ESTUDIANTE
Páginas: 18 (4345 palabras)
Publicado: 6 de abril de 2013
METODOLOGIA
PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA
El objetivo del presente documento es establecer una metodología para la elaboración del Plan de Seguridad Informática de una entidad, mediante la descripción de los controles de seguridad que deben ser implementados, de forma que permita la interpretación clara y precisa de las políticas, medidas yprocedimientos que se definan en la misma, con el objetivo de alcanzar niveles aceptables de seguridad.
En el mismo se describen los elementos fundamentales que deben ser incluidos en el Plan de Seguridad Informática de una entidad (contenido) y el modo en que pueden ser estructurados (formato). Como metodología al fin, tiene un carácter general, no está orientado a un tipo determinado deentidad o sistema informático, debiendo ser considerado como una guía de trabajo y no como un cuestionario que haya que seguir al pie de la letra, por lo que el equipo designado para su elaboración desarrollará los aspectos que considere necesarios a partir del Sistema de Seguridad Informática que previamente se haya diseñado para la entidad en cuestión, de modo que aquellos aspectos que nocorrespondan a las necesidades de protección identificadas podrán ser excluidos y por supuesto, se adicionará cualquier elemento que se considere importante para los requerimientos de seguridad, con independencia de que no esté contemplado en este documento.
Un Sistema de Seguridad Informática es un conjunto de medios administrativos, medios técnicos y personal que de manera interrelacionada garantizanniveles de seguridad informática en correspondencia con la importancia de los bienes a proteger y los riesgos estimados.
El Plan de Seguridad Informática es la expresión gráfica del Sistema de Seguridad Informática diseñado y constituye el documento básico que establece los principios organizativos y funcionales de la actividad de Seguridad Informática en una Entidad y recoge claramente laspolíticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso informático, así como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que gravitan sobre el mismo.
Durante el proceso de diseño de un Sistema de Seguridad Informática se distinguen tres etapas:
1) Determinar las necesidades de protección del sistema informáticoobjeto de análisis, que incluye:
Caracterización del sistema informático.
Identificación de las amenazas y estimación de los riesgos.
Evaluación del estado actual de la seguridad.
2) Definir e implementar el sistema de seguridad que garantice minimizar los riesgos identificados en la primera etapa.
Definir las políticas de seguridad.
Definir las medidas y procedimientos a implementar.3) Evaluar el sistema de seguridad diseñado.
Para la elaboración del Plan de Seguridad Informática se tendrán en cuenta las consideraciones siguientes:
1. Serán confeccionados tantos ejemplares como se determine en cada lugar, numerando las páginas consecutivamente.
2. Se determinará su clasificación, parcial o total, de acuerdo a la información que contenga, en correspondencia con lascategorías que expresa el Decreto-Ley No. 199 de 1999 sobre la Seguridad y Protección de la Información Oficial.
3. Contendrá las tablas y gráficos que se consideren necesarios y contribuyan a su mejor interpretación.
4. Tendrán acceso a este documento, o a parte de él, las personas que en cada área requieran de su conocimiento.
5. Se mantendrá permanentemente actualizado sobre la base de loscambios que se produzcan en las condiciones que se consideraron durante su elaboración.
Presentación del documento.
La página inicial (portada) contendrá el siguiente título: “PLAN DE SEGURIDAD INFORMATICA” seguido de la denominación de la entidad.
En la segunda página se consignarán los datos referidos a la elaboración, revisión y aprobación del Plan de Seguridad Informática, de acuerdo...
PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA
El objetivo del presente documento es establecer una metodología para la elaboración del Plan de Seguridad Informática de una entidad, mediante la descripción de los controles de seguridad que deben ser implementados, de forma que permita la interpretación clara y precisa de las políticas, medidas yprocedimientos que se definan en la misma, con el objetivo de alcanzar niveles aceptables de seguridad.
En el mismo se describen los elementos fundamentales que deben ser incluidos en el Plan de Seguridad Informática de una entidad (contenido) y el modo en que pueden ser estructurados (formato). Como metodología al fin, tiene un carácter general, no está orientado a un tipo determinado deentidad o sistema informático, debiendo ser considerado como una guía de trabajo y no como un cuestionario que haya que seguir al pie de la letra, por lo que el equipo designado para su elaboración desarrollará los aspectos que considere necesarios a partir del Sistema de Seguridad Informática que previamente se haya diseñado para la entidad en cuestión, de modo que aquellos aspectos que nocorrespondan a las necesidades de protección identificadas podrán ser excluidos y por supuesto, se adicionará cualquier elemento que se considere importante para los requerimientos de seguridad, con independencia de que no esté contemplado en este documento.
Un Sistema de Seguridad Informática es un conjunto de medios administrativos, medios técnicos y personal que de manera interrelacionada garantizanniveles de seguridad informática en correspondencia con la importancia de los bienes a proteger y los riesgos estimados.
El Plan de Seguridad Informática es la expresión gráfica del Sistema de Seguridad Informática diseñado y constituye el documento básico que establece los principios organizativos y funcionales de la actividad de Seguridad Informática en una Entidad y recoge claramente laspolíticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso informático, así como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que gravitan sobre el mismo.
Durante el proceso de diseño de un Sistema de Seguridad Informática se distinguen tres etapas:
1) Determinar las necesidades de protección del sistema informáticoobjeto de análisis, que incluye:
Caracterización del sistema informático.
Identificación de las amenazas y estimación de los riesgos.
Evaluación del estado actual de la seguridad.
2) Definir e implementar el sistema de seguridad que garantice minimizar los riesgos identificados en la primera etapa.
Definir las políticas de seguridad.
Definir las medidas y procedimientos a implementar.3) Evaluar el sistema de seguridad diseñado.
Para la elaboración del Plan de Seguridad Informática se tendrán en cuenta las consideraciones siguientes:
1. Serán confeccionados tantos ejemplares como se determine en cada lugar, numerando las páginas consecutivamente.
2. Se determinará su clasificación, parcial o total, de acuerdo a la información que contenga, en correspondencia con lascategorías que expresa el Decreto-Ley No. 199 de 1999 sobre la Seguridad y Protección de la Información Oficial.
3. Contendrá las tablas y gráficos que se consideren necesarios y contribuyan a su mejor interpretación.
4. Tendrán acceso a este documento, o a parte de él, las personas que en cada área requieran de su conocimiento.
5. Se mantendrá permanentemente actualizado sobre la base de loscambios que se produzcan en las condiciones que se consideraron durante su elaboración.
Presentación del documento.
La página inicial (portada) contendrá el siguiente título: “PLAN DE SEGURIDAD INFORMATICA” seguido de la denominación de la entidad.
En la segunda página se consignarán los datos referidos a la elaboración, revisión y aprobación del Plan de Seguridad Informática, de acuerdo...
Leer documento completo
Regístrate para leer el documento completo.