar la cantidad y clased d t i i l áde documentos originales que seránconvertidos en MFs

33

6 REQUISITOS TÉCNICOS :6 REQUISITOS TÉCNICOS :

Para el caso de MFs que incluya como documentos originales, documentos electrónicos obtenidos directamente de redes públicas o locales con firma digital, la organización debe establecer una metodología de identificación, (indización) y registro únicos que aseguren:

La integridad. basados en el principio que la firma digital asegura al receptoridentificar cuando un documento ha sido modificado sin autorización yNumeración correlativa, basados en el uso del Tiempo Universal Coordinado(UTC), (fecha y hora cierta), como indicador de numeración correlativa en larecepción para efectos de cumplir con disposiciones establecidas por la propiaorganización o por entidades o autoridades competentesorganización o por entidades o autoridades competentes.

34

6 REQUISITOS TÉCNICOS

Calidad y legibilidad de los documentos originalesIndicar los caracteres más pequeños y trazos más finos que deben serIndicar los caracteres más pequeños y trazos más finos que deben serreproducidos en las copias impresasAsegurar la calidad y legibilidad de firmas, sellos, logos, colores, indicandopatrones de referenciapatrones de referenciaEn caso de documentos con imágenes en movimiento, sonidos laorganización debe proporcionar las especificaciones o requisitos aplicables,los patrones de referencia y disponer los medios para verificar la calidad delos mismos.

35

É6 REQUISITOS TÉCNICOS

Líneas de producción de MFsDocumentar las especificaciones de cada línea, ubicación, clasesde originales a procesar. Los medios de soporte elegidosLa arquitectura de las redes internas o externas (LAN MANLa arquitectura de las redes internas o externas (LAN, MAN,WAN)Las medidas de seguridad estructuradas conforme a la NTPISO/IEC 17999Documentar la manera en la que la organización aplica y cumplel Documentar la manera en la que la organización aplica y cumplelas disposiciones legales y reglamentarias y contar con loscertificados digitales vigentes.Para el caso de los servicios de intermediación digital se debeidentificar las entidades o personas que intervienen, indicando el

Manuales de Líneas

de MFsidentificar las entidades o personas que intervienen, indicando elalcance de sus responsabilidades relativas a la clase dedocumentos que le corresponde procesar.La alta dirección o quien está designe debe aprobar lasespecificaciones de cada línea de producción.

36

p p


Proceso de preparaciónProceso de captación de imágenesProceso de indización

Manual de

Procedi-i Proceso de indización

Proceso de digitalizaciónSistema de seguridad.

mientos

Periodo de conservación de las MFsRequisitos del medio de archivo electrónicoProceso de grabación


laRotulado de las MFs

la Información

37


Microformas originalesMicroformas duplicadas (microduplicados)Reproducción a partir de las MFs

Manual de

Procedi-i Reproducción a partir de las MFs

Intervención de los representantes de la fepúblicaIntermediación digital

mientos

Intermediación digitalAlmacenamientoTransmisión telemática


la Eliminación de originalesla Información

38

SISTEMA DE SEGURIDAD

La organización debe establecer y mantener niveles adecuados de seguridad,respecto al personal, las estaciones de acceso, salidas del sistema informático, elsoftware y archivos y aplicativos asociados al sistema de elaboración demicroformas mediante políticas, procedimientos y técnicas que aseguren la

fid i lid d i t id d di ibilid d lid d d l i f i i dconfidencialidad, integridad, disponibilidad y calidad de las microformas, siguiendolos lineamientos establecidos en la NTP ISO /IEC 17799

39

SISTEMA DE SEGURIDADLa organización debe contar con un programa de auditoria g p ginformática que asegure el cumplimiento de la evaluación de la idoneidad del sistema que incluya:

La responsabilidad y la identificación del personal encargado de los procesos claves del sistema de elaboración dede los procesos claves del sistema de elaboración de microformas,Los intentos o eventuales accesos no autorizados internos o externos,El uso no autorizado de estaciones, programas, archivos y aplicativos del sistema

Los registros de dicho sistema de auditoria informáticadeben estar disponibles para examen o inspección y sedeben estar disponibles para examen o inspección y sedeben conservar un período establecido por laorganización responsable de la producción de lasmicroformas

40

INTERVENCIÓN DE LOS REPRESENTANTESINTERVENCIÓN DE LOS REPRESENTANTES DE LA FE PÚBLICA

Para cada línea de producción y lugar de almacenamientoPara cada línea de producción y lugar de almacenamientode microformas e intermediación digital en la elaboraciónde microformas, la organización debe especificar elprocedimiento de intervención de los representantes de lafe pública, quienes deben estar facultados para ejercersus funciones conforme a lo establecido en la normativalegal y reglamentaria aplicable.

41

ÓINTERMEDIACIÓN DIGITALEn caso se requiera la intervención de los servicios deintermediación digital la organización debe establecer los

di i t i i i d l di i iprocedimientos necesarios siguiendo las disposicionesestablecidas en las normas legales y reglamentariasaplicables y los lineamientos de las normas NTP ISO/IEC17799 e ISO/IEC TR 14516.

La organización debe mantener el registro y vigencia delos certificados de las entidades o personas participantes,considerando el caso que los documentos, información odatos sean transferidos entre terceros neutralesdatos sean transferidos entre terceros neutrales

42

ALMACENAMIENTO

L i ió d b di lLa organización debe disponer el almacenamiento de las microformas en las condiciones de seguridad y conservación certificadas conforme a lo establecido en la legislación ya lo establecido en la legislación y reglamentación aplicable.

43

ALMACENAMIENTOLa organización debe describir en un manual las características del sistema de almacenamiento empleado incluyendo:incluyendo:

• La organización y funciones de los responsables de administrar el sistema de almacenamiento,

• Las especificaciones técnicas de los materiales de construcción que deben cumplir con minimizar losconstrucción, que deben cumplir con minimizar los riesgos de las posibles amenazas indicadas en la NTP ISO/IEC 17799, párrafo 7.2.1.d),

• Las especificaciones del sistema, los elementos de control y las medidas de seguridad aprobado por lacontrol y las medidas de seguridad aprobado por la organización para el control del acceso de personas, para detectar riesgos de incendio, inundación,

• Las especificaciones técnicas de los equipos de control del medio ambiente,,

• El certificado de calibración de los medios de medición de temperatura y humedad relativa,

• Los registros empleados para mantener el ingreso y retiro de las microformas y las condiciones ambientales

44

yde temperatura y humedad relativa

Ó ÁTRANSMISIÓN TELEMÁTICA

Cuando el sistema de elaboración deCuando el sistema de elaboración de microformas incluya entre sus procesos la transmisión electrónica a distancia entre estaciones o líneas de producción tanto en redes privadas o públicas, los procesos e edes p adas o púb cas, os p ocesosdeben estar protegidos con medidas de seguridad que aseguren:

• La confidencialidad, integridad y disponibilidad de los archivosdisponibilidad de los archivos,

• La no modificación de los formatos originales,

• La transmisión libre de interceptaciones entre la estación emisora y la estación receptora

Debe asegurar las transmisiones en redes LAN, MAN y WAN

45

y

ÓELIMINACIÓN DE ORIGINALESLa organización debe establecer un procedimiento deretiro del archivo físico y eliminación de documentosyoriginales, asegurando la intervención de losrepresentantes de la autoridad nacional en materia dearchivos y demás representantes que la legislaciónaplicable exija de acuerdo al valor del documento originalaplicable exija de acuerdo al valor del documento original.

Se incluye el procedimiento de eliminación de archivoselectrónicos de la memoria de servidores o discos duroselectrónicos de la memoria de servidores o discos durosque dieron origen a las imágenes correspondientes a losdocumentos originales, hayan sido estos originales enpapel o digitalizados.

46

7 FORMATOS DEL SISTEMA

La organización debe establecer los formatos requeridos para asegurar el cumplimiento de los procedimientos propios de su sistema de elaboración y almacenamiento de microformas.Los formatos deben ser impresos o documentos electrónicos en formatosnormalizados

47

8 REGISTROS Y ARCHIVOS

Los registros del sistema de producción de MFs deben:Ser definidos, identificados y actualizados para asegurar la efectividad de loscontroles acorde con los requisitos de idoneidad técnica.En cada línea de producción, en la(s) entidad(es) de intermediación digital y/olugar(es) de almacenamiento de MFs deben existir registros de:

Las MFs producidas/almacenadasLos funcionarios de la fe pública

48

Ó9 EVALUACIÓN DEL SISTEMA

Las organizaciones propietarias y las empresas de servicios especializadas deben:

Evaluar la efectividad del sistema por lo menos una vez al año.pEstablecer el procedimiento de evaluación Evaluar la tecnología de la información y deben ser efectuados por profesionales o auditores informáticos.Registrar el resultado de la evaluación.Evaluar la efectividad del sistema en caso cambios en las tecnologías y la normatividad legal y técnica aplicable.

49

CONCLUSIONES

La NTP 392.030-2:2005, establece requisitos de idoneidad técnica,calidad y conservación de las MFs, que contienen documentos,información y datos resultantes del sistema de gestión documentalparticular de cada organización.El cumplimiento de las especificaciones contenidas en la NTP y lasnormas de referencia, aseguran el logro de niveles de calidad,confiabilidad y seguridad controlables permitiendo la determinación,mantenimiento y mejora de la efectividad del sistema de producción deMFs.

50

Norma ISO 17799 Seguridad de la Informacióng

1. Política de Seguridad2. Organización de Seguridad3. Clasificación y Control de Activos4. Aspectos humanos de la seguridad5. Seguridad Física y Ambiental6. Gestión de Comunicaciones y Operaciones7. Sistema de Control de Accesos8. Desarrollo y Mantenimiento de Sistemas9. Plan de Continuidad del Negocio10.Cumplimiento

51

Lineamientos de la NTP ISO /IEC 17799Dominio 1: POLÍTICA DE SEGURIDAD

La alta dirección o la gerencia general debe:

aprobar y publicar la política de seguridadaprobar y publicar la política de seguridad

comunicarlo a todos los empleados

52

Lineamientos de la NTP ISO /IEC 17799 Dominio 1: POLÍTICA DE SEGURIDAD

Debe incluir:

bj ti l l d id dobjetivos y alcance generales de seguridadapoyo expreso de la direcciónbreve explicación de los valores de seguridad de laorganizaciónorganizacióndefinición de las responsabilidades generales yespecíficas en materia de gestión de la seguridadde la informaciónreferencias a documentos que puedan respaldar lapolítica

53

Lineamientos de la NTP ISO /IEC 17799

Autorización

Dominio 1: POLÍTICA DE SEGURIDAD

Protección Física

Confidencialidad

Confiabilidad

Política de SeguridadPropiedad

Disponibilidad

Co de c a dad

EficienciaLegalidad

EficaciaExactitud

Integridad

54

Lineamientos de la NTP ISO /IEC 17799Dominio 2: ORGANIZACION DE LA SEGURIDAD

Foros de Gestión

aprobar la política de seguridad de lainformación,asignar funciones de seguridadactualizarse ante cambioscoordinar la implementacióndefinir metodologías y procesos específicos deseguridadmonitorear incidentes de seguridadlidera el proceso de concientización de usuarios

55

Lineamientos de la NTP ISO /IEC 17799Dominio 2: ORGANIZACION DE LA SEGURIDAD

Seguridad frente al acceso por parte de terceros

El acceso por parte de terceros debe sercontrolado.

Debe llevarse a cabo una evaluación deriesgos: determinar las incidencias en laseguridad y los requerimientos de control.

Los controles deben ser acordados ydefinidos en un contrato con la tercera parte.

56

Lineamientos de la NTP ISO /IEC 17799 Dominio 2: ORGANIZACION DE LA SEGURIDAD

Tipos de tercerosTipos de terceros

personal de mantenimiento y soporte de hardware ysoftware;

limpieza, "catering", guardia de seguridad y otrosservicios de soporte tercerizados;

pasantías de estudiantes y otras designacionescontingentes de corto plazo;

57

consultores.

Lineamientos de la NTP ISO /IEC 17799 Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS

Inventarios de Información e Instalaciones

Designar un propietario para cada uno de ellosDesignar un propietario para cada uno de ellos

Clasificación de la información

58

Lineamientos de la NTP ISO /IEC 17799 Dominio 4: SEGURIDAD DEL PERSONAL

Seguridad en la definición de puestos de trabajo yla asignación de recursos

Las responsabilidades en materia de seguridad debenser:

explicitadas en la etapa de reclutamiento,incluidas en los contratos ymonitoreadas durante el desempeño comomonitoreadas durante el desempeño como

empleado.

59


Capacitación del usuario

Garantizar que los usuarios están al corriente de lasamenazas e incumbencias en materia de seguridadde la información, y están capacitados pararespaldar la política de seguridad de la organizaciónen el transcurso de sus tareas normales.

60


Respuesta a incidentes y anomalías enRespuesta a incidentes y anomalías enmateria de seguridad

Minimizar el daño producido por incidentesp py anomalías en materia de seguridad, ymonitorear dichos incidentes y aprender delos mismos.

61


Proceso disciplinario

Debe existir un proceso disciplinario formal paral l d i l l lítilos empleados que violen las políticas yprocedimientos de seguridad de la organización.

62

Lineamientos de la NTP ISO/IEC 17799Dominio 5: SEGURIDAD FISICA Y AMBIENTAL

Impedir accesos no autorizados daños eImpedir accesos no autorizados, daños einterferencia a:

sedessedesinstalacionesinformación

63

Lineamientos de la NTP ISO/IEC 17799Dominio 5: SEGURIDAD FISICA Y AMBIENTAL

Perímetro de seguridad físicaControles de acceso físicoSeguridad del equipamientoSuministros de energíaCableado de energía eléctrica y decomunicacionesMantenimiento de equiposSeguridad del equipamiento fuera del ámbito dela organizaciónPolíticas de escritorios y pantallas limpiasRetiro de bienes

64

Lineamientos de la NTP ISO /IEC 17799Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES

Garantizar el funcionamiento correcto y seguro de lasinstalaciones de procesamiento de la información.instalaciones de procesamiento de la información.

Se deben establecer las responsabilidades yprocedimientos para la gestión y operación dep p g y ptodas las instalaciones de procesamiento deinformación.Se debe implementar la separación de funciones

d dcuando corresponda.Se deben documentar los procedimientos deoperación

65


Separación entre instalaciones de desarrollo einstalaciones operativas

Deben separarse las instalaciones de:

DesarrolloPruebaOperacionesp

Se deben definir y documentar las reglas para latransferencia de software desde el estado de

66

desarrollo hacia el estado operativo.


Procesos de:

Planificación y aprobación de sistemasProtección contra software maliciosoMantenimiento back upMantenimiento back upAdministración de la redAdministración y seguridad de los mediosde almacenamientoAcuerdos de intercambio de información ysoftware

67

Lineamientos de la NTP ISO/IEC 17799Dominio 7: SISTEMA DE CONTROL DE ACCESOS

Requerimientos de negocio para el control deaccesos

Coherencia entre las políticas de control deacceso y de clasificación de información de losdiferentes sistemas y redes

Administración de accesos de usuarios

Se deben implementar procedimientos formalespara controlar la asignación de derechos deacceso a los sistemas y servicios de

68

acceso a los sistemas y servicios deinformación.

Lineamientos de la NTP ISO/IEC 17799Dominio 7: SISTEMA DE CONTROL DE ACCESOS

Administración de accesos de usuariosAd i i t ió d i il iAdministración de privilegiosResponsabilidades del usuarioControl de acceso a la redC i f dCamino forzadoAutenticación de usuarios para conexionesexternasMonitoreo del acceso y uso de los sistemasMonitoreo del acceso y uso de los sistemas

69

Lineamientos de la NTP ISO/IEC 17799Lineamientos de la NTP ISO/IEC 17799Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Requerimientos de seguridad de lossistemassistemas.

Asegurar que la seguridad es incorporada alos sistemas de informaciónlos sistemas de información.

Los requerimientos de seguridad debenser identificados y aprobados antes delser identificados y aprobados antes deldesarrollo de los sistemas deinformación.

70

Lineamientos de la NTP ISO/IEC 17799Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Seguridad en los sistemas de aplicaciónSeguridad en los sistemas de aplicación

Se deben diseñar en los sistemas de aplicación,incluyendo las aplicaciones realizadas por ely p pusuario, controles apropiados y pistas de auditoriao registros de actividad, incluyendo:

la validación de datos de entrada,procesamiento interno, ysalidas.

71

Lineamientos de la NTP ISO/IEC 17799Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO

Contrarrestar las interrupciones de las actividadescomerciales y proteger los procesos críticos de losnegocios de los efectos de fallas significativas og gdesastres.

Se debe implementar un proceso deadministración de la continuidad de losnegocios

Se deben analizar las consecuencias dedesastres, fallas de seguridad e interrupcionesdel servicio

72

del servicio.


Se deben desarrollar e implementar planes decontingencia para garantizar que los procesosde negocios puedan restablecerse dentro dede negocios puedan restablecerse dentro delos plazos requeridos.Los planes deben mantenerse en vigencia ytransformarse en una parte integral del restode los procesos de administración y gestión.La administración de la continuidad de losnegocios debe incluir controles destinados aidentificar y reducir riesgos atenuar lasidentificar y reducir riesgos, atenuar lasconsecuencias de los incidentes perjudiciales yasegurar la reanudación oportuna de lasoperaciones indispensables.

73


Principales etapas

Clasificación de los distintos escenarios deClasificación de los distintos escenarios de

desastres

Evaluación de impacto en el negocio

Desarrollo de una estrategia de recupero

Implementación de la estrategia

Documentación del plan de recuperoDocumentación del plan de recupero

Prueba y mantenimiento del plan

74

Lineamientos de la NTP ISO/IEC 17799Dominio 10 : CUMPLIMIENTO

Impedir infracciones y violaciones de las leyesdel derecho civil y penal; de las obligacionesy gestablecidas por leyes, estatutos, normas,reglamentos o contratos; y de los requisitos deseguridad.G ti l f id d d l i tGarantizar la conformidad de los sistemas conlas políticas y estándares de seguridad de laorganización.Maximizar la efectividad y minimizar lasMaximizar la efectividad y minimizar lasinterferencias de los procesos de auditoría desistemas.

75

Lineamientos de la NTP ISO/IEC 17799

Recolección de evidencia

Dominio 10 : CUMPLIMIENTO

La evidencia presentada debe cumplir con las pautas establecidas en laley pertinente o en las normas específicas del tribunal en el cual sedesarrollará el caso:desarrollará el caso:

validez de la evidencia: si puede o no utilizarse la misma en eltribunal;peso de la evidencia: la calidad y totalidad de la misma;peso de la evidencia: la calidad y totalidad de la misma;adecuada evidencia de que los controles han funcionado en formacorrecta y consistente durante todo el período en que la evidencia arecuperar fue almacenada y procesada por el sistema.

Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus sistemas de información cumplan con los estándares o códigos de práctica relativos a la producción de evidencia válida

76

o códigos de práctica relativos a la producción de evidencia válida.


Revisiones de la política de seguridad y lacompatibilidad técnica

Garantizar la compatibilidad de los sistemas conlas políticas y estándares (normas) de seguridadd l i ióde la organización.

77


Auditoria de sistemas

Optimizar la eficacia del proceso de auditoria desistemas y minimizar los problemas que pudieraocasionar el mismo, o los obstáculos que pudieranocasionar el mismo, o los obstáculos que pudieranafectarlo.

Deben existir controles que protejan los sistemas deq p joperaciones y las herramientas de auditoria en eltranscurso de las auditorias de sistemas.

78

Lineamientos de la NTP ISO/IEC 17799

RM 216-2006-MINCETRUR Aprueban documento “LineamientosGeneral de de Política de Seguridad de la información del Ministerio

Dominio 10 : CUMPLIMIENTO

General de de Política de Seguridad de la información del Ministeriode Comercio Exterior y Turismo” – 08-08-2006RM 575-2006/MINSA Aprueban “Directiva Administrativa de Gestión dela Seguridad de la Información del Ministerio de Salud” -23-06-2006RM 520-2006/MINSA Aprueban Documento Técnico “Lineamientos dede Política de seguridad de la Información del Ministerio de Salud 23Legislación en de Política de seguridad de la Información del Ministerio de Salud 23-06-2006RM 224-2004-PCM Aprueban uso obligatorio de la Norma TécnicaPeruana NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información.Código de buenas prácticas para la gestión de la seguridad de lainformación 1º 26-07-2004

gmateria deSeguridad de laInformación en

información 1 26-07-2004RM 310-2004-PCM Autorizan ejecución de la “Primera Encuesta deSeguridad de la Información en la Administración Pública”RJ 347-2001 INEI Aprueban Directiva “Normas y procedimientosTécnicos para garantizar la Seguridad de la Información publicadaspor las entidades de la Administración Pública” 08 11 2002

el Perú

por las entidades de la Administración Pública 08-11-2002RJ 236-2001-INI Crean el Centro de Consulta e Investigación sobreSeguridad de la Información –CCISI- 21-09-2001Resolución Nª 030-2008 /CRT-INDECOPI Aprueban Guías deacreditación de Entidades de Certificación Digital, Entidades deRegistro o Verificación de datos y Entidades de Prestación de

79

Registro o Verificación de datos y Entidades de Prestación deServicios de Valor Añadido, así como la Guía para la Acreditación delSoftware de Firmas Digitales 19-03-2008

GRACIAS POR SU ATENCIÓNGRACIAS POR SU ATENCIÓN

Miguel Véliz GranadosSecretario Técnico del CTNEMDSecretario Técnico del CTNEMDLíder de Certificación de la Idoneidad Técnica de los Sistemas de Producción y Almacenamiento de Mi f

80

[email protected]

las microformas en la gestión del documento electrónicodel ... · de archivo de documentos e...

Documents