políticas de seguridad informatica
Páginas: 9 (2067 palabras)
Publicado: 3 de septiembre de 2014
Políticas de Seguridad Informática
En esta sección se definen los aspectos que conforman la estrategia a seguir por la Entidad sobre la base de sus características propias y en conformidad con la política vigente en el país en esta materia y el sistema de seguridad diseñado, mediante el establecimiento de las normas generales que debe cumplir el personal que participa en el sistemainformático, las cuales se derivan de los resultados obtenidos en el análisis de riesgos y de las definidas por las instancias superiores en las leyes, reglamentos, resoluciones y otros documentos rectores. Al definir las políticas de Seguridad Informática se considerarán, entre otros, los aspectos siguientes:
a) El empleo conveniente y seguro de las tecnologías instaladas y cada uno de los servicios queéstas pueden ofrecer.
b) El tratamiento que requiere la información oficial que se procese, intercambie, reproduzca o conserve a través de las tecnologías de información, según su categoría.
c) La definición de los privilegios y derechos de acceso a los activos de información para garantizar su protección contra modificaciones no autorizadas, pérdidas o revelación.
d) Los principios quegaranticen un efectivo control de acceso a las tecnologías, incluyendo el acceso remoto, y a los locales donde éstas se encuentren.
e) La salva y conservación de la información.
f) La conexión a redes externas a la Entidad, en especial las de alcance global y la utilización de sus servicios.
g) Los requerimientos de Seguridad Informática a tener en cuenta durante el diseño o la adquisición denuevas tecnologías o proyectos de software.
h) La definición de los principios relacionados con el monitoreo del correo electrónico, la gestión de las trazas de auditoría y el acceso a los ficheros de usuario.
i) El mantenimiento, reparación y traslado de las tecnologías y el personal técnico que requiere acceso a las mismas por esos motivos.
j) Las regulaciones con relación a la certificación,instalación y empleo de los Sistemas de Protección Electromagnética.
k) Las regulaciones relacionadas con la certificación, instalación y empleo de los Sistemas Criptográficos, en los casos que se requiera.
l) Los principios generales para el tratamiento de incidentes y violaciones de seguridad.
Medios Técnicos de Seguridad: Se describirán los medios técnicos utilizados en función degarantizar niveles de seguridad adecuados, tanto al nivel de software como de hardware, así como la configuración de los mismos. Para lo cual se tendrá en cuenta:
Sistemas Operativos y nivel de seguridad instalado,
Tipo de redes utilizadas y topología de las mismas,
Conexiones a redes externas a la entidad,
Servidores de uso interno y externo,
Configuración de los servicios,
Barreras deprotección y su arquitectura,
Empleo de Firewall, de Hosts Bastiones, Sistemas Proxy, etc.
Filtrado de paquetes,
Herramientas de administración y monitoreo,
Habilitación de trazas y subsistemas de auditoría,
Establecimiento de alarmas del sistema,
Sistemas de protección criptográfica,
Dispositivos de identificación y autenticación de usuarios,
Protección contra programas no deseados,Software especiales de seguridad,
Medios técnicos de detección de intrusos,
Cerraduras de disqueteras,
Dispositivos de protección contra robo de equipos y componentes,
Sistemas de aterramiento,
Protección electromagnética,
Fuentes de respaldo de energía eléctrica,
Medios contra incendios,
Medios de climatización,
Otros.
5.3. Medidas y Procedimientos de Seguridad InformáticaEn esta parte del Plan se relacionarán las acciones que deben ser realizadas en cada área específica por el personal a que se hace referencia en el apartado 5.1, en correspondencia con las políticas generales para toda la entidad establecidas en el apartado 4 y con la ayuda, en los casos que lo requieran, de los medios técnicos descritos en el 5.2, adecuando las mismas a las necesidades de...
Políticas de Seguridad Informática
En esta sección se definen los aspectos que conforman la estrategia a seguir por la Entidad sobre la base de sus características propias y en conformidad con la política vigente en el país en esta materia y el sistema de seguridad diseñado, mediante el establecimiento de las normas generales que debe cumplir el personal que participa en el sistemainformático, las cuales se derivan de los resultados obtenidos en el análisis de riesgos y de las definidas por las instancias superiores en las leyes, reglamentos, resoluciones y otros documentos rectores. Al definir las políticas de Seguridad Informática se considerarán, entre otros, los aspectos siguientes:
a) El empleo conveniente y seguro de las tecnologías instaladas y cada uno de los servicios queéstas pueden ofrecer.
b) El tratamiento que requiere la información oficial que se procese, intercambie, reproduzca o conserve a través de las tecnologías de información, según su categoría.
c) La definición de los privilegios y derechos de acceso a los activos de información para garantizar su protección contra modificaciones no autorizadas, pérdidas o revelación.
d) Los principios quegaranticen un efectivo control de acceso a las tecnologías, incluyendo el acceso remoto, y a los locales donde éstas se encuentren.
e) La salva y conservación de la información.
f) La conexión a redes externas a la Entidad, en especial las de alcance global y la utilización de sus servicios.
g) Los requerimientos de Seguridad Informática a tener en cuenta durante el diseño o la adquisición denuevas tecnologías o proyectos de software.
h) La definición de los principios relacionados con el monitoreo del correo electrónico, la gestión de las trazas de auditoría y el acceso a los ficheros de usuario.
i) El mantenimiento, reparación y traslado de las tecnologías y el personal técnico que requiere acceso a las mismas por esos motivos.
j) Las regulaciones con relación a la certificación,instalación y empleo de los Sistemas de Protección Electromagnética.
k) Las regulaciones relacionadas con la certificación, instalación y empleo de los Sistemas Criptográficos, en los casos que se requiera.
l) Los principios generales para el tratamiento de incidentes y violaciones de seguridad.
Medios Técnicos de Seguridad: Se describirán los medios técnicos utilizados en función degarantizar niveles de seguridad adecuados, tanto al nivel de software como de hardware, así como la configuración de los mismos. Para lo cual se tendrá en cuenta:
Sistemas Operativos y nivel de seguridad instalado,
Tipo de redes utilizadas y topología de las mismas,
Conexiones a redes externas a la entidad,
Servidores de uso interno y externo,
Configuración de los servicios,
Barreras deprotección y su arquitectura,
Empleo de Firewall, de Hosts Bastiones, Sistemas Proxy, etc.
Filtrado de paquetes,
Herramientas de administración y monitoreo,
Habilitación de trazas y subsistemas de auditoría,
Establecimiento de alarmas del sistema,
Sistemas de protección criptográfica,
Dispositivos de identificación y autenticación de usuarios,
Protección contra programas no deseados,Software especiales de seguridad,
Medios técnicos de detección de intrusos,
Cerraduras de disqueteras,
Dispositivos de protección contra robo de equipos y componentes,
Sistemas de aterramiento,
Protección electromagnética,
Fuentes de respaldo de energía eléctrica,
Medios contra incendios,
Medios de climatización,
Otros.
5.3. Medidas y Procedimientos de Seguridad InformáticaEn esta parte del Plan se relacionarán las acciones que deben ser realizadas en cada área específica por el personal a que se hace referencia en el apartado 5.1, en correspondencia con las políticas generales para toda la entidad establecidas en el apartado 4 y con la ayuda, en los casos que lo requieran, de los medios técnicos descritos en el 5.2, adecuando las mismas a las necesidades de...
Leer documento completo
Regístrate para leer el documento completo.