PDF de programación - REGLAMENTO DE SEGURIDAD PARA LAS TECNOLOGÍAS DE LA INFORMACIÓN

REGLAMENTO DE SEGURIDAD

PARA LAS TECNOLOGÍAS DE LA INFORMACIÓN

CAPITULO I

GENERALIDADES

Objetivos y Alcance


ARTÍCULO 1: El presente Reglamento tiene por objeto establecer los requerimientos que rigen la seguridad de
las tecnologías de la información y garantizar un respaldo legal que responda a las condiciones y necesidades
del proceso de informatización del país. Este Reglamento no sustituye las medidas específicas que norman el
procesamiento de la información clasificada y limitada, que son objeto de normativas emitidas por el Ministerio
del Interior.

ARTÍCULO 2: El término Seguridad de las Tecnologías de la Información utilizado en este Reglamento está
relacionado con la confidencialidad, integridad y disponibilidad de la información tratada por los ordenadores y
las redes de datos. El empleo de otros términos, tales como seguridad de la información, seguridad de los
ordenadores, seguridad de datos o seguridad informática, tienen a los efectos de lo que aquí se establece, el
mismo significado.

ARTÍCULO 3: Este Reglamento será de aplicación, en lo que a cada cual concierne, en todos los Órganos y
Organismos de la Administración Central del Estado y sus dependencias; otras entidades estatales; empresas
mixtas; sociedades y asociaciones económicas que se constituyan de acuerdo a la Ley; entidades privadas
radicadas en el país; organizaciones políticas, sociales y de masas y personas naturales que posean o utilicen,
en interés propio o de un tercero, tecnologías de la información. El cumplimiento de este Reglamento en áreas
sensibles que son objeto de la atención directa del MININT y el MINFAR será realizado por los especialistas de
estos órganos designados al efecto.


CAPITULO II



DEL SISTEMA DE SEGURIDAD INFORMATICA.


ARTÍCULO 4: Cada entidad que haga uso para el desempeño de su actividad de las tecnologías de la
información está en la obligación de diseñar, implantar y mantener actualizado, un Sistema de Seguridad
Informática a partir de la importancia de los bienes a proteger y de los riesgos a que están sometidos, con el fin
de alcanzar los siguientes objetivos:


 Minimizar los riesgos sobre los sistemas informáticos.
 Garantizar la continuidad de los procesos informáticos.


ARTÍCULO 5: A partir del Sistema de Seguridad Informática diseñado, cada entidad elaborará su Plan de
Seguridad Informática.

ARTÍCULO 6: El diseño del Sistema de Seguridad Informática y la elaboración del Plan de Seguridad
Informática de cada entidad se realizarán en correspondencia con las metodologías establecidas al
respecto por la Oficina de Seguridad para las Redes Informáticas, adscripta al Ministerio de la Informática y
las Comunicaciones.

ARTÍCULO 7: Los jefes de entidades responden por la actualización de los Planes de Seguridad Informática,
considerando para ello los siguientes factores:


a) La aparición de nuevas vulnerabilidades.
b) Los efectos de los cambios de tecnología o de personal.
c) La efectividad del sistema, demostrada por la naturaleza, número y daño ocasionado por los incidentes

de seguridad registrados;



ARTÍCULO 8: En los Órganos y Organismos de la Administración Central del Estado y en aquellas
organizaciones en que las tecnologías de la información son determinantes para su gestión se dispondrá de los

cargos de especialistas de Seguridad Informática que se requieran para atender esta actividad, los cuales
tendrán las siguientes atribuciones y funciones:


a) Organizar y controlar la actividad de Seguridad Informática.
b) Evaluar el estado de cumplimiento y aplicación de la base legal vigente en la materia.
c) Supervisar el trabajo del personal que responde por la Seguridad Informática en las entidades y

organizar su preparación.

d) Proponer medidas ante violaciones de la base legal establecida en la materia.


ARTÍCULO 9: Los jefes a las diferentes instancias en los órganos, organismos y entidades responden por la
protección de los bienes informáticos que le han sido asignados y tienen las siguientes obligaciones:

a)

Identificar los requerimientos de seguridad de los bienes informáticos bajo su responsabilidad y de las
aplicaciones en desarrollo, determinar el nivel de acceso de los usuarios a los mismos y la vigencia de
estos accesos.

b) Participar en el diseño del Sistema de Seguridad y en la elaboración, evaluación y actualización del Plan de

Seguridad Informática en la parte que concierne a su esfera de acción y garantizar su cumplimiento.

c) Aplicar las medidas y procedimientos establecidos en su área de responsabilidad.
d) Especificar al personal subordinado las medidas y procedimientos establecidos y controlar su cumplimiento.
e) Participar en la elaboración de los procedimientos de recuperación ante incidentes de seguridad y en sus

f)

pruebas periódicas.
Imponer o proponer sanciones ante violaciones del Sistema de Seguridad, en correspondencia con su
naturaleza y con los daños ocasionados.


ARTÍCULO 10: El responsable de la actividad informática en cada entidad tiene las siguientes obligaciones:

a) Participar en el diseño del Sistema de Seguridad y en la elaboración, evaluación y actualización del Plan de

Seguridad Informática, supervisar su aplicación y disciplina de cumplimiento.

b) Establecer y mantener los controles en correspondencia con el grado de protección requerido por el

Sistema de Seguridad Informática diseñado.

c) Garantizar la disponibilidad de los bienes informáticos.
d) Asesorar a las distintas instancias sobre los aspectos técnicos vinculados con la seguridad de las

tecnologías de la información.

e) Establecer los controles necesarios para impedir la instalación de cualquier tipo de hardware o software sin

la autorización de la Dirección de la Entidad.

f) Participar en la elaboración de los procedimientos de recuperación ante incidentes de seguridad y en sus

pruebas periódicas.
Informar a los usuarios de las regulaciones establecidas.

g)

ARTÍCULO 11: Los usuarios de las tecnologías de la información asumen en primera instancia la
responsabilidad de las consecuencias que se deriven de la utilización impropia de las mismas.

ARTÍCULO 12: Los usuarios de las tecnologías de información en órganos, organismos y entidades tienen las
siguientes obligaciones:

a) Adquirir la preparación necesaria y los conocimientos de Seguridad Informática imprescindibles para el

desempeño de su trabajo.

b) Contar con la autorización expresa del jefe facultado, para obtener acceso a cualquiera de los bienes

informáticos.

c) Utilizar las tecnologías de información solo en interés de la entidad.
d) No transgredir ninguna de las medidas de seguridad establecidas.
e) Proteger las tecnologías o la terminal de red que le ha sido asignada y colaborar en la protección de
cualquier otra, para evitar que sea robada o dañada, usada la información que contiene o utilizado de
manera impropia el sistema al que esté conectada.

f) No instalar ni utilizar en las tecnologías equipamientos o programas ni modificar la configuración de las

mismas, sin la correspondiente autorización del jefe facultado.

g) Cumplir las reglas establecidas para el empleo de las contraseñas.
h)

Informar al dirigente facultado de cualquier anomalía de seguridad detectada.



2

EMPLEO CONVENIENTE Y SEGURO DE LAS TECNOLOGÍAS



CAPITULO III

DE LA INFORMACION



Sección Primera

Clasificación y control de bienes informáticos


ARTÍCULO 13: Los bienes informáticos de una entidad deben ser utilizados en las funciones propias del trabajo
en correspondencia con su objeto social.

ARTÍCULO 14: Todos los bienes informáticos de una entidad deberán estar identificados y controlados, para lo
cual se conformará y mantendrá actualizado un inventario de éstos incluyendo sus componentes y las
especificaciones técnicas de aquellos que pudieran ser suplantados.

ARTÍCULO 15: Cada uno de los bienes informáticos de una entidad tienen que ser puestos bajo la custodia
documentada legalmente de una persona, que actuando por delegación de la dirección de la entidad, es
responsable de su protección.

ARTÍCULO 16: Los jefes de entidades instrumentarán los procedimientos que se requieran para garantizar la
autorización y el control sobre el movimiento de los bienes informáticos, los cuales deberán ser considerados a
esos efectos de igual forma que el resto de los medios de la entidad.



Sección Segunda

Del personal


ARTÍCULO 17: Las funciones y responsabilidades de seguridad, tanto general como específica, serán
documentadas y se incluirán dentro de las responsabilidades laborales del personal.

ARTÍCULO 18: El personal previsto para ocupar cargos vinculados a la actividad informática en órganos,
organismos, entidades, organizaciones políticas, sociales y de masas, incluyendo personal eventual,
estudiantes insertados y otros casos similares con acceso a sistemas críticos, a información de valor o a la
supervisión y seguridad de los sistemas, deberá ser seleccionado adecuadamente.

ARTÍCULO 19: Los términos y condiciones del contrato de empleo incluirán la obligación de la entidad
contratante en cuanto a la preparación del contratado, así como la responsabilidad del trabajador hacia la
Seguridad Informática, precisando que este último aspecto mantiene su vigencia una vez finalizada la relación
laboral. Deberán incluirse las acci