Política de Seguridad de la Información Modelo - Oficina Nacional de Tecnologías de Información - DISPOSICIÓN 3/2013
“Política
de Seguridad de la Información Modelo”, que reemplaza a los mismos
fines a la aprobada por Disposición ONTI Nº 6/2005, que como Anexo I
forma parte integrante de la presente.Las disposiciones de la Política
de Seguridad de la Información Modelo servirán como base para la
elaboración de las respectivas políticas a dictarse por cada organismo
alcanzado por la Decisión Administrativa Nº 669/2004, debiendo ser
interpretada como un compendio de mejores prácticas en materia de
seguridad de la información para las entidades, públicas y adaptada a la
realidad y recursos de cada organismo. Las funciones a las que hace
alusión la Política de Seguridad Modelo deberán ser asignadas de acuerdo
a las particularidades y operatoria de cada organismo. Dicha asignación
deberá realizarse evitándose la duplicación de tareas y asegurando la
segregación de funciones incompatibles siempre que sea posible, o bien
mediante la implementación de controles para mitigar dicho riesgo.
Oficina Nacional de Tecnologías de Información - ADMINISTRACION PUBLICA NACIONAL
Disposición 3/2013, Bs. As., 27/8/2013
VISTO el Expediente CUDAP: EXP-JGM: 50449/2011 del Registro de la JEFATURA DE GABINETE DE MINISTROS, el Decreto Nº 378 del 27 de abril de 2005, la Decisión Administrativa Nº 669 del 20 de diciembre de 2004 de la JEFATURA DE GABINETE DE MINISTROS, la Resolución Nº 45 de fecha 24 de junio de 2005 de la entonces SUBSECRETARIA DE LA GESTION PUBLICA, la Disposición Nº 6 de fecha 8 de agosto de 2005 de la OFICINA DE TECNOLOGIAS DE INFORMACION, y
CONSIDERANDO:
Que el Decreto Nº 378/05 aprobó los Lineamientos Estratégicos que deberán regir el Plan Nacional de Gobierno Electrónico y los Planes Sectoriales de Gobierno Electrónico de los Organismos de la ADMINISTRACION PUBLICA NACIONAL a fin de promover el empleo eficiente y coordinado de los recursos de las Tecnologías de la Información y las Comunicaciones.
Que la Decisión Administrativa Nº 669/04 de la JEFATURA DE GABINETE DE MINISTROS estableció en su artículo 1º que los organismos del Sector Público Nacional comprendidos en el artículo 7º de la citada medida deberán dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo a dictarse dentro del plazo de CIENTO OCHENTA (180) días de aprobada dicha Política de Seguridad Modelo.
Que el artículo 8º de la mencionada Decisión Administrativa, facultó al entonces señor SUBSECRETARIO DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS a aprobar la Política de Seguridad Modelo y a dictar las normas aclaratorias y complementarias de la citada medida, pudiendo dicha autoridad delegar en el DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION las facultades aludidas.
Que consecuentemente el artículo 1º de la Resolución de la ex SUBSECRETARIA DE GESTION PUBLICA Nº 45/05 de la JEFATURA DE GABINETE DE MINISTROS facultó al señor DIRECTOR NACIONAL de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION a aprobar la Política de Seguridad de la Información Modelo y dictar las normas aclaratorias y complementarias que requiera la aplicación de la Decisión Administrativa JGM Nº 669/2004.
Que la Disposición Nº 6/05 de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION de la SUBSECRETARIA DE TECNOLOGIAS DE GESTION de la SECRETARIA DE GABINETE Y COORDINACION ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS en su artículo 1º aprobó la “Política de Seguridad de la Información Modelo” ordenada por la Decisión Administrativa JGM Nº 669/04, y que sirve como base para la elaboración de las respectivas políticas a dictarse por cada organismo alcanzado por la citada norma.
Que atento al incremento en cantidad y variedad de amenazas y vulnerabilidades que rodean a los activos de información, la “Política de Seguridad Modelo” oportunamente aprobada requiere ser actualizada a fin de mantener su vigencia y nivel de eficacia.
Que la mera elaboración por parte de los organismos de políticas de seguridad no es suficiente para garantizar la seguridad de la información, la que permite a su vez, garantizar la prestación continua e ininterrumpida de los diversos servicios públicos prestados por dichos organismos.
Que sólo a través de la efectiva implementación de las medidas contempladas en dichas políticas se podrá proteger acabadamente los recursos de información de los organismos como así también la tecnología utilizada para su procesamiento.
Que ha tomado la intervención de su competencia la DIRECCION GENERAL DE ASUNTOS JURIDICOS de la SUBSECRETARIA DE COORDINACION ADMINISTRATIVA de la SECRETARIA DE GABINETE y COORDINACION ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS.
Que la presente medida se dicta en ejercicio de las facultades conferidas por el artículo 1° de la Resolución de la ex SUBSECRETARIA DE GESTION PUBLICA Nº 45/05.
Por ello,
EL DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION
DISPONE:
Artículo 1° — Apruébase la “Política de Seguridad de la Información Modelo”, que reemplaza a los mismos fines a la aprobada por Disposición ONTI Nº 6/2005, que como Anexo I forma parte integrante de la presente.
Art. 2° — Las disposiciones de la Política de Seguridad de la Información Modelo servirán como base para la elaboración de las respectivas políticas a dictarse por cada organismo alcanzado por la Decisión Administrativa Nº 669/2004, debiendo ser interpretada como un compendio de mejores prácticas en materia de seguridad de la información para las entidades, públicas y adaptada a la realidad y recursos de cada organismo.
Art. 3° — Las funciones a las que hace alusión la Política de Seguridad Modelo deberán ser asignadas de acuerdo a las particularidades y operatoria de cada organismo. Dicha asignación deberá realizarse evitándose la duplicación de tareas y asegurando la segregación de funciones incompatibles siempre que sea posible, o bien mediante la implementación de controles para mitigar dicho riesgo.
Art. 4° — Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Pedro Janices.
1 Introducción
1.1 Alcance
1.2 Qué es seguridad de la información
1.3 ¿Por qué es necesario
1.4 Requerimientos de seguridad
1.5 Evaluación de los riesgos de seguridad
1.6 Selección de controles
1.7 ¿Cómo empezar
1.8 Factores críticos de éxito
2 Términos y Definiciones
2.1 Seguridad de la Información
2.2 Evaluación de Riesgos
2.2 Tratamiento de Riesgos
2.3 Gestión de Riesgos
2.4 Comité de Seguridad de la Información
2.5 Responsable de Seguridad de la Información
2.6 Incidente de Seguridad
2.8 Riesgo
2.9 Amenaza
2.10 Vulnerabilidad
2.11 Control
3. Estructura de la política Modelo
4. Evaluación y tratamiento de riesgos
4.1 Evaluación de los riesgos de seguridad
4.2 Tratamiento de riesgos de seguridad
5. Cláusula: Política de Seguridad de la Información
5.1 Categoría: Política de Seguridad de la información
5.1.1 Control: Documento de la política de seguridad de la información
5-1-2 Control: Revisión de la política de seguridad de la información
6. Cláusula: Organización
6.1 Categoría: Organización interna
6.1.1 Control: Compromiso de la dirección con la seguridad de la información
6-1-2 Control: Coordinación de la seguridad de la información
6-1-3 Control: Asignación de responsabilidades de la seguridad de la información
6-1-4 Control: Autorización para Instalaciones de Procesamiento de Información
6-1-5 Control: Acuerdos de confidencialidad
6-1-6 Control: Contacto con otros organismos
6-1-7 Control: Contacto con grupos de interés especial
6-1-8 Control: Revisión independiente de la seguridad de la información
6.2 Categoría: Grupos o personas externas
6.2.1 Control: Identificación de los riesgos relacionados con grupos externos
6-2-2 Control: Puntos de seguridad de la información a considerar en Contratos o Acuerdos con terceros
6-2-3 Control: Puntos de Seguridad de la Información a ser considerados en acuerdos con terceros
7. Cláusula: Gestión de Activos
7.1 Categoría: Responsabilidad sobre los activos
7.1.1 Control: Inventario de activos
7.1.2 Control: Propiedad de los activos
7.1.3 Control: Uso aceptable de los activos
7.2 Categoría: Clasificación de la información
7.2.1 Control: Directrices de clasificación
7.2.2 Control: Etiquetado y manipulado de la información
8. Cláusula: Recursos Humanos
8.1 Categoría: Antes del empleo
8.1.1 Control: Funciones y responsabilidades
8.1.2 Control: Investigación de antecedentes
8.1.3 Control: Términos y condiciones de contratación
8.2 Categoría: Durante el empleo
8.2.1 Control: Responsabilidad de la dirección
8.2.2 Control: Concientización, formación y capacitación en seguridad de la información
8.2.3 Control: Proceso disciplinario
8.3 Categoría: Cese del empleo o cambio de puesto de trabajo
8.3.1 Control: Responsabilidad del cese o cambio
8.3.2 Control: Devolución de activos
8.3.3 Control: Retiro de los derechos de acceso
9. Cláusula: Física y Ambiental
9.1 Categoría: Areas Seguras
9.1.1 Control: Perímetro de seguridad física
9.1.2 Control: Controles físicos de entrada
9.1.3 Control: Seguridad de oficinas, despachos, instalaciones
9.1.4 Control: Protección contra amenazas externas y de origen ambiental
9.1.5 Control: Trabajo en áreas seguras
9.1.6 Control: Areas de acceso público, de carga y descarga
9.2 Categoría: Seguridad de los equipos
9.2.1 Control: emplazamiento y protección de equipos
9.2.2 Control: Instalaciones de suministro
9.2.3 Control: Seguridad del cableado
9.2.4 Control: Mantenimiento de los equipos
9.2.5 Control: Seguridad de los equipos fuera de las instalaciones
9.2.6 Control: Reutilización o retiro seguro de equipos
9.2.7 Control: Retirada de materiales propiedad de la empresa
9.2.8 Políticas de Escritorios y Pantallas Limpias
10. Cláusula: Gestión de Comunicaciones y Operaciones
10.1 Categoría: Procedimientos y Responsabilidades Operativas
10.1.1 Control: Documentación de los Procedimientos Operativos
10.1.2 Control: Cambios en las Operaciones
10.1.3 Control: Separación de Funciones
10.1.4 Control: Separación entre Instalaciones de Desarrollo e Instalaciones Operativas
10.2 Categoría: Gestión de Provisión de Servicios
10.2.1 Control: Provisión de servicio
10.2.2 Control: Seguimiento y revisión de los servicios de las terceras partes
10.2.3 Control: Gestión del cambio de los servicios de terceras partes
10.3 Categoría: Planificación y Aprobación de Sistemas
10.3.1 Control: Planificación de la Capacidad
10.3.2 Control: Aprobación del Sistema
10.4 Categoría: Protección Contra Código Malicioso
10.4.1 Control: Código Malicioso
10.4.2 Control: Código Móvil
10.5 Categoría: Respaldo o Back-up
10.5.1 Control: Resguardo de la Información
10.5.2 Control: Registro de Actividades del Personal Operativo
10.5.3 Control: Registro de Fallas
10.6 Categoría: Gestión de la Red
10.6.1 Control: Redes
10.7 Categoría: Administración y Seguridad de los medios de almacenamiento
10.7.1 Control: Administración de Medios Informáticos Removibles
10.7.2 Control: Eliminación de Medios de Información
10.7.3 Control: Procedimientos de Manejo de la Información
10.7.4 Control: Seguridad de la Documentación del Sistema
10.8 Categoría: Intercambios de Información y Software
10.8.1 Control: Procedimientos y controles de intercambio de la información
10.8.2 Control: Acuerdos de Intercambio de Información y Software
10.8.3 Control: Seguridad de los Medios en Tránsito
10.8.4 Control: Seguridad de los la Mensajería
10.8.5 Control: Seguridad del Gobierno Electrónico
10.9 Categoría: Seguridad del Correo Electrónico
10.9.1 Control: Riesgos de Seguridad
10.9.2 Control: Política de Correo Electrónico
10.9.3 Control: Seguridad de los Sistemas Electrónicos de Oficina
10.9.4 Control: Sistemas de Acceso Público
10.9.5 Control: Otras Formas de Intercambio de Información
10.10 Categoría: Seguimiento y control
10.10.1 Control: Registro de auditoría
10.10.2 Control: Protección de los registros
10.10.3 Control: Registro de actividad de administrador y operador
10.10.4 Control: Sincronización de Relojes
11. Cláusula: Gestión de Accesos
11.1 Categoría: Requerimientos para el Control de Acceso
11.1.1 Control: Política de Control de Accesos
11.1.2 Control: Reglas de Control de Acceso
11.2 Categoría: Administración de Accesos de Usuarios
11.2.1 Control: Registración de Usuarios
11.2.2 Control: Gestión de Privilegios
11.2.3 Control: Gestión de Contraseñas de Usuario
11.2.4 Control: Administración de Contraseñas Críticas
11.2.5 Revisión de Derechos de Acceso de Usuarios
11.3 Categoría: Responsabilidades del Usuario
11.3.1 Control: Uso de Contraseñas
11.3.2 Control: Equipos Desatendidos en Areas de Usuarios
11.4 Categoría: Control de Acceso a la Red
11.4.1 Control: Política de Utilización de los Servicios de Red
11.4.2 Control: Camino Forzado
11.4.3 Control: Autenticación de Usuarios para Conexiones Externas
11.4.4 Control: Autenticación de Nodos
11.4.5 Control: Protección de los Puertos (Ports) de Diagnóstico Remoto
11.4.6 Control: Subdivisión de Redes
11.4.7 Control: Acceso a Internet
11.4.8 Control: Conexión a la Red
11.4.9 Control: Ruteo de Red
11.4.10 Control: Seguridad de los Servicios de Red
11.5 Categoría: Control de Acceso al Sistema Operativo
11.5.1 Control: Identificación Automática de Terminales
11.5.2 Control: Procedimientos de Conexión de Terminales
11.5.3 Control: Identificación y Autenticación de los Usuarios
11.5.4 Control: Sistema de Administración de Contraseñas
11.5.5 Control: Uso de Utilitarios de Sistema
11.5.6 Control: Alarmas Silenciosas para la Protección de los Usuarios
11.5.7 Control: Desconexión de Terminales por Tiempo Muerto
11.5.8 Control: Limitación del Horario de Conexión
11.6 Categoría: Control de Acceso a las Aplicaciones
11.6.1 Control: Restricción del Acceso a la Información
11.6.2 Control: Aislamiento de los Sistemas Sensibles
11.7 Categoría: Monitoreo del Acceso y Uso de los Sistemas
11.7.1 Control: Registro de Eventos
11.7.2 Control: Procedimientos y Areas de Riesgo
11.8 Categoría: Dispositivos Móviles y Trabajo Remoto
11.8.1 Control: Computación Móvil
11.8.2 Control: Trabajo Remoto
12. Cláusula: Adquisición, desarrollo y mantenimiento de sistemas
12.1 Categoría: Requerimientos de Seguridad de los Sistemas
12.1.1 Control: Análisis y Especificaciones de los Requerimientos de seguridad
12.2 Categoría: Seguridad en los Sistemas de Aplicación
12.2.1 Validación de Datos de Entrada
12.2.2 Control: Controles de Procesamiento Interno
12.2.3 Control: Autenticación de Mensajes
12.2.4 Control: Validación de Datos de Salidas
12.3 Categoría: Controles Criptográficos
12.3.1 Control: Política de Utilización de Controles Criptográficos
12.3.2 Control: Cifrado
12.3.4 Control: Firma Digital
12.3.5 Control: Servicios de No Repudio
12.3.6 Control: Protección de claves criptográficas
12.3.7 Control: Protección de Claves criptográficas: Normas y procedimientos
12.4 Categoría: Seguridad de los Archivos del Sistema
12.4.1 Control: Software Operativo
12.4.2 Control: Protección de los Datos de Prueba del Sistema
12.4.3 Control: Cambios a Datos Operativos
12.4.4 Control: Acceso a las Bibliotecas de Programas fuentes
12.5 Categoría: Seguridad de los Procesos de Desarrollo y Soporte
12.5.1 Control Procedimiento de Control de Cambios
12.5.2 Control: Revisión Técnica de los Cambios en el sistema Operativo
12.5.3 control: Restricción del Cambio de Paquetes de Software
12.5.4 Control: Canales Ocultos y Código Malicioso
12.5.6 Control: Desarrollo Externo de Software
12.6 Categoría: Gestión de vulnerabilidades técnicas
12.6.1 Control: Vulnerabilidades técnicas
13. Cláusula: Gestión de Incidentes de Seguridad
13.1 Categoría: Informe de los eventos y debilidades de la seguridad
13.1.1 Reporte de los eventos de la seguridad de información
13.1.2 Reporte de las debilidades de la seguridad
13.1.3 Comunicación de Anomalías del Software
13.2 Categoría: Gestión de los Incidentes y mejoras de la seguridad
13.2.1 Control: Responsabilidades y procedimientos
13.2.2 Aprendiendo a partir de los incidentes de la seguridad de la información
13.2.3 Procesos Disciplinarios
14. Cláusula: Gestión de la Continuidad
14.1 Categoría: Gestión de continuidad del Organismo
14.1.1 Control: Proceso de Administración de la continuidad del Organismo
14.1.2 Control: Continuidad de las Actividades y Análisis de los impactos
14.1.3 Control: Elaboración e implementación de os planes de continuidad de las Actividades del Organismo
14.1.4 Control: Marco para la Planificación de la continuidad de las Actividades del Organismo
14.1.5 Control: Ensayo, Mantenimiento y Reevaluación de los Planes de continuidad del Organismo
15. Cláusula: Cumplimiento
15.1 Categoría: Cumplimiento de Requisitos Legales
15.1.1 Control: Identificación de la Legislación Aplicable
15.1.2 Control: Derechos de Propiedad Intelectual
15.1.3 Control: Protección de los Registros del Organismo
15.1.3 Control: Protección de Datos y Privacidad de la Información Personal
15.1.4 Control: Prevención del Uso Inadecuado de los Recursos de Procesamiento de Información
15.1.6 Regulación de Controles para el Uso de Criptografía
15.1.7 Recolección de Evidencia
15.1.8 Delitos Informáticos
15.2 Categoría: Revisiones de la Política de Seguridad y la Compatibilidad
15.2.1 Control: Cumplimiento de la Política de Seguridad
15.2.2 Verificación de la Compatibilidad Técnica
15.3 Consideraciones de Auditorías de Sistemas
15.3.1 Controles de Auditoría de Sistemas
15.3.2 Protección de los Elementos Utilizados por la Auditoría de Sistemas
15.3.3 Sanciones Previstas por Incumplimiento
La política modelo completa la podrá encontrar en: http://www.infoleg.gob.ar/infolegInternet/anexos/215000-219999/219163/norma.htm
Oficina Nacional de Tecnologías de Información - ADMINISTRACION PUBLICA NACIONAL
Disposición 3/2013, Bs. As., 27/8/2013
VISTO el Expediente CUDAP: EXP-JGM: 50449/2011 del Registro de la JEFATURA DE GABINETE DE MINISTROS, el Decreto Nº 378 del 27 de abril de 2005, la Decisión Administrativa Nº 669 del 20 de diciembre de 2004 de la JEFATURA DE GABINETE DE MINISTROS, la Resolución Nº 45 de fecha 24 de junio de 2005 de la entonces SUBSECRETARIA DE LA GESTION PUBLICA, la Disposición Nº 6 de fecha 8 de agosto de 2005 de la OFICINA DE TECNOLOGIAS DE INFORMACION, y
CONSIDERANDO:
Que el Decreto Nº 378/05 aprobó los Lineamientos Estratégicos que deberán regir el Plan Nacional de Gobierno Electrónico y los Planes Sectoriales de Gobierno Electrónico de los Organismos de la ADMINISTRACION PUBLICA NACIONAL a fin de promover el empleo eficiente y coordinado de los recursos de las Tecnologías de la Información y las Comunicaciones.
Que la Decisión Administrativa Nº 669/04 de la JEFATURA DE GABINETE DE MINISTROS estableció en su artículo 1º que los organismos del Sector Público Nacional comprendidos en el artículo 7º de la citada medida deberán dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo a dictarse dentro del plazo de CIENTO OCHENTA (180) días de aprobada dicha Política de Seguridad Modelo.
Que el artículo 8º de la mencionada Decisión Administrativa, facultó al entonces señor SUBSECRETARIO DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS a aprobar la Política de Seguridad Modelo y a dictar las normas aclaratorias y complementarias de la citada medida, pudiendo dicha autoridad delegar en el DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION las facultades aludidas.
Que consecuentemente el artículo 1º de la Resolución de la ex SUBSECRETARIA DE GESTION PUBLICA Nº 45/05 de la JEFATURA DE GABINETE DE MINISTROS facultó al señor DIRECTOR NACIONAL de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION a aprobar la Política de Seguridad de la Información Modelo y dictar las normas aclaratorias y complementarias que requiera la aplicación de la Decisión Administrativa JGM Nº 669/2004.
Que la Disposición Nº 6/05 de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION de la SUBSECRETARIA DE TECNOLOGIAS DE GESTION de la SECRETARIA DE GABINETE Y COORDINACION ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS en su artículo 1º aprobó la “Política de Seguridad de la Información Modelo” ordenada por la Decisión Administrativa JGM Nº 669/04, y que sirve como base para la elaboración de las respectivas políticas a dictarse por cada organismo alcanzado por la citada norma.
Que atento al incremento en cantidad y variedad de amenazas y vulnerabilidades que rodean a los activos de información, la “Política de Seguridad Modelo” oportunamente aprobada requiere ser actualizada a fin de mantener su vigencia y nivel de eficacia.
Que la mera elaboración por parte de los organismos de políticas de seguridad no es suficiente para garantizar la seguridad de la información, la que permite a su vez, garantizar la prestación continua e ininterrumpida de los diversos servicios públicos prestados por dichos organismos.
Que sólo a través de la efectiva implementación de las medidas contempladas en dichas políticas se podrá proteger acabadamente los recursos de información de los organismos como así también la tecnología utilizada para su procesamiento.
Que ha tomado la intervención de su competencia la DIRECCION GENERAL DE ASUNTOS JURIDICOS de la SUBSECRETARIA DE COORDINACION ADMINISTRATIVA de la SECRETARIA DE GABINETE y COORDINACION ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS.
Que la presente medida se dicta en ejercicio de las facultades conferidas por el artículo 1° de la Resolución de la ex SUBSECRETARIA DE GESTION PUBLICA Nº 45/05.
Por ello,
EL DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION
DISPONE:
Artículo 1° — Apruébase la “Política de Seguridad de la Información Modelo”, que reemplaza a los mismos fines a la aprobada por Disposición ONTI Nº 6/2005, que como Anexo I forma parte integrante de la presente.
Art. 2° — Las disposiciones de la Política de Seguridad de la Información Modelo servirán como base para la elaboración de las respectivas políticas a dictarse por cada organismo alcanzado por la Decisión Administrativa Nº 669/2004, debiendo ser interpretada como un compendio de mejores prácticas en materia de seguridad de la información para las entidades, públicas y adaptada a la realidad y recursos de cada organismo.
Art. 3° — Las funciones a las que hace alusión la Política de Seguridad Modelo deberán ser asignadas de acuerdo a las particularidades y operatoria de cada organismo. Dicha asignación deberá realizarse evitándose la duplicación de tareas y asegurando la segregación de funciones incompatibles siempre que sea posible, o bien mediante la implementación de controles para mitigar dicho riesgo.
Art. 4° — Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Pedro Janices.
ANEXO I: Política de Seguridad de la Información Modelo
Tabla de contenido1 Introducción
1.1 Alcance
1.2 Qué es seguridad de la información
1.3 ¿Por qué es necesario
1.4 Requerimientos de seguridad
1.5 Evaluación de los riesgos de seguridad
1.6 Selección de controles
1.7 ¿Cómo empezar
1.8 Factores críticos de éxito
2 Términos y Definiciones
2.1 Seguridad de la Información
2.2 Evaluación de Riesgos
2.2 Tratamiento de Riesgos
2.3 Gestión de Riesgos
2.4 Comité de Seguridad de la Información
2.5 Responsable de Seguridad de la Información
2.6 Incidente de Seguridad
2.8 Riesgo
2.9 Amenaza
2.10 Vulnerabilidad
2.11 Control
3. Estructura de la política Modelo
4. Evaluación y tratamiento de riesgos
4.1 Evaluación de los riesgos de seguridad
4.2 Tratamiento de riesgos de seguridad
5. Cláusula: Política de Seguridad de la Información
5.1 Categoría: Política de Seguridad de la información
5.1.1 Control: Documento de la política de seguridad de la información
5-1-2 Control: Revisión de la política de seguridad de la información
6. Cláusula: Organización
6.1 Categoría: Organización interna
6.1.1 Control: Compromiso de la dirección con la seguridad de la información
6-1-2 Control: Coordinación de la seguridad de la información
6-1-3 Control: Asignación de responsabilidades de la seguridad de la información
6-1-4 Control: Autorización para Instalaciones de Procesamiento de Información
6-1-5 Control: Acuerdos de confidencialidad
6-1-6 Control: Contacto con otros organismos
6-1-7 Control: Contacto con grupos de interés especial
6-1-8 Control: Revisión independiente de la seguridad de la información
6.2 Categoría: Grupos o personas externas
6.2.1 Control: Identificación de los riesgos relacionados con grupos externos
6-2-2 Control: Puntos de seguridad de la información a considerar en Contratos o Acuerdos con terceros
6-2-3 Control: Puntos de Seguridad de la Información a ser considerados en acuerdos con terceros
7. Cláusula: Gestión de Activos
7.1 Categoría: Responsabilidad sobre los activos
7.1.1 Control: Inventario de activos
7.1.2 Control: Propiedad de los activos
7.1.3 Control: Uso aceptable de los activos
7.2 Categoría: Clasificación de la información
7.2.1 Control: Directrices de clasificación
7.2.2 Control: Etiquetado y manipulado de la información
8. Cláusula: Recursos Humanos
8.1 Categoría: Antes del empleo
8.1.1 Control: Funciones y responsabilidades
8.1.2 Control: Investigación de antecedentes
8.1.3 Control: Términos y condiciones de contratación
8.2 Categoría: Durante el empleo
8.2.1 Control: Responsabilidad de la dirección
8.2.2 Control: Concientización, formación y capacitación en seguridad de la información
8.2.3 Control: Proceso disciplinario
8.3 Categoría: Cese del empleo o cambio de puesto de trabajo
8.3.1 Control: Responsabilidad del cese o cambio
8.3.2 Control: Devolución de activos
8.3.3 Control: Retiro de los derechos de acceso
9. Cláusula: Física y Ambiental
9.1 Categoría: Areas Seguras
9.1.1 Control: Perímetro de seguridad física
9.1.2 Control: Controles físicos de entrada
9.1.3 Control: Seguridad de oficinas, despachos, instalaciones
9.1.4 Control: Protección contra amenazas externas y de origen ambiental
9.1.5 Control: Trabajo en áreas seguras
9.1.6 Control: Areas de acceso público, de carga y descarga
9.2 Categoría: Seguridad de los equipos
9.2.1 Control: emplazamiento y protección de equipos
9.2.2 Control: Instalaciones de suministro
9.2.3 Control: Seguridad del cableado
9.2.4 Control: Mantenimiento de los equipos
9.2.5 Control: Seguridad de los equipos fuera de las instalaciones
9.2.6 Control: Reutilización o retiro seguro de equipos
9.2.7 Control: Retirada de materiales propiedad de la empresa
9.2.8 Políticas de Escritorios y Pantallas Limpias
10. Cláusula: Gestión de Comunicaciones y Operaciones
10.1 Categoría: Procedimientos y Responsabilidades Operativas
10.1.1 Control: Documentación de los Procedimientos Operativos
10.1.2 Control: Cambios en las Operaciones
10.1.3 Control: Separación de Funciones
10.1.4 Control: Separación entre Instalaciones de Desarrollo e Instalaciones Operativas
10.2 Categoría: Gestión de Provisión de Servicios
10.2.1 Control: Provisión de servicio
10.2.2 Control: Seguimiento y revisión de los servicios de las terceras partes
10.2.3 Control: Gestión del cambio de los servicios de terceras partes
10.3 Categoría: Planificación y Aprobación de Sistemas
10.3.1 Control: Planificación de la Capacidad
10.3.2 Control: Aprobación del Sistema
10.4 Categoría: Protección Contra Código Malicioso
10.4.1 Control: Código Malicioso
10.4.2 Control: Código Móvil
10.5 Categoría: Respaldo o Back-up
10.5.1 Control: Resguardo de la Información
10.5.2 Control: Registro de Actividades del Personal Operativo
10.5.3 Control: Registro de Fallas
10.6 Categoría: Gestión de la Red
10.6.1 Control: Redes
10.7 Categoría: Administración y Seguridad de los medios de almacenamiento
10.7.1 Control: Administración de Medios Informáticos Removibles
10.7.2 Control: Eliminación de Medios de Información
10.7.3 Control: Procedimientos de Manejo de la Información
10.7.4 Control: Seguridad de la Documentación del Sistema
10.8 Categoría: Intercambios de Información y Software
10.8.1 Control: Procedimientos y controles de intercambio de la información
10.8.2 Control: Acuerdos de Intercambio de Información y Software
10.8.3 Control: Seguridad de los Medios en Tránsito
10.8.4 Control: Seguridad de los la Mensajería
10.8.5 Control: Seguridad del Gobierno Electrónico
10.9 Categoría: Seguridad del Correo Electrónico
10.9.1 Control: Riesgos de Seguridad
10.9.2 Control: Política de Correo Electrónico
10.9.3 Control: Seguridad de los Sistemas Electrónicos de Oficina
10.9.4 Control: Sistemas de Acceso Público
10.9.5 Control: Otras Formas de Intercambio de Información
10.10 Categoría: Seguimiento y control
10.10.1 Control: Registro de auditoría
10.10.2 Control: Protección de los registros
10.10.3 Control: Registro de actividad de administrador y operador
10.10.4 Control: Sincronización de Relojes
11. Cláusula: Gestión de Accesos
11.1 Categoría: Requerimientos para el Control de Acceso
11.1.1 Control: Política de Control de Accesos
11.1.2 Control: Reglas de Control de Acceso
11.2 Categoría: Administración de Accesos de Usuarios
11.2.1 Control: Registración de Usuarios
11.2.2 Control: Gestión de Privilegios
11.2.3 Control: Gestión de Contraseñas de Usuario
11.2.4 Control: Administración de Contraseñas Críticas
11.2.5 Revisión de Derechos de Acceso de Usuarios
11.3 Categoría: Responsabilidades del Usuario
11.3.1 Control: Uso de Contraseñas
11.3.2 Control: Equipos Desatendidos en Areas de Usuarios
11.4 Categoría: Control de Acceso a la Red
11.4.1 Control: Política de Utilización de los Servicios de Red
11.4.2 Control: Camino Forzado
11.4.3 Control: Autenticación de Usuarios para Conexiones Externas
11.4.4 Control: Autenticación de Nodos
11.4.5 Control: Protección de los Puertos (Ports) de Diagnóstico Remoto
11.4.6 Control: Subdivisión de Redes
11.4.7 Control: Acceso a Internet
11.4.8 Control: Conexión a la Red
11.4.9 Control: Ruteo de Red
11.4.10 Control: Seguridad de los Servicios de Red
11.5 Categoría: Control de Acceso al Sistema Operativo
11.5.1 Control: Identificación Automática de Terminales
11.5.2 Control: Procedimientos de Conexión de Terminales
11.5.3 Control: Identificación y Autenticación de los Usuarios
11.5.4 Control: Sistema de Administración de Contraseñas
11.5.5 Control: Uso de Utilitarios de Sistema
11.5.6 Control: Alarmas Silenciosas para la Protección de los Usuarios
11.5.7 Control: Desconexión de Terminales por Tiempo Muerto
11.5.8 Control: Limitación del Horario de Conexión
11.6 Categoría: Control de Acceso a las Aplicaciones
11.6.1 Control: Restricción del Acceso a la Información
11.6.2 Control: Aislamiento de los Sistemas Sensibles
11.7 Categoría: Monitoreo del Acceso y Uso de los Sistemas
11.7.1 Control: Registro de Eventos
11.7.2 Control: Procedimientos y Areas de Riesgo
11.8 Categoría: Dispositivos Móviles y Trabajo Remoto
11.8.1 Control: Computación Móvil
11.8.2 Control: Trabajo Remoto
12. Cláusula: Adquisición, desarrollo y mantenimiento de sistemas
12.1 Categoría: Requerimientos de Seguridad de los Sistemas
12.1.1 Control: Análisis y Especificaciones de los Requerimientos de seguridad
12.2 Categoría: Seguridad en los Sistemas de Aplicación
12.2.1 Validación de Datos de Entrada
12.2.2 Control: Controles de Procesamiento Interno
12.2.3 Control: Autenticación de Mensajes
12.2.4 Control: Validación de Datos de Salidas
12.3 Categoría: Controles Criptográficos
12.3.1 Control: Política de Utilización de Controles Criptográficos
12.3.2 Control: Cifrado
12.3.4 Control: Firma Digital
12.3.5 Control: Servicios de No Repudio
12.3.6 Control: Protección de claves criptográficas
12.3.7 Control: Protección de Claves criptográficas: Normas y procedimientos
12.4 Categoría: Seguridad de los Archivos del Sistema
12.4.1 Control: Software Operativo
12.4.2 Control: Protección de los Datos de Prueba del Sistema
12.4.3 Control: Cambios a Datos Operativos
12.4.4 Control: Acceso a las Bibliotecas de Programas fuentes
12.5 Categoría: Seguridad de los Procesos de Desarrollo y Soporte
12.5.1 Control Procedimiento de Control de Cambios
12.5.2 Control: Revisión Técnica de los Cambios en el sistema Operativo
12.5.3 control: Restricción del Cambio de Paquetes de Software
12.5.4 Control: Canales Ocultos y Código Malicioso
12.5.6 Control: Desarrollo Externo de Software
12.6 Categoría: Gestión de vulnerabilidades técnicas
12.6.1 Control: Vulnerabilidades técnicas
13. Cláusula: Gestión de Incidentes de Seguridad
13.1 Categoría: Informe de los eventos y debilidades de la seguridad
13.1.1 Reporte de los eventos de la seguridad de información
13.1.2 Reporte de las debilidades de la seguridad
13.1.3 Comunicación de Anomalías del Software
13.2 Categoría: Gestión de los Incidentes y mejoras de la seguridad
13.2.1 Control: Responsabilidades y procedimientos
13.2.2 Aprendiendo a partir de los incidentes de la seguridad de la información
13.2.3 Procesos Disciplinarios
14. Cláusula: Gestión de la Continuidad
14.1 Categoría: Gestión de continuidad del Organismo
14.1.1 Control: Proceso de Administración de la continuidad del Organismo
14.1.2 Control: Continuidad de las Actividades y Análisis de los impactos
14.1.3 Control: Elaboración e implementación de os planes de continuidad de las Actividades del Organismo
14.1.4 Control: Marco para la Planificación de la continuidad de las Actividades del Organismo
14.1.5 Control: Ensayo, Mantenimiento y Reevaluación de los Planes de continuidad del Organismo
15. Cláusula: Cumplimiento
15.1 Categoría: Cumplimiento de Requisitos Legales
15.1.1 Control: Identificación de la Legislación Aplicable
15.1.2 Control: Derechos de Propiedad Intelectual
15.1.3 Control: Protección de los Registros del Organismo
15.1.3 Control: Protección de Datos y Privacidad de la Información Personal
15.1.4 Control: Prevención del Uso Inadecuado de los Recursos de Procesamiento de Información
15.1.6 Regulación de Controles para el Uso de Criptografía
15.1.7 Recolección de Evidencia
15.1.8 Delitos Informáticos
15.2 Categoría: Revisiones de la Política de Seguridad y la Compatibilidad
15.2.1 Control: Cumplimiento de la Política de Seguridad
15.2.2 Verificación de la Compatibilidad Técnica
15.3 Consideraciones de Auditorías de Sistemas
15.3.1 Controles de Auditoría de Sistemas
15.3.2 Protección de los Elementos Utilizados por la Auditoría de Sistemas
15.3.3 Sanciones Previstas por Incumplimiento
La política modelo completa la podrá encontrar en: http://www.infoleg.gob.ar/infolegInternet/anexos/215000-219999/219163/norma.htm
No hay comentarios.