Transcript
SINEC-20170721132129819 ICS: 35.030 NORMA MEXICANA NMX-I-27032-NYCE-2018 Tecnologías de la información – Técnicas de seguridad – Lineamientos para la ciberseguridad Information technology – Security techniques – Guidelines for cybersecurity NMX-I-27032-NYCE-2018 © PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NORMALIZACIÓN Y CERTIFICACIÓN NYCE, S.C. COPIA CONTROLADA PARA USO EXCLUSIVO DEL COTENNETIC P R E F A C I O 1. Esta Norma Mexicana fue elaborada en el seno del Subcomité de Seguridad de TI de NYCE, con la participación de las siguientes Instituciones y Empresas: - INNOVACIONES TELEMATICAS, S.A. DE C.V. - INSTITUTO POLITÉCNICO NACIONAL - LEX INFORMÁTICA ABOGADOS, S.C. - MANCERA, S.C. (EY MÉXICO) - NORMALIZACIÓN Y CERTIFICACIÓN NYCE, S.C. - TEMANOVA 2. Por otra parte, también fue aprobado por las instituciones y empresas que a continuación se señalan y que conforman el Comité Técnico de Normalización Nacional de Electrónica y Tecnologías de la Información y Comunicación de NYCE. ADVANCE WIRE & WIRELESS LABORATORIOS ASOCIACIÓN MEXICANA DE EMPRESAS DEL RAMO DE INSTALACIONES PARA LA CONSTRUCCIÓN, A.C. ASOCIACIÓN MEXICANA DE INTERNET, A.C. ASOCIACIÓN NACIONAL DE INSTITUCIONES DE EDUCACIÓN EN INFORMÁTICA. ASOCIACIÓN NACIONAL DE TELECOMUNICACIONES. ASOCIACIÓN DE PERMISIONARIOS, OPERADORES Y PROVEEDORES DE LA INDUSTRIA DEL ENTRETENIMIENTO Y JUEGO DE APUESTA EN MÉXICO, A.C. AUREN IBEROAMERICA S. DE R.L. DE C.V. BEST PRACTICES GURUS, S.A. DE C.V. CÁMARA NACIONAL DE LA INDUSTRIA ELECTRÓNICA, DE TELECOMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN. COLEGIO DE INGENIEROS EN COMUNICACIONES Y ELECTRÓNICA. COMISIÓN NACIONAL PARA EL USO EFICIENTE DE LA ENERGÍA. DIRECCIÓN GENERAL DE NORMAS. ERICSSON TELECOM, S.A. DE C.V. NMX-I-27032-NYCE-2018 © PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NORMALIZACIÓN Y CERTIFICACIÓN NYCE, S.C. COPIA CONTROLADA PARA USO EXCLUSIVO DEL COTENNETIC GRUPO ADO. INSTITUTO POLITÉCNICO NACIONAL. INSTITUTO MEXICANO DE NORMALIZACIÓN Y CERTIFICACIÓN, A.C. INNOVACIONES TELEMÁTICAS, S.A. DE C.V. INTELI, S.C. LEGRAND S.A. DE C.V. LEX INFORMÁTICA ABOGADOS, S.C. ORGANISMO NACIONAL DE NORMALIZACIÓN Y CERTIFICACIÓN DE LA CONSTRUCCIÓN Y EDIFICACIÓN, S.C. PROCURADURÍA FEDERAL DEL CONSUMIDOR. REDIT. SIEMON. TELEMATICA INNOVO CONTINUO, S.A DE C.V. UNIVERSIDAD AUTÓNOMA METROPOLITANA. UNIVERSIDAD IBEROAMERICANA. UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO. 3. La entrada en vigor de esta Norma Mexicana será 60 días después de la publicación de su Declaratoria de Vigencia en el Diario Oficial de la Federación. 4. La Clave SINEC de esta NMX es SINEC-20170721132129819 NMX-I-27032-NYCE-2018 © PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NORMALIZACIÓN Y CERTIFICACIÓN NYCE, S.C. COPIA CONTROLADA PARA USO EXCLUSIVO DEL COTENNETIC ÍNDICE DEL CONTENIDO Páginas 0 Introducción 1 1 Objetivo y campo de aplicación 2 2 Aplicabilidad 3 3 Referencias normativas 4 4 Términos y definiciones 4 5 Términos abreviados 11 6 Visión general 12 7 Interesados en el Ciberespacio 19 8 Activos en el Ciberespacio 20 9 Amenazas en contra de la seguridad del Ciberespacio 22 10 Roles de los interesados en el Ciberespacio 28 11 Directrices para los interesados 31 12 Controles de Ciberseguridad 41 13 Marco del intercambio y coordinación de información 49 14 Concordancia con normas internacionales 56 Apéndice A (Informativo) Preparación en Ciberseguridad 57 Apéndice B (Informativo) Recursos adicionales 62 Apéndice C (Informativo) Ejemplo de documentos relacionados 66 Apéndice D (Informativo) Normas que complementan a esta Norma Mexicana 70 Apéndice E (Informativo) Aclaraciones 71 15 Bibliografía 75 NMX-I-27032-NYCE-2018 1/75 © PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NORMALIZACIÓN Y CERTIFICACIÓN NYCE, S.C. COPIA CONTROLADA PARA USO EXCLUSIVO DEL COTENNETIC NORMA MEXICANA NMX-I-27032-NYCE-2018 Tecnologías de la información – Técnicas de seguridad – Lineamientos para la ciberseguridad Information technology – Security techniques – Guidelines for cybersecurity 0 Introducción El ciberespacio es un ambiente complejo resultante de la interacción de personas, software y servicios en El Internet, apoyado por la información física distribuida alrededor del mundo, dispositivos de tecnologías de la información y comunicaciones (TIC) y redes conectadas. Sin embargo, existen problemas de seguridad que no son cubiertos por la seguridad de la información actual, seguridad en Internet, seguridad en redes y mejores prácticas de seguridad en TIC, ya que existen brechas entre estos dominios, así como, falta de comunicación entre las organizaciones y proveedores en el Ciberespacio. Esto se debe a que los dispositivos y las redes conectadas que han respaldado el Ciberespacio tienen múltiples dueños, cada uno con sus propios intereses de negocio, operacionales y regulatorios. Los diferentes enfoques que cada organización y proveedor en el Ciberespacio tienen en dominios relevantes de la seguridad, en los cuales otras organizaciones o proveedores tienen pequeñas o nulas contribuciones, ha resultado en un estado fragmentado de la seguridad en el Ciberespacio. Como tal, la primera área en la que se enfoca esta Norma Mexicana es la de abordar problemas de seguridad en el Ciberespacio o Ciberseguridad, los cuales se concentren en cerrar la brecha entre los diferentes dominios de seguridad en el Ciberespacio. En particular esta Norma Mexicana provee una guía técnica para atender riesgos de Ciberseguridad comunes, incluyendo: • Ataques de ingeniería social; • Hacking; • La difusión de software malicioso (malware); • Spyware; y • Otro software potencialmente no deseado. La guía técnica provee controles para hacer frente a estos riesgos, incluyendo controles para:
