Transcription of Modelo de Seguridad y Privacidad de la Información
1 Modelo de Seguridad y Privacidad de la Informaci n Modelo HISTORIA VERSI N FECHA CAMBIOS INTRODUCIDOS 15/12/2010 Versi n inicial del documento 30/09/2011 Restructuraci n de forma 30/11/2011 Actualizaci n del documento 03/03/2015 Revisi n documento 11/03/2016 Actualizaci n del documento 29/07/2016 Actualizaci n del documento Contenido 1. DERECHOS DE AUTOR .. 6 2. AUDIENCIA .. 7 3. INTRODUCCI N .. 8 4. JUSTIFICACI N .. 10 5. GLOSARIO .. 11 6. OBJETIVOS .. 18 OBJETIVO GENERAL .. 18 OBJETIVOS ESPEC FICOS .. 18 7. Modelo DE Seguridad Y Privacidad DE LA INFORMACI N .. 20 8. DESCRIPCI N DEL CICLO DE OPERACI N .. 21 FASE DE DIAGN STICO - ETAPAS PREVIAS A LA IMPLEMENTACI N 22 FASE DE PLANIFICACI N.
2 23 Pol tica de Seguridad y Privacidad de la informaci n.. 26 Pol ticas de Seguridad y Privacidad de la Informaci n.. 26 Procedimientos de Seguridad de la Informaci n.. 26 Roles y Responsabilidades de Seguridad y Privacidad de la Informaci n.. 26 Inventario de activos de informaci n.. 27 Integraci n del MSPI con el Sistema de Gesti n documental.. 27 Identificaci n, Valoraci n Y Tratamiento de Riesgos.. 27 Plan de Comunicaciones.. 28 Plan de transici n de IPv4 a IPv6.. 28 FASE DE IMPLEMENTACI 28 Planificaci n y Control Operacional.. 30 Implementaci n del plan de tratamiento de riesgos.. 30 Indicadores De Gesti n.. 31 Plan de Transici n de IPv4 a IPv6.
3 31 FASE DE EVALUACI N DE DESEMPE O .. 31 Plan de revisi n y seguimiento a la implementaci n del MSPI.. 32 Plan de Ejecuci n de Auditorias .. 33 FASE DE MEJORA CONTINUA .. 34 9. Modelo DE MADUREZ .. 36 10. Privacidad DE LA INFORMACI N .. 39 Contar con una herramienta de an lisis sobre impacto en la Privacidad .. 40 Descripci n de los flujos de informaci n .. 40 Identificar los riesgos de Privacidad .. 40 Fase Diagnostico .. 42 Fase Planificaci n .. 43 Fase de Implementaci n .. 44 Fase de Evaluaci n del desempe o .. 45 Fase de Mejora Continua .. 46 11. ADOPCI N DEL PROTOCOLO IPv6 .. 47 FASE DE PLANEACI N .. 47 FASE DE IMPLEMENTACI N .. 48 FASE PRUEBAS DE FUNCIONALIDAD.
4 49 12. PLAZOS .. 51 Sujetos Obligados del Orden Nacional .. 51 Sujetos Obligados del Orden Territorial .. 51 Gu as Modelo de Seguridad y Privacidad de la Informaci n .. 52 Gu as Marco de Referencia de Arquitectura Empresarial .. 53 1. DERECHOS DE AUTOR Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de la Informaci n, con derechos reservados por parte del Ministerio de Tecnolog as de la Informaci n y las Comunicaciones, a trav s de la estrategia de Gobierno en L nea. Todas las referencias a las pol ticas, definiciones o contenido relacionado, publicadas en el compendio de las normas t cnicas colombianas NTC ISO/IEC 27000 vigentes, as como a los anexos con derechos reservados por parte de ISO/ICONTEC.
5 2. AUDIENCIA Entidades p blicas de orden nacional y territorial, as como proveedores de servicios de Gobierno en L nea, y terceros que deseen adoptar el Modelo de Seguridad y Privacidad de la informaci n en el marco de la estrategia de Gobierno en L nea. 3. INTRODUCCI N Este documento se elabor con la recopilaci n de las mejores pr cticas, nacionales e internacionales, para suministrar requisitos para el diagn stico, planificaci n, implementaci n, gesti n y mejoramiento continuo, del Modelo de Seguridad y Privacidad de la Informaci n - MSPI de la estrategia de Gobierno en L nea GEL. El Ministerio de Tecnolog as de la Informaci n y las Comunicaciones - MinTIC, es la entidad encargada de dise ar, adoptar y promover las pol ticas, planes, programas y proyectos del sector de las Tecnolog as de la Informaci n y las Comunicaciones.
6 La estrategia de Gobierno en L nea, liderada por el Ministerio TIC, tiene como objetivo, garantizar el m ximo aprovechamiento de las tecnolog as de la informaci n y las comunicaciones, con el fin de contribuir con la construcci n de un Estado m s participativo, m s eficiente y m s transparente. La planificaci n e implementaci n del Modelo de Seguridad y Privacidad de la Informaci n MSPI, en la Entidad est determinado por las necesidades y objetivos, los requisitos de Seguridad , los procesos misionales y el tama o y estructura de la Entidad. El Modelo de Seguridad y Privacidad de la Informaci n MSPI, conduce a la preservaci n de la confidencialidad, integridad, disponibilidad de la informaci n, permitiendo garantizar la Privacidad de los datos,, mediante la aplicaci n de un proceso de gesti n del riesgo, brindando confianza a las partes interesadas acerca de la adecuada gesti n de riesgos.
7 A trav s del decreto nico reglamentario 1078 de 2015, del sector de Tecnolog as de Informaci n y las Comunicaciones, se define el componente de Seguridad y Privacidad de la informaci n, como parte integral de la estrategia GEL. Para el desarrollo del componente de Seguridad y Privacidad de la Informaci n, se ha elaborado un conjunto de documentos asociados al Modelo de Seguridad y Privacidad de la Informaci n, los cuales a lo largo de los ltimos a os, han sido utilizados por las diferentes entidades tanto del orden nacional como territorial, para mejorar sus est ndares de Seguridad de la informaci n. El Modelo de Seguridad y Privacidad para estar acorde con las buenas pr cticas de Seguridad ser actualizado peri dicamente; as mismo recoge adem s de los cambios t cnicos de la norma, legislaci n de la Ley de Protecci n de Datos Personales, Transparencia y Acceso a la Informaci n P blica, entre otras, las cuales se deben tener en cuenta para la gesti n de la informaci n; de otro lado el MSPI especifica los nuevos lineamientos que permiten la adopci n del protocolo IPv6 en el Estado Colombiano.
8 El Modelo de Seguridad y Privacidad de la Informaci n se encuentra alineado con el Marco de Referencia de Arquitectura TI y soporta transversalmente los otros componentes de la estrategia GEL: TIC para Servicios, TIC para Gobierno Abierto y TIC para Gesti n. El presente Modelo pretende facilitar la comprensi n del proceso de construcci n de una pol tica de Privacidad por parte de la entidad, que permita fijar los criterios que seguir n para proteger la Privacidad de la informaci n y los datos, as como de los procesos y las personas vinculadas con dicha informaci n. Finalmente, a nivel metodol gico es importante tener presente que se han incluido una serie de gu as en cada una de las fases del Modelo , para que los destinatarios del mismo tengan claridad de cu les son los resultados a obtener y como desarrollarlos.
9 4. JUSTIFICACI N El Ministerio TIC a trav s de la Direcci n de Est ndares y Arquitectura de TI y la Subdirecci n de Seguridad y Privacidad de TI, dando cumplimiento a sus funciones, a trav s de las cuales contribuye a la construcci n de un Estado m s eficiente, m s transparente y participativo, publica El Modelo de Seguridad y Privacidad de la Informaci n, para dar cumplimiento a lo establecido en el componente de Seguridad y Privacidad de la informaci n de la estrategia de gobierno en l nea. Mediante el aprovechamiento de las TIC y el Modelo de Seguridad y Privacidad de la informaci n, se trabaja en el fortalecimiento de la Seguridad de la informaci n en las entidades, con el fin de garantizar la protecci n de la misma y la Privacidad de los datos de los ciudadanos y funcionarios de la entidad, todo esto acorde con lo expresado en la legislaci n Colombiana.
10 5. GLOSARIO Acceso a la Informaci n P blica: Derecho fundamental consistente en la facultad que tienen todas las personas de conocer sobre la existencia y acceder a la informaci n p blica en posesi n o bajo control de sujetos obligados. (Ley 1712 de 2014, art 4) Activo En relaci n con la Seguridad de la informaci n, se refiere a cualquier informaci n o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, ) que tenga valor para la organizaci n. (ISO/IEC 27000). Activo de Informaci n: En relaci n con la Privacidad de la informaci n, se refiere al activo que contiene informaci n p blica que el sujeto obligado genere, obtenga, adquiera, transforme o controle en su calidad de tal.
