Transcription of Procedimientos De Seguridad De La Información
1 Procedimientos De Seguridad De La Informaci n Gu a No. 3 HISTORIA VERSI N FECHA CAMBIOS INTRODUCIDOS 25/04/2016 Versi n inicial del documento TABLA DE CONTENIDO P G. 2 TABLA DE CONTENIDO .. 3 1. DERECHOS DE AUTOR .. 4 2. AUDIENCIA .. 5 3. INTRODUCCI N .. 6 4. OBJETIVOS .. 7 5. GLOSARIO .. 8 6. Procedimientos DE Seguridad Y PRIVACIDAD DE LA INFORMACI N .. 9 Seguridad DEL RECURSO HUMANO: .. 9 GESTION DE ACTIVOS: .. 10 control DE ACCESO: .. 10 CRIPTOGRAF A:.. 11 Seguridad F SICA Y DEL ENTORNO: .. 11 Seguridad DE LAS OPERACIONES: .. 12 Seguridad DE LAS COMUNICACIONES: .. 13 RELACIONES CON LOS PROVEEDORES: .. 14 ADQUISICI N, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACI N.
2 14 GESTI N DE INCIDENTES DE Seguridad DE LA INFORMACI N: .. 15 ASPECTOS DE Seguridad DE LA INFORMACI N DE LA GESTI N DE CONTINUIDAD DE NEGOCIO: .. 15 7. FORMATO EJEMPLO PARA ELABORACI N DE Procedimientos .. 16 8. BIBLIOGRAF A .. 19 1. DERECHOS DE AUTOR Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de la Informaci n, con derechos reservados por parte del Ministerio de Tecnolog as de la Informaci n y las Comunicaciones, a trav s de la estrategia de Gobierno en L nea. Todas las referencias a las pol ticas, definiciones o contenido relacionado, publicadas en las normas t cnicas colombianas NTC ISO/IEC 27001/27002 vigente, as como a los anexos con derechos reservados por parte de ISO/ICONTEC.
3 2. AUDIENCIA Entidades p blicas de orden nacional y territorial, as como proveedores de servicios de Gobierno en L nea, y terceros que deseen adoptar el Modelo de Seguridad y Privacidad de la informaci n en el marco de la Estrategia de Gobierno en L nea. 3. INTRODUCCI N El Ministerio de Tecnolog as de la Informaci n y las Comunicaciones - MinTIC, es la entidad encargada de dise ar, adoptar y promover las pol ticas, planes, programas y proyectos del sector de las Tecnolog as de la Informaci n y las Comunicaciones. La estrategia de Gobierno en L nea, liderada por el Ministerio TIC, tiene como objetivo, garantizar el m ximo aprovechamiento de las tecnolog as de la informaci n y las comunicaciones, con el fin de contribuir con la construcci n de un Estado m s participativo, m s eficiente y m s transparente.
4 Esta estrategia se fundamenta en cuatro componentes, TIC para servicios, TIC para gobierno abierto, TIC para la gesti n y Seguridad y privacidad de la informaci n, a trav s de los cuales se busca facilitar la masificaci n de la oferta y demanda del Gobierno en L nea. Para el desarrollo del componente de Seguridad y Privacidad de la Informaci n, se ha dise ado un documentos de lineamientos Modelo de Seguridad y Privacidad de la Informaci n el cual lo largo de los ltimos a os se ha ido actualizando en funci n de las modificaciones de la norma t cnica que le sirve de sustento: ISO 27001, las mejores pr cticas y los cambios normativos que tengan impacto sobre el mismo. A su turno el Modelo de Seguridad y Privacidad de la Informaci n se encuentra alineado con el Marco de Referencia de Arquitectura TI y soporta transversalmente los otros componentes de la Estrategia: TIC para Servicios, TIC para Gobierno Abierto y TIC para Gesti n.
5 4. OBJETIVOS La presente gu a tiene como objetivo principal, indicar los Procedimientos de Seguridad que pueden generarse durante el dise o y la implementaci n del modelo de Seguridad y privacidad de la informaci n para las entidades del estado. Dependiendo de la entidad, dichos Procedimientos pueden variar o si la entidad desea puede generar m s Procedimientos si lo considera conveniente. 5. GLOSARIO Gu a: Una gu a es una declaraci n general utilizada para recomendar o sugerir un enfoque para implementar pol ticas, est ndares buenas pr cticas. Las gu as son esencialmente, recomendaciones que deben considerarse al implementar la Seguridad . Aunque no son obligatorias, ser n seguidas a menos que existan argumentos documentados y aprobados para no hacerlo.
6 Procedimiento: Los Procedimientos , definen espec ficamente como las pol ticas, est ndares, mejores pr cticas y gu as que ser n implementadas en una situaci n dada. Los Procedimientos son independientes de la tecnolog a o de los procesos y se refieren a las plataformas, aplicaciones o procesos espec ficos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la Seguridad relacionada con dicho proceso o sistema espec fico. Generalmente los Procedimientos son desarrollados, implementados y supervisados por el due o del proceso o del sistema, los Procedimientos seguir n las pol ticas de la organizaci n, los est ndares, las mejores pr cticas y las gu as tan cerca como les sea posible, y a la vez se ajustaran a los requerimientos procedimentales o t cnicos establecidos dentro del a dependencia donde ellos se aplican.
7 Instructivo: Documento que describe de una manera detallada c mo debe ejecutarse una actividad o tarea determinada para garantizar su realizaci n, hablan sobre m todos espec ficos sobre plataformas, sistemas de informaci n o alg n proceso definido. 6. Procedimientos DE Seguridad Y PRIVACIDAD DE LA INFORMACI N En este documento presenta algunas recomendaciones de Procedimientos de Seguridad de la informaci n para el Modelo de Seguridad y privacidad de la Informaci n para las Entidades del Estado. El conjunto de Procedimientos que se presentar a continuaci n, constituye una base s lida para que cada entidad genere sus documentaciones propias dependiendo de sus caracter sticas particulares, sus activos de informaci n, sus procesos y los servicios de informaci n que pueda prestar.
8 Con el objetivo de hacer una implementaci n transversal de Seguridad de la Informaci n en la Entidad, se tomaron en cuenta los 14 numerales de control de Seguridad de la informaci n definidas en la norma ISO/IEC 27001, para definir los Procedimientos de Seguridad necesarios. Es importante aclarar que en los Procedimientos , se pueden citar instructivos o documentos informativos adicionales como complemento. As mismo, la complejidad o extensi n de cada procedimiento depender del tipo de entidad y los recursos de los cuales disponga. Seguridad DEL RECURSO HUMANO: En este dominio relacionado con el personal que labora dentro de la entidad, se pueden definir los siguientes Procedimientos : PROCEDIMIENTO DE CAPACITACI N Y SENSIBILIZACI N DEL PERSONAL: Indica la metodolog a empleada por la entidad para realizar la capacitaci n y sensibilizaci n del personal en temas de Seguridad de la informaci n teniendo en cuenta los diferentes roles y responsabilidades, la periodicidad de dichas capacitaciones y sensibilizaciones PROCEDIMIENTO DE INGRESO Y DESVINCULACI N DEL PERSONAL.
9 Este procedimiento indica la manera como la entidad gestiona de manera segura el ingreso y desvinculaci n, incluyendo temas como verificaci n de antecedentes, firma de acuerdos de confidencialidad, recepci n de entregables requeridos para generar paz y salvos entre otras caracter sticas. Este procedimiento va de la mano con el rea de gesti n de recursos humanos o contrataci n puede generarse con su colaboraci n. GESTION DE ACTIVOS: En este dominio relacionado con la identificaci n y clasificaci n de activos de acuerdo a su criticidad y nivel de confidencialidad se pueden definir los siguientes Procedimientos : PROCEDIMIENTO DE IDENTIFICACI N Y CLASIFICACI N DE ACTIVOS: En este procedimiento se debe indicar la manera en que los activos de informaci n son identificados e inventariados por la entidad, as como tambi n se debe especificar como son clasificados de acuerdo a su nivel de confidencialidad o criticidad, como se asignan y se devuelven los activos una vez se termina la relaci n laboral con la entidad.
10 Adicionalmente se debe explicar c mo se hace una correcta disposici n de los activos cuando ya no se requieran y su transferencia hacia otros lugares de manera segura. control DE ACCESO: En este dominio relacionado con el acceso a la informaci n y a las instalaciones de procesamiento de la informaci n, se pueden generar los siguientes Procedimientos : PROCEDIMIENTO PARA INGRESO SEGURO A LOS SISTEMAS DE INFORMACI N: En este procedimiento la entidad debe indicar como gestiona el acceso a sus sistemas de informaci n de manera segura, empleando m todos preventivos contra ataques de fuerza bruta, validando los datos completos para ingreso a los sistemas, empleando m todos para cifrar la informaci n de acceso a trav s de la red entre otros.
