PDF de programación - REGLAMENTO SOBRE SEGURIDAD INFORMÁTICA

REGLAMENTO SOBRE SEGURIDAD



INFORMATICA



TITULO I



OBJETIVOS Y ALCANCE



ARTICULO 1: El presente Reglamento tiene por objeto establecer
los principios, criterios y requerimientos de Seguridad Informática que
garanticen la confidencialidad, integridad y disponibilidad de la
información que se procesa, intercambia, reproduce y conserva
mediante el uso de las tecnologías de información, siendo el Jefe
máximo de cada entidad el responsable del cumplimiento de todo lo que
en él se dispone .

ARTICULO 2: A los efectos de este Reglamento se entenderá por
Seguridad Informática, el conjunto de
medidas administrativas,
organizativas, físicas, técnicas, legales y educativas dirigidas a
prevenir, detectar y responder a acciones que pongan en riesgo la
confidencialidad, integridad y disponibilidad de la información que se
procese, intercambie, reproduzca y conserve a través de las tecnologías
de información.

ARTICULO 3: Este Reglamento será de aplicación en todos los Organos
y Organismos de la Administración Central del Estado y sus
dependencias, otras entidades estatales, empresas mixtas, sociedades y
asociaciones económicas que se constituyan conforme a la Ley, (en lo
adelante entidad), siendo de obligatorio cumplimiento por todas las
personas que participen en
el uso, aplicación, explotación y
mantenimiento de las tecnologías de información.





ARTICULO 4: La información que se procese, intercambie, reproduzca y
conserve a través de los medios técnicos de computación se considera un
bien de cada entidad.



TITULO II



ESTABLECIMIENTO DE LAS MEDIDAS ADMINISTRATIVAS

SOBRE LA SEGURIDAD INFORMATICA.



CAPITULO I



POLITICAS Y PLANES DE SEGURIDAD INFORMATICA Y

DE CONTINGENCIA



Políticas sobre Seguridad Informática.

Sección 1



ARTICULO 5: Cada administración adecuará la política, que esta-
blecerá en su entidad acorde a las regulaciones que rijan sobre la
seguridad de la información que se procese, intercambie, reproduzca o
conserve a través de las tecnologías de información, determinará los
tipos de información y recursos para su protección, y creará y
establecerá los mecanismos de control para garantizar el cumplimiento
de las regulaciones previstas en este Reglamento.

ARTICULO 6: Con el fin de garantizar la correcta adecuación de la
política a seguir para lograr la Seguridad Informática en cada
entidad, se hará un análisis de la gestión informática, que debe abarcar
: su organización, flujo de la información, tecnologías de información
disponibles, alcance de la actividad informática dentro y fuera de la
entidad, categoría de clasificación de la información que se procesa,
determinación de
la actividad
fundamental de la entidad y los controles establecidos; que brinden

sensible para

la

información



los elementos indispensables para evaluar la vulnerabilidad del sistema
y los principales riesgos a que esté expuesto.



Sección 2


Plan de Seguridad Informática.

la

entidad garantizará , según corresponda a


ARTICULO 7: El Plan de Seguridad Informática se instituye como una
exigencia para todas las entidades, en el cual deben reflejar las políticas,
estructura de gestión y el sistema de medidas, para la Seguridad In-
formática, teniendo en cuenta los resultados obtenidos en los
análisis de riesgos y vulnerabilidad realizados. El máximo dirigente de
cada
actividad
informática que se desarrolle, que se elabore, ponga en vigor, cumpla
y actualice periódicamente.

ARTICULO 8: El Plan de Seguridad Informática y su aplicación serán
objeto de aprobación y control por parte de las distintas instancias
de la propia entidad.


Sección 3



Informática.

ARTICULO 9: El Plan de Contingencia para la Seguridad Informática
se instituye como una exigencia para todas las entidades, con el fin de
garantizar la continuidad de los procesos informáticos ante cualquier
desastre que pueda ocurrir.

ARTICULO 10: El Plan de Contingencia para la Seguridad Informática,
contendrá las medidas que permitan, en caso de desastres, la
evacuación, preservación y traslado, de los medios y soportes destinados
al procesamiento, intercambio y conservación de información clasificada
o sensible. Así mismo, contemplará las medidas pertinentes para la
conservación y custodia de los ficheros creados con fines de salvaguarda.

ARTICULO 11: El Plan de Contingencia y su aplicación serán objeto
de aprobación y control por parte de las distintas instancias de la
propia entidad.


Plan de Contingencia para

la Seguridad





CAPITULO II


SEGURIDAD FISICA

Sección 1



Requerimientos de protección física en áreas vitales.



ARTICULO 12: Se consideran áreas vitales aquellas donde se procese,
intercambie, reproduzca y conserve información clasificada a través
de las tecnologías de información , en dichas áreas se aplicarán las
medidas de protección física siguientes:

a) se ubicarán en locales de construcción sólida, cuyas puertas y
ventanas estén provistas de cierres seguros y dispositivos de sellaje,
preferiblemente en los niveles más bajos de la edificación;
debiendo cumplir con los requerimientos básicos que reduzcan al
mínimo las probabilidades de captación de las
irradiaciones
electromagnéticas que los medios técnicos de computación y
comunicaciones emiten;


b) a los locales que tengan ventanas que se comuniquen con el exterior
de la instalación, se le aplicarán medidas que eviten la visibilidad
hacia el interior del mismo; y


c) aplicar sistemas de detección y alarma en todos los lugares que lo

requieran.


ARTICULO 13: La entrada o permanencia en las
áreas vitales
estará en correspondencia con el nivel de acceso a la información
clasificada que se le haya otorgado a las personas. En el caso del
personal de servicios, mantenimiento de
u otro que
eventualmente precise permanecer en el área, lo hará siempre en
presencia de las personas responsables y con la identificación visible.


equipos



el

uso

ARTICULO 14: Se aplicarán accesorios o medidas alternativas que
permitan la creación de una barrera física o técnica de protección a las
tecnologías de información, que posibiliten el control de acceso a la
información, al uso de las facilidades de intercambio no autorizadas, o
impidan
de estos medios para cometer acciones
malintencionadas o delictivas.



Sección 2

Requerimientos de protección física en
reservadas.

ARTICULO 15: Se consideran áreas reservadas aquellas donde la
información que se procese, intercambie, reproduzca y conserve a
través de las tecnologías de información sea sensible para la entidad
y se aplicarán las normas de protección establecidas de acuerdo a las
características de cada lugar.

ARTICULO 16: La entrada o permanencia de las personas en
las áreas reservadas debe ser controlada, requiriéndose la autori-
zación expresa de la persona facultada para ello. En el caso del
personal de servicio, mantenimiento de equipos u otro que even-
tualmente precise permanecer en el área lo hará siempre en presencia
de las personas responsables.


áreas



Sección 3



Requerimientos de protección física a los soportes.


ARTICULO 17: Todos los soportes que contengan información
clasificada serán controlados y conservados en la oficina de control de la
información clasificada o en el área responsabilizada, según lo
establecido para su protección y conservación.

ARTICULO 18: Los soportes pertenecientes a una entidad, cuando
contengan información clasificada o sensible, serán controlados
,debiendo reflejar los datos de control en los soportes removibles que lo



permitan, señalizándolos de forma clara y visible, con la categoría de
clasificación de la información de mas alto valor contenida en los
mismos.

ARTICULO 19: Para utilizar soportes de propiedad personal o de
otra entidad, será necesario contar con la autorización del jefe
administrativo del lugar, apli