Disposición 1/2015
Fecha de disposición | 19 Febrero 2015 |
Fecha de publicación | 25 Febrero 2015 |
Sección | Avisos Oficiales |
Número de Gaceta | 33077 |
JEFATURA DE GABINETE DE MINISTROS
SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA
SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN
OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN
Disposición 1/2015Bs. As.,19/2/2015
VISTO el Expediente CUDAP: EXP-JGM: 0030261/2014 del Registro de la JEFATURA DE GABINETE DE MINISTROS, el Decreto N° 378 del 27 de abril de 2005, la Decisión Administrativa N° 669 del 20 de diciembre de 2004, la Resolución N° 45 del 24 de junio de 2005 de la entonces SUBSECRETARÍA DE LA GESTIÓN PÚBLICA, la Disposición N° 6 del 8 de agosto de 2005 y Disposición N° 3 del 27 de agosto de 2013 de la OFICINA DE TECNOLOGÍAS DE INFORMACIÓN, y
CONSIDERANDO:
Que el Decreto N° 378/2005 aprobó los Lineamientos Estratégicos que deberán regir el Plan Nacional de Gobierno Electrónico y los Planes Sectoriales de Gobierno Electrónico de los Organismos de la ADMINISTRACIÓN PÚBLICA NACIONAL a fin de promover el empleo eficiente y coordinado de los recursos de las Tecnologías de la Información y las Comunicaciones.
Que la Decisión Administrativa N° 669/2004 de la JEFATURA DE GABINETE DE MINISTROS estableció en su artículo 1° que los organismos del Sector Público Nacional comprendidos en el artículo 7° de la citada medida deberán dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo a dictarse dentro del plazo de CIENTO OCHENTA (180) días de aprobada dicha Política de Seguridad Modelo.
Que el artículo 8° de la mencionada decisión administrativa, facultó al entonces señor SUBSECRETARIO DE LA GESTIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS a aprobar la Política de Seguridad Modelo y a dictar las normas aclaratorias y complementarias de la citada medida, pudiendo dicha autoridad delegar en el DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN las facultades aludidas.
Que consecuentemente con ello, el artículo 1° de la Resolución N° 45/2005 de la entonces SUBSECRETARÍA DE LA GESTIÓN PÚBLICA hoy SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS facultó al señor DIRECTOR NACIONAL de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN de la entonces SUBSECRETARÍA DE GESTIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS a aprobar la “Política de Seguridad de la Información Modelo” y dictar las normas aclaratorias y complementarias que requiera la aplicación de la Decisión Administrativa N° 669/2004.
Que la Disposición N° 620/2005 de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN de la entonces SUBSECRETARÍA DE GESTION PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS en su artículo 1° aprobó la “Política de Seguridad de la Información Modelo” ordenada por la Decisión Administrativa N° 669/2004, y que sirvió como base para la elaboración de las respectivas políticas a dictarse por cada organismo alcanzado por la citada norma.
Que la Disposición N° 3/2013 de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN de SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN de la SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS en su artículo 1° aprobó la ‘‘Política de Seguridad de la Información Modelo” que reemplazó y actualizó a los mismos fines a la que fuera aprobada por Disposición ONTI N° 6/2005.
Que atento al incremento en cantidad y variedad de amenazas y vulnerabilidades que rodean a los activos de información, la “Política de Seguridad Modelo” oportunamente aprobada requiere ser actualizada a fin de mantener su vigencia y nivel de eficacia.
Que la mera elaboración por parte de los organismos de políticas de seguridad no es suficiente para garantizar la seguridad de la información, la que permite a su vez, garantizar la prestación continua e ininterrumpida de los diversos servicios públicos prestados por dichos organismos.
Que sólo a través de la efectiva implementación de las medidas contempladas en dichas políticas se podrá proteger acabadamente los recursos de información de los organismos como así también la tecnología utilizada para su procesamiento.
Que la presente medida se dicta en ejercicio de las facultades conferidas por el artículo 1° de la Resolución N° 45/2005 de la entonces SUBSECRETARÍA DE LA GESTIÓN PÚBLICA actual SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS.
Por ello,
EL DIRECTOR NACIONAL
DE LA OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN
DISPONE:
— Apruébase la “Política de Seguridad de la Información Modelo”, que reemplaza a los mismos fines a la aprobada por Disposición ONTI N° 3/2014, que como Anexo I forma parte integrante de la presente.
— Instrúyase a los organismos del Sector Público Nacional comprendidos en el artículo 7° de la Decisión Administrativa N° 669/2004 de la JEFATURA DE GABINETE DE MINISTROS, a implementar las medidas adoptadas en sus respectivas políticas de seguridad de la información dentro del plazo de CIENTO OCHENTA (180) días de publicada la presente.
— Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese. — PEDRO JANICES, Director Nacional, Oficina Nacional de Tecnologías de Información.
ANEXO I
Política Modelo de Seguridad de la Información
INDICE
Contenido
-
Introducción
1.1 Alcance
1.2 ¿Qué es seguridad de la información
1.3 ¿Por qué es necesario
1.4 Requerimientos de seguridad
1.5 Evaluación de los riesgos de seguridad
1.6 Selección de controles
1.7 ¿Cómo empezar
1.8 Factores críticos de éxito
-
Términos y Definiciones
2.1 Seguridad de la Información
2.2 Evaluación de Riesgos
2.2 Tratamiento de Riesgos
2.3 Gestión de Riesgos
2.4 Comité de Seguridad de la Información
2.5 Responsable de Seguridad de la Información
2.6 Incidente de Seguridad
2.7 Riesgo
2.8 Amenaza
2.9 Vulnerabilidad
2.10 Control
-
Estructura de la política Modelo
-
Evaluación y tratamiento de riesgos
4.1 Evaluación de los riesgos de seguridad
4.2 Tratamiento de riesgos de seguridad
-
Cláusula: Política de Seguridad de la Información
5.1 Categoría: Política de Seguridad de la información
5.1.1 Control: Documento de la política de seguridad de la información
5.1.2 Control: Revisión de la política de seguridad de la información
-
Cláusula: Organización
6.1 Categoría: Organización interna
6.1.1 Control: Compromiso de la dirección con la seguridad de la información
6.1.2 Control: Coordinación de la seguridad de la información
6.1.3 Control: Asignación de responsabilidades de la seguridad de la información
6.1.4 Control: Autorización para Instalaciones de Procesamiento de Información
6.1.5 Control: Acuerdos de confidencialidad
6.1.6 Control: Contacto con otros organismos
6.1.7 Control: Contacto con grupos de interés especial
6.1.8 Control: Revisión independiente de la seguridad de la información
6.2 Categoría: Dispositivos móviles y trabajo remoto
6.2.1 Control: Dispositivos Móviles
6.2.2 Control: Trabajo Remoto
-
Cláusula: Recursos Humanos
7.1 Categoría: Antes del empleo
7.1.1 Control: Funciones y responsabilidades
7.1.2 Control: Investigación de antecedentes
7.1.3 Control: Términos y condiciones de contratación
7.2 Categoría: Durante el empleo
7.2.1 Control: Responsabilidad de la dirección
7.2.2 Control: Concientización, formación y capacitación en seguridad de la información
7.2.3 Control: Proceso disciplinario
7.3 Categoría: Cese del empleo o cambio de puesto de trabajo
7.3.1 Control: Responsabilidad del cese o cambio
7.3.2 Control: Devolución de activos
7.3.3 Control: Retiro de los derechos de acceso
-
Cláusula: Gestión de Activos
8.1 Categoría: Responsabilidad sobre los activos
8.1.1 Control: Inventario de activos
8.1.2 Control: Propiedad de los activos
8.1.3 Control: Uso aceptable de los activos
8.2 Categoría: Clasificación de la información
8.2.1 Control: Directrices de clasificación
8.2.2 Control: Etiquetado y manipulado de la información
8.3 Categoría: Gestión de medios
8.3.1 Control: Administración de Medios Informáticos Removibles
8.3.2 Control: Eliminación de Medios de Información
8.3.3 Control: Seguridad de los Medios en Tránsito
-
Cláusula: Gestión de Accesos
9.1 Categoría: Requerimientos para la Gestión de Acceso
9.1.1 Control: Política de Gestión de Accesos
9.1.2 Control: Reglas de Gestión de Acceso
9.2 Categoría: Administración de Gestión de Usuarios
9.2.1 Control: Registración de Usuarios
9.2.2 Control: Gestión de Privilegios
9.2.3 Control: Gestión de Contraseñas de Usuario
9.2.4 Control: Administración de Contraseñas Críticas
9.2.5 Control: Revisión de Derechos de Acceso de Usuarios
9.3 Categoría: Responsabilidades del Usuario
9.3.1 Control: Uso de Contraseñas
9.4 Categoría: Control de Acceso a Sistemas y Aplicaciones
9.4.1 Control: Política de Utilización de los Servicios de Red
9.4.2 Control: Camino Forzado
9.4.3 Control: Autenticación de Usuarios para Conexiones Externas
9.4.4 Control: Autenticación de Nodos
9.4.5 Control: Protección de los Puertos (Ports) de Diagnóstico Remoto
9.4.6 Control: Subdivisión de Redes
9.4.7 Control: Acceso a Internet
9.4.8 Control: Conexión a la Red
9.4.9 Control: Ruteo de Red
9.4.10 Control: Seguridad de los Servicios de Red
9.5 Categoría: Control de Acceso al Sistema Operativo
9.5.1 Control: Identificación Automática de Terminales
9.5.2 Control: Procedimientos de Conexión de Terminales
9.5.3 Control: Identificación y Autenticación de los Usuarios
9.5.4 Control: Sistema de Administración de Contraseñas
-
Cláusula: Criptografía
10.1 Categoría: Cumplimiento de Requisitos Legales
10.1.1 Control: Política de Utilización de Controles Criptográficos
10.1.2 Control: Cifrado
10.1.3 Control: Firma Digital
10.1.4 Control: Servicios de No Repudio
10.1.5 Control: Protección de claves criptográficas
10.1.6 Control: Protección de Claves criptográficas: Normas y procedimientos
-
Cláusula: Física y Ambiental
11.1 Categoría: Áreas Seguras
11.1.1 Control: Perímetro de seguridad física
11.1.2 Control: Controles físicos de entrada
11.1.3 Control...
Para continuar leyendo
Solicita tu prueba