docCIRCULAR No - valledelcauca.gov.co
download 
Demanda Transcripción
CIRCULAR No - valledelcauca.gov.co
Departamento del Valle del Cauca Código: PR-M11-P3-01 PROCEDIMIENTO DEFINIR POLÍTICAS Y CONTROLES DE SEGURIDAD INFORMATICA Gobernación Versión: 02 Fecha de Aprobación: 11/12/2013 Página: 1 de 6 1. OBJETIVO: Seleccionar e implementar controles y políticas de seguridad informática, identificando los estándares que se puedan adoptar a las necesidades de la entidad, con el fin de proteger la información y la infraestructura tecnológica de la Gobernación del Valle. 2. RESPONSABLE: Profesionales Especializados y/o Universitarios Área Sistemas de Información y Área de Infraestructura tecnológica del Departamento Administrativo de las Tecnologías de la Información y las Comunicaciones. 3. ALCANCE: Inicia con la identificación de los estándares de seguridad y termina con la selección de políticas y controles de seguridad de la información de la Gobernación del Valle. 4. DEFINICIONES Y TERMINOS: TIC: Tecnologías de Información y Comunicaciones BCP: Plan de continuidad del negocio PLAN DE CONTINUIDAD DE TIC: Documento que contiene las acciones a ejecutar en caso de presentarse un siniestro, para garantizar la seguridad de la información y minimizar la interrupción en el servicio de TIC. SPYWARE : Software malicioso FIREWALL: Solución física o lógica para proteger la red contra intrusos. POLÍTICA DE SEGURIDAD: se define una política de seguridad como una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran. CONTROL: las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. (Nota: Control es también utilizado como sinónimo de salvaguarda o contramedida. © ESTE DOCUMENTO ES PROPIEDAD DE LA GOBERNACIÓN DEL VALLE DEL CAUCA PROHIBIDA SU REPRODUCCIÓN POR CUALQUIER MEDIO, SIN AUTORIZACIÓN DEL GOBERNADOR Y/O SU REPRESENTANTE. Departamento del Valle del Cauca Código: PR-M11-P3-01 PROCEDIMIENTO DEFINIR POLÍTICAS Y CONTROLES DE SEGURIDAD INFORMATICA Versión: 02 Fecha de Aprobación: 11/12/2013 Página: 2 de 6 Gobernación 5. CONTENIDO: PASO ACTIVIDAD 0. Inicio RESPONSABLE REGISTRO Definir alcance de políticas Equipo de trabajo de infraestructura tecnológica Manual de políticas y controles. 2. Definir objetivos de la política y descripción clara de los elementos involucrados en su definición. Definir objetivos de la política Equipo de trabajo de infraestructura tecnológica Manual de políticas y controles. 3. Establecer responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización. Establecer responsables de recursos tecnológicos Equipo de trabajo de infraestructura tecnológica Manual de políticas y controles. 4. Definir y documentar las normas y mecanismos de acceso al sistema informático: asignación, distribución, almacenamiento y cambio de contraseñas de acceso a equipos de cómputo, y la red. Equipo de trabajo de infraestructura tecnológica Manual de políticas y controles. 5. Definir y documentar normas y mecanismos de acceso y utilización de aplicaciones de ofimática. Documentar Mecanismos de acceso a sistemas de información Equipo de trabajo de infraestructura tecnológica Manual de políticas y controles. Documentar Los formatos de las copias realizados Equipo de trabajo de infraestructura tecnológica Manual de políticas y controles. 1. 6. Definir alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Definir y documentar los procedimientos, normas y medidas de acceso a través de las redes de Telecomunicaciones. . FLUJOGRAMA Inicio Documentar accesos al sistema 1 © ESTE DOCUMENTO ES PROPIEDAD DE LA GOBERNACIÓN DEL VALLE DEL CAUCA PROHIBIDA SU REPRODUCCIÓN POR CUALQUIER MEDIO, SIN AUTORIZACIÓN DEL GOBERNADOR Y/O SU REPRESENTANTE. Departamento del Valle del Cauca Código: PR-M11-P3-01 PROCEDIMIENTO DEFINIR POLÍTICAS Y CONTROLES DE SEGURIDAD INFORMATICA Fecha de Aprobación: 11/12/2013 Página: 3 de 6 Gobernación PASO Versión: 02 ACTIVIDAD FLUJOGRAMA RESPONSABLE REGISTRO Equipo de trabajo de infraestructura tecnológica Manual de políticas y controles. Equipo de trabajo de infraestructura tecnológica Manual de políticas y controles. Equipo de trabajo de infraestructura tecnológica Manual de políticas y controles. Equipo de trabajo de infraestructura tecnológica Manual de políticas y controles. Documentar Sanciones por incumplimiento de politica Equipo de trabajo de infraestructura tecnológica Manual de políticas y controles. Establecer responsables de recursos tecnológicos Equipo de trabajo de infraestructura tecnológica Actas de asistencia 1 7. Definir y documentar procedimientos, autorizaciones y normas de trabajo sobre la plataforma tecnológica, en ubicaciones distintas a la principal 8. Establecer y documentar las directrices de seguridad para la utilización de determinados programas, servicios digitales, protectores de pantalla 9. Definir y documentar los procedimientos, normas y medidas de seguridad lógica adoptados para la defensa ante ataques externos (antivirus, firewalls, cifrado de redes, control de puertos, etc…). 10. Establecer y documentar responsabilidades de los usuarios en el manejo de la información a la que tiene acceso. 11. Definir y documentar violaciones y sanciones por no cumplir con las políticas. 12. Socializar las políticas de seguridad informática 13. Fin Documentar Normas de trabajo en ubicaciones externas Documentar Utilización de servicios digitales Documentar Mecanismos de prevención a accesos de terceros Documentar Responsabilidades de usuarios externos Fin © ESTE DOCUMENTO ES PROPIEDAD DE LA GOBERNACIÓN DEL VALLE DEL CAUCA PROHIBIDA SU REPRODUCCIÓN POR CUALQUIER MEDIO, SIN AUTORIZACIÓN DEL GOBERNADOR Y/O SU REPRESENTANTE. Departamento del Valle del Cauca Código: PR-M11-P3-01 PROCEDIMIENTO DEFINIR POLÍTICAS Y CONTROLES DE SEGURIDAD INFORMATICA Versión: 02 Fecha de Aprobación: 11/12/2013 Página: 4 de 6 Gobernación 6. SOPORTE NORMATIVO Y DE REFERENCIA Normas ISO-IEC-15504; ISO 17799 ; ISO –IEC 20000-1; ISO 27001; ISO 12207; BCM (BS-25999-2) Norma COBIT (Objetivos de Control para la información y Tecnologías relacionadas) Guías de mejores prácticas ITIL Norma NTCGP1000:2009 Norma MECI:1000:2005 Ley 1341 de 2009 Ley 872 de 2003 Plan Nacional de Tecnologías de Información y Comunicaciones Documento Conpes 3072 DNP Norma ISO 10002 7. REGISTROS: Código Nombre Responsable Lista de normas de seguridad informática Equipo de trabajo de infraestructura tecnológica Lista de normas a adoptar. Equipo de trabajo de infraestructura tecnológica Manual de políticas Equipo de trabajo de infraestructura tecnológica Lugar de Recuperación Protección almacenamiento Tiempo de Disposición retenció final n TRD 10 años CT archivo de gestión 10 años archivo central Archivador Físico despacho Departamento de las TIC y medio Magnético en los servidores centro de cómputo. En medio físico y magnético Cintas de backup y Custodia de la información con una compañía externa. Archivador Físico despacho Departamento de las TIC y medio Magnético en los servidores centro de cómputo. En medio físico y magnético Cintas de backup y Custodia de la información con una compañía externa. 10 años archivo de gestión 10 años archivo central CT Archivador Físico despacho Departamento de las TIC y En medio físico y magnético Cintas de backup y Custodia de la 10 años archivo de gestión CT © ESTE DOCUMENTO ES PROPIEDAD DE LA GOBERNACIÓN DEL VALLE DEL CAUCA PROHIBIDA SU REPRODUCCIÓN POR CUALQUIER MEDIO, SIN AUTORIZACIÓN DEL GOBERNADOR Y/O SU REPRESENTANTE. Departamento del Valle del Cauca Código: PR-M11-P3-01 PROCEDIMIENTO DEFINIR POLÍTICAS Y CONTROLES DE SEGURIDAD INFORMATICA Nombre Responsable Lugar de Recuperación Protección almacenamiento información con una compañía externa. medio Magnético en los servidores centro de cómputo. Controles de seguridad informática Fecha de Aprobación: 11/12/2013 Página: 5 de 6 Gobernación Código Versión: 02 Equipo de trabajo de infraestructura tecnológica Tiempo de Disposición retenció final n TRD 10 años archivo central CT Archivador Físico despacho Departamento de las TIC y medio Magnético en los servidores centro de cómputo. En medio físico y magnético Cintas de backup y Custodia de la información con una compañía externa. 10 años archivo de gestión 10 años archivo central DP = C: Conservar, E: Eliminar, M: Microfilmar, S: Seleccionar, CT: Conservación Total 8. CONTROL DE CAMBIOS: CONTROL DE CAMBIOS Versión Descripción del Cambio Fecha 01 Creación de procedimiento por ajuste al proceso 09/11/2012 02 Ajustes al proceso, al procedimiento y actualización de formatos. 11/12/2013 9. ANEXOS: No aplica. © ESTE DOCUMENTO ES PROPIEDAD DE LA GOBERNACIÓN DEL VALLE DEL CAUCA PROHIBIDA SU REPRODUCCIÓN POR CUALQUIER MEDIO, SIN AUTORIZACIÓN DEL GOBERNADOR Y/O SU REPRESENTANTE. Departamento del Valle del Cauca Código: PR-M11-P3-01 PROCEDIMIENTO DEFINIR POLÍTICAS Y CONTROLES DE SEGURIDAD INFORMATICA Versión: 02 Fecha de Aprobación: 11/12/2013 Página: 6 de 6 Gobernación 10. CONTROL DE REVISIÓN Y APROBACIÓN: Elaboró Nombre: Carmen Beatriz Quiñones Garcia Cargo: Técnico Revisó Nombre: Juan Manuel Roncancio Cardoza Cargo: Director de Departamento Firma: Firma: Fecha: 20/08/2013 Fecha: 27/08/2013 Aprobó Comité Coordinador del Sistema Integrado de Gestión Fecha: 11/12/2013 © ESTE DOCUMENTO ES PROPIEDAD DE LA GOBERNACIÓN DEL VALLE DEL CAUCA PROHIBIDA SU REPRODUCCIÓN POR CUALQUIER MEDIO, SIN AUTORIZACIÓN DEL GOBERNADOR Y/O SU REPRESENTANTE.