Disposición 3/2013

EmisorOficina Nacional de Tecnologías de Información
Fecha de la disposición27 de Agosto de 2013



Oficina Nacional de Tecnologías de Información

ADMINISTRACION PUBLICA NACIONAL

Disposición3/2013Apruébase la “Política de Seguridad de la Información Modelo”.

Bs. As., 27/8/2013

VISTO el Expediente CUDAP: EXP-JGM: 50449/2011 del Registro de la JEFATURA DE GABINETE DE MINISTROS, el Decreto Nº 378 del 27 de abril de 2005, la Decisión Administrativa Nº 669 del 20 de diciembre de 2004 de la JEFATURA DE GABINETE DE MINISTROS, la Resolución Nº 45 de fecha 24 de junio de 2005 de la entonces SUBSECRETARIA DE LA GESTION PUBLICA, la Disposición Nº 6 de fecha 8 de agosto de 2005 de la OFICINA DE TECNOLOGIAS DE INFORMACION, y

CONSIDERANDO:

Que el Decreto Nº 378/05 aprobó los Lineamientos Estratégicos que deberán regir el Plan Nacional de Gobierno Electrónico y los Planes Sectoriales de Gobierno Electrónico de los Organismos de la ADMINISTRACION PUBLICA NACIONAL a fin de promover el empleo eficiente y coordinado de los recursos de las Tecnologías de la Información y las Comunicaciones.

Que la Decisión Administrativa Nº 669/04 de la JEFATURA DE GABINETE DE MINISTROS estableció en su artículo 1º que los organismos del Sector Público Nacional comprendidos en el artículo 7º de la citada medida deberán dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo a dictarse dentro del plazo de CIENTO OCHENTA (180) días de aprobada dicha Política de Seguridad Modelo.

Que el artículo 8º de la mencionada Decisión Administrativa, facultó al entonces señor SUBSECRETARIO DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS a aprobar la Política de Seguridad Modelo y a dictar las normas aclaratorias y complementarias de la citada medida, pudiendo dicha autoridad delegar en el DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION las facultades aludidas.

Que consecuentemente el artículo 1º de la Resolución de la ex SUBSECRETARIA DE GESTION PUBLICA Nº 45/05 de la JEFATURA DE GABINETE DE MINISTROS facultó al señor DIRECTOR NACIONAL de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION a aprobar la Política de Seguridad de la Información Modelo y dictar las normas aclaratorias y complementarias que requiera la aplicación de la Decisión Administrativa JGM Nº 669/2004.

Que la Disposición Nº 6/05 de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION de la SUBSECRETARIA DE TECNOLOGIAS DE GESTION de la SECRETARIA DE GABINETE Y COORDINACION ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS en su artículo 1º aprobó la “Política de Seguridad de la Información Modelo” ordenada por la Decisión Administrativa JGM Nº 669/04, y que sirve como base para la elaboración de las respectivas políticas a dictarse por cada organismo alcanzado por la citada norma.

Que atento al incremento en cantidad y variedad de amenazas y vulnerabilidades que rodean a los activos de información, la “Política de Seguridad Modelo” oportunamente aprobada requiere ser actualizada a fin de mantener su vigencia y nivel de eficacia.

Que la mera elaboración por parte de los organismos de políticas de seguridad no es suficiente para garantizar la seguridad de la información, la que permite a su vez, garantizar la prestación continua e ininterrumpida de los diversos servicios públicos prestados por dichos organismos.

Que sólo a través de la efectiva implementación de las medidas contempladas en dichas políticas se podrá proteger acabadamente los recursos de información de los organismos como así también la tecnología utilizada para su procesamiento.

Que ha tomado la intervención de su competencia la DIRECCION GENERAL DE ASUNTOS JURIDICOS de la SUBSECRETARIA DE COORDINACION ADMINISTRATIVA de la SECRETARIA DE GABINETE y COORDINACION ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS.

Que la presente medida se dicta en ejercicio de las facultades conferidas por el artículo 1° de la Resolución de la ex SUBSECRETARIA DE GESTION PUBLICA Nº 45/05.

Por ello,

EL DIRECTOR NACIONAL

DE LA OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION

DISPONE:

Artículo 1°

— Apruébase la “Política de Seguridad de la Información Modelo”, que reemplaza a los mismos fines a la aprobada por Disposición ONTI Nº 6/2005, que como Anexo I forma parte integrante de la presente.

Art. 2°

— Las disposiciones de la Política de Seguridad de la Información Modelo servirán como base para la elaboración de las respectivas políticas a dictarse por cada organismo alcanzado por la Decisión Administrativa Nº 669/2004, debiendo ser interpretada como un compendio de mejores prácticas en materia de seguridad de la información para las entidades, públicas y adaptada a la realidad y recursos de cada organismo.

Art. 3°

— Las funciones a las que hace alusión la Política de Seguridad Modelo deberán ser asignadas de acuerdo a las particularidades y operatoria de cada organismo. Dicha asignación deberá realizarse evitándose la duplicación de tareas y asegurando la segregación de funciones incompatibles siempre que sea posible, o bien mediante la implementación de controles para mitigar dicho riesgo.

Art. 4°

— Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Pedro Janices.

ANEXO I

Política de

Seguridad de la Información

Modelo

INDICE

Tabla de contenido

1 Introducción

1.1 Alcance

1.2 Qué es seguridad de la información

1.3 ¿Por qué es necesario

1.4 Requerimientos de seguridad

1.5 Evaluación de los riesgos de seguridad

1.6 Selección de controles

1.7 ¿Cómo empezar

1.8 Factores críticos de éxito

2 Términos y Definiciones

2.1 Seguridad de la Información

2.2 Evaluación de Riesgos

2.2 Tratamiento de Riesgos

2.3 Gestión de Riesgos

2.4 Comité de Seguridad de la Información

2.5 Responsable de Seguridad de la Información

2.6 Incidente de Seguridad

2.8 Riesgo

2.9 Amenaza

2.10 Vulnerabilidad

2.11 Control

  1. Estructura de la política Modelo

  2. Evaluación y tratamiento de riesgos

    4.1 Evaluación de los riesgos de seguridad

    4.2 Tratamiento de riesgos de seguridad

  3. Cláusula: Política de Seguridad de la Información

    5.1 Categoría: Política de Seguridad de la información

    5.1.1 Control: Documento de la política de seguridad de la información

    5-1-2 Control: Revisión de la política de seguridad de la información

  4. Cláusula: Organización

    6.1 Categoría: Organización interna

    6.1.1 Control: Compromiso de la dirección con la seguridad de la información

    6-1-2 Control: Coordinación de la seguridad de la información

    6-1-3 Control: Asignación de responsabilidades de la seguridad de la información

    6-1-4 Control: Autorización para Instalaciones de Procesamiento de Información

    6-1-5 Control: Acuerdos de confidencialidad

    6-1-6 Control: Contacto con otros organismos

    6-1-7 Control: Contacto con grupos de interés especial

    6-1-8 Control: Revisión independiente de la seguridad de la información

    6.2 Categoría: Grupos o personas externas

    6.2.1 Control: Identificación de los riesgos relacionados con grupos externos

    6-2-2 Control: Puntos de seguridad de la información a considerar en Contratos o Acuerdos con terceros

    6-2-3 Control: Puntos de Seguridad de la Información a ser considerados en acuerdos con terceros

  5. Cláusula: Gestión de Activos

    7.1 Categoría: Responsabilidad sobre los activos

    7.1.1 Control: Inventario de activos

    7.1.2 Control: Propiedad de los activos

    7.1.3 Control: Uso aceptable de los activos

    7.2 Categoría: Clasificación de la información

    7.2.1 Control: Directrices de clasificación

    7.2.2 Control: Etiquetado y manipulado de la información

  6. Cláusula: Recursos Humanos

    8.1 Categoría: Antes del empleo

    8.1.1 Control: Funciones y responsabilidades

    8.1.2 Control: Investigación de antecedentes

    8.1.3 Control: Términos y condiciones de contratación

    8.2 Categoría: Durante el empleo

    8.2.1 Control: Responsabilidad de la dirección

    8.2.2 Control: Concientización, formación y capacitación en seguridad de la información

    8.2.3 Control: Proceso disciplinario

    8.3 Categoría: Cese del empleo o cambio de puesto de trabajo

    8.3.1 Control: Responsabilidad del cese o cambio

    8.3.2 Control: Devolución de activos

    8.3.3 Control: Retiro de los derechos de acceso

  7. Cláusula: Física y Ambiental

    9.1 Categoría: Areas Seguras

    9.1.1 Control: Perímetro de seguridad física

    9.1.2 Control: Controles físicos de entrada

    9.1.3 Control: Seguridad de oficinas, despachos, instalaciones

    9.1.4 Control: Protección contra amenazas externas y de origen ambiental

    9.1.5 Control: Trabajo en áreas seguras

    9.1.6 Control: Areas de acceso público, de carga y descarga

    9.2 Categoría: Seguridad de los equipos

    9.2.1 Control: emplazamiento y protección de equipos

    9.2.2 Control: Instalaciones de suministro

    9.2.3 Control: Seguridad del cableado

    9.2.4 Control: Mantenimiento de los equipos

    9.2.5 Control: Seguridad de los equipos fuera de las instalaciones

    9.2.6 Control: Reutilización o retiro seguro de equipos

    9.2.7 Control: Retirada de materiales propiedad de la empresa

    9.2.8 Políticas de Escritorios y Pantallas Limpias

  8. Cláusula: Gestión de Comunicaciones y Operaciones

    10.1 Categoría: Procedimientos y Responsabilidades Operativas

    10.1.1 Control: Documentación de los Procedimientos Operativos

    10.1.2 Control: Cambios en las Operaciones

    10.1.3 Control: Separación de Funciones

    10.1.4 Control: Separación entre Instalaciones de Desarrollo e Instalaciones Operativas

    10.2 Categoría: Gestión de Provisión de Servicios

    10.2.1 Control: Provisión de servicio

    10.2.2 Control: Seguimiento y revisión de los servicios de las terceras partes

    10.2.3 Control: Gestión del cambio de los servicios de terceras partes

    10.3 Categoría: Planificación y Aprobación de Sistemas

    10.3.1 Control: Planificación de la Capacidad

    10.3.2 Control: Aprobación del Sistema

    10.4 Categoría: Protección Contra Código Malicioso

    10.4.1 Control: Código Malicioso

    10.4.2 Control: Código Móvil

    10.5 Categoría: Respaldo o Back-up

    10.5.1 Control: Resguardo de la Información

    10.5.2 Control: Registro de Actividades del Personal Operativo

    10.5.3 Control: Registro de Fallas

    10.6 Categoría: Gestión de...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR