Resolución 917/2008

Fecha de la disposición: 3 de Septiembre de 2008
 
ÍNDICE
EXTRACTO GRATUITO

Bs. As., 19/8/2008

VISTO el Expediente Nº 1.078.195/03 del Registro del MINISTERIO DE TRABAJO, EMPLEO y SEGURIDAD SOCIAL, el Decreto Nº 628 del 13 de junio de 2005 y sus modificatorias, la Decisión Administrativa Nº 669 de fecha 20 de diciembre de 2004, las Resoluciones del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL Nros. 54 de fecha 20 de enero de 2006 y 15 de fecha 5 de enero de 2007 y CONSIDERANDO:

Que por la Resolución del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL Nº 54/06 se conformó el Comité de Seguridad de la Información de esta Cartera de Estado con sujeción a lo establecido en la Decisión Administrativa Nº 669/04, quedando la coordinación del mismo a cargo de la SUBSECRETARIA DE COORDINACION.

Que el Comité de Seguridad de la Información tiene como funciones entre otras, revisar y proponer a la máxima autoridad del Organismo, para su aprobación la política y las responsabilidades generales en materia de seguridad de la información, tomar conocimiento y supervisar la investigación y el monitoreo de los incidentes relativos a la seguridad y aprobar las principales iniciativas para incrementar la seguridad de la información.

Que por Resolución del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL Nº 15 del 5 de enero de 2007, se aprobó las 'POLITICAS DE SEGURIDAD INFORMATICA' de esta Cartera de Estado, que como Anexo forma parte integrante de dicha medida.

Que conforme surge el punto 3 de las 'POLITICAS DE SEGURIDAD INFORMATICA' de este Ministerio, aprobadas por la mencionada resolución, el Comité de Seguridad de la información revisará dicha Política cada SEIS (6) meses, a efectos de mantenerla actualizada.

Que mediante el Acta de la reunión Nº 0001 celebrada el día 11 de diciembre de 2007 el Comité de Seguridad de la Información de este Ministerio aprobó por unanimidad el Proyecto de Revisión de las POLITICAS DE SEGURIDAD DE LA INFORMACION, integrante de la citada acta, para ser elevado a consideración del Sr. Subsecretario de Coordinación en cumplimento de lo establecido en el artículo 4º, inciso 1 de la Decisión Administrativa Nº 669/04.

Que a fines de optimizar las herramientas de protección de los recursos de información de este Ministerio y la tecnología utilizada para su procesamiento deviene necesario actualizar determinados aspectos de la 'POLITICAS DE SEGURIDAD INFORMATICA' aprobando el Proyecto de Revisión de las POLITICAS DE SEGURIDAD DE LA INFORMACION.

Que mediante el punto 3.4.5. de las 'POLITICAS DE SEGURIDAD INFORMATICA' de este Ministerio, aprobadas por la Resolución del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL Nº 15/07, establece que el Responsable del Area de Recursos Humanos deberá notificar a todo el personal las obligaciones respecto del cumplimiento de la Política de la Seguridad de la Información, y de todas las normas, procedimiento y prácticas que de ella surjan, comunicar la misma al personal, así como los cambios que en ella se produzcan e implementar la suscripción de los compromisos de confidencialidad y acuerdos de responsabilidad que se dicten, para el tratamiento de la información.

Que por ello, resulta necesario autorizar al Director de Administración de Recursos Humanos de esta Cartera de Estado, Lic. Don Enrique GUARDO a cumplir con dichas funciones.

Que la Dirección General de Asuntos Jurídicos del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL ha tomado la intervención que le compete.

Que la presente se dicta en ejercicio de las facultades conferidas por la Ley de Ministerios Nº 22.520 (texto ordenado por Decreto Nº 438/92) y la Decisión Administrativa Nº 669 del 20 de diciembre de 2004.

Por ello,

EL MINISTRO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL RESUELVE:

ARTICULO 1º

Apuébase la Revisión de las 'POLITICAS DE SEGURIDAD DE LA INFORMACION', del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL, que como Anexo forma parte integrante de la presente medida.

ARTICULO 2º

Autorízase al Director de Administración de Recursos Humanos de esta Cartera de Estado, Lic. Don Enrique GUARDO, a comunicar dicha Política a todo el personal y a efectuar las funciones establecidas en el punto 3.4.5.de las 'POLITICAS DE SEGURIDAD INFORMATICA'de este Ministerio, aprobadas por la Resolución del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL Nº 15/07.

ARTICULO 3º

Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. -- Dr. CARLOS A. TOMADA, Ministro de Trabajo, Empleo y Seguridad Social.

ANEXO POLITICAS DE SEGURIDAD DE LA INFORMACION Ministerio de Trabajo, Empleo y Seguridad Social INDICE Indice 1. INTRODUCCION 1.1. ¿Qué es seguridad de la información? 1.2. ¿Por qué es necesaria la seguridad de la información? 2. DEFINICIONES 2.1. Seguridad de la Información 2.2. Información 2.3. Dato 2.4. Clasificación de la Información 2.4.1. Datos Sensibles 2.4.2. Datos Críticos 2.5. Sistema de Información 2.6. Tecnología de la Información 2.7. Recursos Informáticos 2.8. Recursos Informáticos Personales 2.9. Evaluación de Riesgos 2.10. Administración de Riesgos 2.11. Incidente de Seguridad 2.12. Usuario 3. POLITICA DE SEGURIDAD DE LA INFORMACION 3.1. Objetivo 3.2. Alcance 3.3. Aspectos de la Política de Seguridad de la Información 3.3.1. Política de Seguridad 3.3.2. Organización de la Seguridad 3.3.3. Clasificación y Control de Activos 3.3.4. Seguridad del Personal 3.3.5. Seguridad Física y Ambiental 3.3.6. Gestión de las Comunicaciones y las Operaciones 3.3.7. Control de Acceso 3.3.8. Desarrollo y Mantenimiento de los Sistemas 3.3.9. Administración de la Continuidad de las Actividades del MTEySS 3.3.10. Cumplimiento 3.4. Niveles de Responsabilidad en la Protección de la Información 3.4.1 Responsables de la Información 3.4.2. Comité de Seguridad de la Información 3.4.3. Coordinación del Comité de Seguridad de la Información 3.4.4. Responsables Primarios de la Información 3.4.5. Responsable del Area de Recursos Humanos 3.4.6. Responsable del Area de Capacitación 3.4.7. Responsable del Area de Sistemas Informáticos y Seguridad 3.4.8. Responsable del Area de Seguridad Física 3.4.9. Responsable del Area Legal 3.4.10. Responsable de la Unidad de Auditoría Interna 3.4.11. Usuarios de la información y de los sistemas informáticos 3.5. Sanciones por Incumplimiento 4. ORGANIZACION DE LA SEGURIDAD 4.1. Objetivos 4.2. Alcance 4.3. Responsabilidades 4.4. Infraestructura de la Seguridad de la Información 4.4.1. Comité de Seguridad de la Información 4.4.2. Asignación de Responsabilidades sobre la Seguridad de la Información 4.4.3. Proceso de Autorización de Acceso a Recursos Informáticos 4.4.4. Utilización de Recursos Informáticos Personales 4.4.5. Asesoramiento Especializado en Seguridad de la Información Miércoles 3 de setiembre de 2008 Primera Sección BOLETIN OFICIAL Nº 31.481 69

4.4.6. Cooperación entre Organismos 4.5. Seguridad Frente al Acceso por Parte de Terceros 4.5.1. Tipos de acceso 4.5.2. Terceras partes 4.5.3. Identificación de Riesgos del Acceso 4.5.4. Requerimientos de Seguridad en los Contratos con Terceras Partes 4.5.5. Requerimientos de Seguridad en el empleo de Equipos Personales 5.1. Objetivo 5.2. Alcance 5.3. Responsabilidades 5.4. Inventario de activos 5.5. Clasificación de la información 5.5.1. Confidencialidad 5.5.2. Integridad 5.5.3. Disponibilidad 5.5.4. Criticidad de la información 5.6. Rotulado de la Información 6. SEGURIDAD DEL PERSONAL 6.1. Objetivo 6.2. Alcance 6.3. Responsabilidades 6.4. Seguridad en Puestos de Trabajo y Asignación de Recursos 6.4.1. Incorporación de la Seguridad en los Puestos de Trabajo 6.4.2 Usuarios administradores de puestos de trabajo 6.4.3. Notificación de Responsabilidad y Buen Uso de los Recursos de Información 6.4.4. Términos y Condiciones de Empleo 6.5. Capacitación del Usuario 6.5.1. Objetivo 6.5.2. Formación y Capacitación en Seguridad de la Información 6.5.3. Material de Capacitación 6.5.4. Derechos y Obligaciones de los Usuarios en el Buen Uso de la Información del MTEySS 6.6. Respuesta a incidentes de seguridad 6.6.1. Objetivo 6.6.2. Comunicación de incidentes relativos a la seguridad 6.6.4. Comunicación de Anomalías del Software 6.6.5 Aprendiendo de los incidentes 6.6.6. Sanciones 7. SEGURIDAD FISICA Y AMBIENTAL 7.1. Objetivos 7.2. Alcance 7.3. Responsabilidades 7.4. Areas Seguras 7.4.1. Perímetro de seguridad física 7.4.2 Controles de acceso físico 7.4.3 Areas Protegidas 7.4.4 Desarrollo de tareas en áreas protegidas 7.5. Seguridad del equipamiento informático 7.5.1. Objetivo 7.5.2. Ubicación y protección del equipamiento 7.5.3. Suministro de energía 7.5.4. Seguridad del cableado 7.5.5. Mantenimiento de equipos 7.5.6. Seguridad del equipamiento fuera del ámbito de la organización 7.5.7. Baja segura o reutilización de equipamiento.

7.6. Controles generales 7.6.1. Política de Escritorio y Pantalla Limpia 7.6.2. Retiro de Activos del MTEySS 8. GESTION DE COMUNICACIONES Y OPERACIONES 8.1. Objetivo 8.2. Alcance 8.3. Responsabilidades 8.4. Procedimientos Operativos 8.4.1. Documentación 8.4.2. Control de Cambios en el ambiente de Producción 8.4.3 Procedimientos de manejo de incidentes 8.4.4 Separación de funciones 8.4.5. Separación entre Instalaciones de Desarrollo, Prueba y Producción 8.4.6. Separación de Funciones en los ambientes de Desarrollo, Prueba y Producción 8.4.7. Gestión de Procesamiento Externo 8.5. Planificación y aprobación de sistemas 8.5.1. Objetivo 8.5.2. Planificación de la capacidad 8.5.3 Aprobación del sistema 8.6. Protección contra software malicioso 8.6.1. Objetivo 8.7. Mantenimiento y Resguardo de la Información 8.7.1. Objetivo 8.7.2. Alcance del Resguardo de la Información 8.7.3. Controles del Resguardo y Recupero de la Información 8.7.4. Registro de Actividades del Personal de Producción 8.7.5. Registro de Fallas 8.8. Administración de la red 8.8.1. Objetivo 8.8.2. Controles de redes 8.9. Administración y Seguridad de los Medios de Almacenamiento 8.9.1. Objetivo 8.9.2. Administración de medios informáticos...

Para continuar leyendo

SOLICITA TU PRUEBA