Creación del plan, procedimiento y políticas de seguridad
El Plan de Seguridad Informática es la expresión gráfica del Sistema de Seguridad Informática diseñado y constituye el documento básico que establece los principios organizativos y funcionales de la actividad de Seguridad Informática en una Entidad y recoge claramente las políticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso informático, así como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que gravitan sobre el mismo. Durante el proceso de diseño de un Sistema de Seguridad Informática se distinguen tres etapas:
1) Determinar las necesidades de protección del sistema informático objeto de análisis, que incluye: Caracterización del sistema informático. Identificación de las amenazas y estimación de los riesgos. Evaluación del estado actual de la seguridad.
2) Definir e implementar el sistema de seguridad que garantice minimizar los riesgos identificados en la primera etapa. Definir las políticas de seguridad. Definir las medidas y procedimientos a implementar.
3) Evaluar el sistema de seguridad diseñado. El contenido de cada una de estas etapas se describe en la “Metodología para el diseño de un sistema de Seguridad Informática” elaborada por el Ministerio del Interior. Una vez cumplidas estas etapas se elabora el Plan de Seguridad Informática.
Presentación del documento. La página inicial (portada) contendrá el siguiente título: “PLAN DE SEGURIDAD INFORMATICA” seguido de la denominación de la entidad. En la segunda página se consignarán los datos referidos a la elaboración, revisión y aprobación del Plan de Seguridad Informática, de acuerdo al siguiente formato:
- El empleo conveniente y seguro de las tecnologías instaladas y cada uno de los servicios que éstas pueden ofrecer.
- El tratamiento que requiere la información oficial que se procese, intercambie, reproduzca o conserve a través de las tecnologías de información, según su categoría.
- La definición de los privilegios y derechos de acceso a los activos de información para garantizar su protección contra modificaciones no autorizadas, pérdidas o revelación.
- Los principios que garanticen un efectivo control de acceso a las tecnologías, incluyendo el acceso remoto, y a los locales donde éstas se encuentren.
- La salva y conservación de la información.
- La conexión a redes externas a la Entidad, en especial las de alcance global y la utilización de sus servicios.
- Los requerimientos de Seguridad Informática a tener en cuenta durante el diseño o la adquisición de nuevas tecnologías o proyectos de software.
- La definición de los principios relacionados con el monitoreo del correo electrónico, la gestión de las trazas de auditoria y el acceso a los ficheros de usuario.
- El mantenimiento, reparación y traslado de las tecnologías y el personal técnico que requiere acceso a las mismas por esos motivos.
- Las regulaciones con relación a la certificación, instalación y empleo de los Sistemas de Protección Electromagnética.
- Las regulaciones relacionadas con la certificación, instalación y empleo de los Sistemas Criptográficos, en los casos que se requiera.
- Los principios generales para el tratamiento de incidentes y violaciones de seguridad.
SISTEMA DE SEGURIDAD INFORMÁTICA
- Sistemas Operativos y nivel de seguridad instalado
- Tipo de redes utilizadas y topología de las mismas
- Conexiones a redes externas a la entidad
- Servidores de uso interno y externo
- Configuración de los servicios
- Barreras de protección y su arquitectura
- Empleo de Firewall,de Hosts Bastiones
- Sistemas Proxy, etc.
- Filtrado de paquetes
- Herramientas de administración y monitoreo
- Habilitación de trazas y subsistemas de auditoría
- Establecimiento de alarmas del sistema
- Sistemas de protección criptográfica
- Dispositivos de identificación y autenticación de usuarios
- Protección contra programas no deseados
- Software especiales de seguridad
- Medios técnicos de detección de intrusos
- Cerraduras de disqueteras
- Dispositivos de protección contra robo de equipos y componentes
- Sistemas de aterramiento
- Protección electromagnética
- Fuentes de respaldo de energía eléctrica
- Medios contra incendios
- Medios de climatización
- Otros.
Medidas y Procedimientos de Seguridad Informática
- Otorgar (retirar) el acceso de personas a las tecnologías de información y como se controla el mismo.
- Asignar (retirar) derechos y permisos sobre los ficheros y datos a los usuarios.
- Autorizar (denegar) servicios a los usuarios. (Ejemplo: Correo Electrónico, Internet)
- Definir perfiles de trabajo.
- Autorización y control de la entrada/salida de las tecnologías de información.
- Gestionar las claves de acceso considerando para cada nivel el tipo de clave atendiendo a su longitud y composición, la frecuencia de actualización, quién debe cambiarla, su custodia, etc.
- Realización de salva de respaldo, según el régimen de trabajo de las áreas, de forma que las salvas se mantengan actualizadas.
- Garantizar que los mantenimientos de los equipos, soportes y datos, se realicen en presencia y bajo la supervisión de personal responsable y que en caso del traslado del equipo fuera de la entidad la información clasificada o limitada sea borrada físicamente o protegida su divulgación.
- Salva y análisis de registros o trazas de auditoria, especificando quien lo realiza y con qué frecuencia.
- De protección física
- A las áreas con tecnologías instaladas
- A las tecnologías de información
Listado nominal de Usuarios con acceso a redes de alcance global
Registros
- Registro de inspecciones.
- Registro y control de los soportes.
- Registro de software de nueva adquisición.
- Registro de entrada, salida y movimiento de tecnologías de información.
- Registro de incidencias de la Seguridad Informática.
Comentarios
Publicar un comentario