Lineamientos en materia de seguridad de la información en posesión de las Dependencias y Entidades de la Administración Pública Federal

Transcripción

1 Lineamientos en materia de seguridad de la información en posesión de las Dependencias y Entidades de la Administración Pública Federal Lina Ornelas Núñez, IFAI 15 de julio de 2009

2 Introducción Qué es la información? (Páez Urdaneta) Interrogantes primarias:

3 La familia ISO/IEC Conjunto de estándares internacionales relativos a la seguridad de la información creados por la Organización Internacional para la Estandarización y la Comisión Electrotécnica Internacional. ISO/IEC 27001:2005 Establece un marco eficaz para la gestión de la seguridad de la información y los fundamentos para que cualquier organización pública o privada obtenga la certificación correspondiente. ISO/IEC/27002:2005 Código de prácticas que abunda a mayor detalle los controles de seguridad señalados en la ISO/IEC

4 Estructura de los Lineamientos Los Lineamientos constan de 36 disposiciones divididas en 6 capítulos denominados de la siguiente manera: I. Disposiciones generales; II. Sistema de gestión de seguridad de la información; III. De los controles de seguridad de la información; IV. Protección de datos personales; V. Estructura organizacional para la gestión de la seguridad de la información, y VI. Responsabilidades y sanciones.

5 Objeto y ámbito de aplicación Los Lineamientos tienen por objeto asegurar la gestión de la seguridad de la información en posesión de las dependencias y entidades de la Administración Pública Federal, a través del establecimiento de las medidas esenciales de índole administrativas, físicas y técnicas que permitan mantener la confidencialidad, integridad y disponibilidad de la misma.

6 Sistema de Gestión de Seguridad de la Información El sistema de gestión de seguridad de la información incluido en los Lineamientos plantea implementar, operar, monitorear, revisar, mantener y mejorar las acciones relativas a la seguridad de la información. Consta de 4 fases cíclicas: Fase 1: Fase 4: SGSI Fase 2: Fase 3:

7 Controles de seguridad administrativos Controles de seguridad administrativos Política de seguridad Organiza ción de la seguridad de la informaci ón Clasificac ión y control de activos Segurida d relaciona da con los recursos humanos Administr ación de incidente s Continuid ad de las operacio nes Cumplimi ento de la normativi dad aplicable

8 Controles de seguridad física Seguridad física: establecimiento de controles relacionados con los perímetros de seguridad física y con el entorno de los activos, con el fin de prevenir accesos no autorizados, daños, robo, entre otras amenazas.

9 Controles de seguridad técnicos Controles de seguridad técnicos Gestión de comunica ciones y operacion Control de accesos Adquisició n, desarrollo, uso y mantenim

10 Protección de Datos Personales Las medidas de seguridad administrativas, técnicas y físicas implementadas para la protección de datos personales deben estar consignadas y documentadas en el Documento de Seguridad.

11 Estructura organizacional Comité de Seguridad: conformado por los titulares de las diferentes unidades administrativas de la dependencia o entidad, el cual debe definir el rumbo institucional en materia de seguridad de la información. Área de Seguridad de la Información: unidad independiente encargada de elaborar las estrategias de seguridad de la información dentro de la institución pública de que se trate. Unidad de Auditoría de la Seguridad de la Información: la cual es la Secretaría de la Función Pública encargada de llevar a cabo auditorías en este materia y promover la cultura de seguridad en la Administración Pública Federal.