Resolución 104/2012
| Fecha de disposición | 30 Julio 2012 |
| Fecha de publicación | 09 Agosto 2012 |
| Sección | Resoluciones |
Bs. As., 30/7/2012
VISTO el Expediente Nº S02:0012182/2010 del Registro del MINISTERIO DEL INTERIOR Y TRANSPORTE, la Decisión Administrativa 669 de fecha 20 de diciembre de 2004, la Disposición de la OFICINA NACIONAL DE TECNOLOGIAS DE LA INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS Nº 6 de 10 de agosto de 2005, y
CONSIDERANDO:
Que el artículo 1º de la Decisión Administrativa Nº 669/2004 establece que los organismos del Sector Público Nacional comprendidos en los incisos a) y c) del artículo 8º de la Ley de Administración Financiera y de los Sistemas de Control del Sector Público Nacional Nº 24.156 y sus modificaciones, deberán dictar, o bien adecuar sus políticas de seguridad de la información.
Que la Decisión Administrativa mencionada en el considerando precedente, prevé la conformación de un Comité de Seguridad de la Información, determinando las funciones que el mismo deberá ejecutar.
Que la Disposición Nº 6 de fecha 3 de agosto de 2005 de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION organismo dependiente de la ex SUBSECRETARIA DE GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS, aprueba la “Política de Seguridad de la Información Modelo”.
Que a los fines de optimizar las herramientas de protección de los activos y recursos de información de este Ministerio, la tecnología utilizada para su procesamiento, y dar acabado cumplimiento con la norma referida ut supra, deviene necesario dictar una política de seguridad de la información conteste con la Política de Seguridad de la Información Modelo.
Que conforme la Decisión Administrativa Nº 669/04 el MINISTERIO DEL INTERIOR Y TRANSPORTE deberá conformar un Comité de Seguridad de la Información integrado por representantes de las Direcciones Nacionales o Generales o equivalentes del organismo.
Que el Comité de Seguridad de la Información citado en el considerando precedente, será coordinado por el SUBESECRETARIO DE COORDINACION DEL MINISTERIO DEL INTERIOR Y TRANSPORTE.
Que la asignación de funciones relativas a la seguridad informática y la integración del Comité de Seguridad de la Información, respectivamente, no deberá implicar erogaciones presupuestarias adicionales.
Que la Dirección General de Asuntos Jurídicos del MINISTERIO DEL INTERIOR Y TRANSPORTE ha tomado intervención.
Que la presente medida se dicta en uso de las atribuciones conferidas por la Ley de Ministerios (t.o. Decreto Nº 438/92), las modificaciones introducidas por la Ley Nº 26.338 y los Arts. 1 y 2 de la Decisión Administrativa 669/2004.
Por ello,
EL MINISTRO
DEL INTERIOR Y TRANSPORTE
RESUELVE:
— Créase el Comité de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE, quedando conformada a partir del dictado de la presente por representantes de la Dirección General del Servicio Administrativo Financiero, la Dirección General de Recursos Humanos, la Dirección General de Asuntos Jurídicos y la Dirección General de Gestión Informática del organismo.
— Apruébase la “POLITICA DE SEGURIDAD DE LA INFORMACION del MINISTERIO DEL INTERIOR Y TRANSPORTE”, que como Anexo I integra la presente medida.
— Desígnase Coordinador del Comité de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE al SUBSECRETARIO DE COORDINACION DEL MINISTERIO DEL INTERIOR Y TRANSPORTE.
— Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y archívese. — Aníbal F. Randazzo.
ANEXO I
POLITICA DE SEGURIDAD DE LA INFORMACION
MINISTERIO DEL INTERIOR Y TRANSPORTE
INDICE
-
INTRODUCCION
1.1. Objetivos de la Política de Seguridad de la Información
-
DEFINICIONES
2.1. Seguridad de la Información
2.2. Información
2.3. Dato
2.4. Clasificación de la Información
2.4.1. Datos Sensibles
2.4.2. Datos Críticos
2.5. Sistema de Información
2.6. Tecnología de la Información
2.7. Recursos Informáticos
2.8. Recursos Informáticos Personales
2.9. Evaluación de Riesgos
2.10. Administración de Riesgos
2.11. Incidente de Seguridad
2.12. Usuario
-
AMBITO DE APLICACION
3.1. Alcance de la Política de Seguridad del MIyT
3.2. Ambito Funcional
3.3. Ambito Personal
-
ORGANIZACION DE LA SEGURIDAD
4.1. Comité de Seguridad de la Información
4.2. Responsables Primarios de la Información
4.3. Coordinación del Comité de Seguridad de la Información
4.3.1. Organización de la Seguridad
4.3.2. Organigrama DGGI
4.3.3. Segregación de Funciones DGGI
4.3.4. Glosario de Funciones
4.4. Designación del Responsable de Area de Sistemas Informáticos
4.5. Designación del Responsable de Area de Tecnología y Seguridad
4.6. Responsable del Area de Recursos Humanos
4.7. Responsable del Area de Capacitación
4.8. Responsable del Area de Seguridad Física
4.9. Responsable de la Unidad de Auditoría Interna
4.10. Asignación de Funciones y Responsabilidades de los Responsables
4.10.1. Responsabilidades del Coordinador del Comité de Seguridad de la Información
4.10.2. Responsabilidades del Comité de Seguridad de la Información
4.10.3. Responsabilidades de Responsables Primarios de Información
4.10.4. Responsabilidades del Area de Sistemas Informáticos
4.10.5. Responsabilidades del Area de Tecnología y Seguridad
4.10.6. Responsabilidades del Area de Backup
4.11. Separación de Funciones
4.11.1. Separación entre Instalaciones de Desarrollo, Prueba y Producción
4.11.2. Esquema teórico de segregación de los entornos de Prueba, Producción y Desarrollo
4.11.2.1. Ambiente de Desarrollo
4.11.2.2. Ambiente de Pruebas
4.11.2.3. Ambiente de Producción
-
FUNCIONES Y OBLIGACIONES DEL PERSONAL Y/O USUARIOS
5.1. Carácter de usuario
5.2. Confidencialidad
5.3. Identificación y Claves de Acceso
5.4. Utilización de Equipos Informáticos
5.5. Utilización de Internet y Correo Electrónico
5.6. Utilización de Programas, Software y Aplicaciones Informáticas
5.7. Política de Escritorios y Pantallas Limpias
5.8. Incidencias
-
SEGURIDAD DEL PERSONAL Y/O USUARIOS
6.1. Objetivo
6.2. Alcance
6.3. Responsabilidades
6.4. Administradores de Identificación y Acceso
6.4.1. Carácter de Administrador
6.4.2. Notificación de Responsabilidad y Buen Uso de los Recursos de Información de Administradores
6.4.3. Notificación de Responsabilidad y Buen Uso de los Recursos de Información de Usuarios
6.5. Capacitación del Usuario
6.5.1. Objetivo
6.5.2. Formación y Capacitación en Seguridad de la Información
-
GESTION DE INCIDENCIAS
7.1. Objetivo
7.2. Comunicación de incidentes relativos a la seguridad
7.3. Registro de Incidencias
7.4. Procedimiento de gestión de incidencias
7.5. Comunicación de vulnerabilidades de seguridad
7.6. Comunicación de Anomalías del Software
7.7. Aprendiendo de los incidentes
7.8. Sanciones
-
CLASIFICACION DE ACTIVOS
8.1. Objetivo
8.2. Alcance
8.3. Responsabilidades
8.4. Inventario de activos
8.5. Clasificación de la información
8.5.1. Confidencialidad
8.5.2. Integridad
8.5.3. Disponibilidad
8.5.4. Criticidad de la Información
8.5. Rotulado de la Información
-
SEGURIDAD FISICA Y AMBIENTAL
9.1. Objetivos
9.2. Alcance
9.3. Areas Seguras y de Acceso Restringido
9.3.1. Perímetro de seguridad física
9.3.2. Areas Restringidas
9.3.3. Controles de acceso físico
9.4. Seguridad del equipamiento informático
9.4.1. Objetivo
9.4.2. Ubicación y protección del equipamiento
9.4.3. Suministro de energía
9.4.4. Seguridad del cableado
9.4.5. Mantenimiento de equipos
9.4.6. Seguridad del equipamiento fuera del ámbito de la organización
9.4.7. Baja segura o reutilización de equipamiento
9.4.8. Retiro de Activos del MINISTERIO DEL INTERIOR Y TRANSPORTE
9.4.9. Seguridad de los medios de tránsito
-
GESTION DE COMUNICACIONES Y OPERACIONES
10.1. Objetivo
10.2. Responsabilidades
10.3. Procedimientos Operativos de Documentación
10.4. Gestión de procesamiento externo
10.5. Planificación y Aprobación de sistemas
10.5.1. Objetivo
10.5.2. Planificación de la capacidad
10.5.3. Aprobación del sistema
-
MANTENIMIENTO Y RESGUARDO DE LA INFORMACION
11.1. Objetivo
11.2. Alcance del Resguardo de la Información
11.3. Controles del Resguardo y Recupero de la Información
11.4. Administración y Seguridad de los Medios de Almacenamiento
11.4.1. Objetivo
11.4.2. Administración de medios informáticos removibles
11.4.3. Eliminación de Medios de Información
11.5. Resguardo de la información del MINISTERIO DEL INTERIOR Y TRANSPORTE
11.5.1. Objetivo
11.5.2. Procedimientos de Resguardo y Conservación de Datos
11.6. Intercambio de información y software
11.6.1. Objetivo
11.6.2. Acuerdos de Intercambio de Información y Software
11.6.3. Seguridad de la Interoperabilidad y el Gobierno Electrónico
11.6.4. Sistemas de Acceso Público y semipúblico
11.6.5. Seguridad frente al acceso por parte de terceros
-
CONTROL DE ACCESO LOGICO
12.1. Objetivos
12.2. Responsabilidades
12.3. Política de Control de Accesos
12.4. Reglas de control de accesos
12.5. Administración de Accesos de Usuarios
12.5.1. Objetivo
12.5.2. Registración de Usuarios
12.6. Administración de Privilegios
12.7. Administración de Contraseñas de Usuario
12.8. Uso de Cuentas con perfil de Administrador
12.9. Uso de contraseñas
12.10. Control de acceso a la red
12.10.1. Objetivo
12.10.2. Política de utilización de los servicios de red
12.10.3. Camino Forzado
12.10.4. Autenticación de Nodos
12.10.5. Protección de los puertos de diagnóstico remoto
12.10.6. Computación Móvil y Trabajo remoto
12.10.7. Subdivisión de Redes
12.10.8. Control de Ruteo de Red
12.10.9. Seguridad de los Servicios de Red
12.11. Control de acceso al sistema operativo
12.11.1. Objetivo
12.11.2. Identificación de Puestos de Trabajo y Servidores
12.11.3. Procedimientos de Conexión
12.11.4. Identificación y autenticación de los usuarios
12.11.5. Uso de Utilitarios de Sistemas Operativos
12.11.6. Desconexión por Tiempo Muerto en Puestos de Trabajo
12.11.7. Limitación del Horario de Conexión
12.12. Control de Acceso a las Aplicaciones
12.12.1. Objetivo
12.12.2. Restricción del Acceso a la Información
12.12.3. Aislamiento de...
Para continuar leyendo
Solicita tu prueba