Ministerio de Economía y Producción Secretaría de Hacienda. Normas de Seguridad Física y Ambiental.

Transcripción

1 Normas de Seguridad Física y Ambiental.

2 Las normas para Seguridad física y ambiental brindan el marco para evitar accesos no autorizados, daños e interferencias en la información de la organización Estas normas deberán permitir solamente el ingreso a las zonas restringidas a las personas autorizadas. Una persona podría retirar sin autorización discos, cintas, o inclusive un servidor de archivos con datos cruciales y/o dañarlos de forma tal de sacarlos de servicio. Asimismo, los controles ambientales evitan o disminuyen los riesgos de pérdidas de información o interrupción de la actividades por problemas del medio ambiente. Dentro de este apartado se denominará visitante a toda persona que no cumple tareas en forma habitual en el lugar protegido. Políticas para acceso a zonas restringidas 1. El edificio donde se encuentre el Ámbito de Procesamiento deberá tener todas sus entradas controladas por medio de una recepción, guardia de seguridad o cualquier otro método que asegure que el acceso al edificio lo realizan solo personas debidamente autorizadas. 2. Todos los visitantes se registrarán en Seguridad o Recepción firmando la entrada y la salida. Los datos mínimos a requerir son: apellido y nombres, tipo y Nº de documento presentado, empresa a la que pertenece, empleado de referencia y motivo de la visita. El empleado organizador de la visita debe recibir al visitante en su oficina y desde allí lo acompañará al área restringida. 3. La entrada del visitante al Centro de Procesamiento de datos se hará acompañado de una persona debidamente autorizada. Además se registrará el ingreso en una planilla completando como mínimo los siguientes datos: apellido y nombres, empresa, motivo de la visita, hora de entrada y de salida. 4. La entrada de cualquier persona al Centro de Procesamiento de datos fuera del horario habitual de trabajo, deberá estar autorizada formalmente y registrada en la bitácora o planilla de ingresos. 5. El responsable del Ámbito de Procesamiento es el encargado primario del control y seguimiento de los registros de accesos, y deberá actuar en

3 consecuencia ante sospechas de violaciones de la misma. Entre otros, deberá controlar: 5.1. Que exista un registro por cada acceso al CPD de personas autorizadas en horarios no usuales Que exista un registro por cada acceso al CPD de los visitantes en la planilla de acceso o bitácora. 6. Todos los servidores o equipos centrales, y las consolas de operación, que integran el ámbito de procesamiento deberán residir dentro del Centro de Procesamiento de Datos o Centro de Cómputos. 7. En el Centro de Cómputos o Centro de Procesamiento de Datos preferiblemente deberá existir un único punto de ingreso. Esta entrada debe estar protegida apropiadamente contra accesos no autorizados (por ej: cerraduras, mecanismos de control, alarmas, etc.) y su señalización debe ser la mínima indispensable, a fin de evitar la identificación de actividades de procesamiento de datos en esa área. En el caso que existieran mas puertas externas, estas deben contar con los mismos requerimientos de seguridad explicados en el párrafo anterior. 8. Las tareas de limpieza en el Centro de Cómputos serán supervisadas por una persona responsable de la sala que pueda advertir y evitar incidentes accidentales o intencionales sobre los equipos. Seguridad Ambiental dentro del Centro de Cómputos 9. Todos los servidores o equipos centrales del ambiente de procesamiento deberán contar con estabilizadores de tensión y/o UPS (Uninterruptible Power Supply), estar instalados de acuerdo a las instrucciones del proveedor y montados en un Rack donde los cables estén asegurados de manera tal de evitar accidentes no intencionales. Todos los dispositivos se probarán periódicamente en los días y horarios que determine el responsable del ambiente de procesamiento. 10. Preferentemente deberán existir dos llaves de desconexión eléctrica de emergencia, una dentro de la sala y la otra cerca, pero fuera de la misma. Deberán estar claramente identificadas, ser de fácil acceso y estar protegidas de personas no autorizadas a fin de evitar que se las active en forma accidental. Estos dispositivos se probarán junto con los de suministro eléctrico.

4 11. Preferentemente la instalación deberá estar alimentada por dos líneas de suministro de electricidad, de forma tal que la interrupción por accidentes ambientales de una (agua, incendio, rayos, corte, etc.) no afecte a la otra. 12. El ambiente de procesamiento deberá estar limpio y ordenado, adecuadamente ambientado con aire acondicionado, con control de temperatura y humedad, regulado desde el mismo ambiente, a fin de mantener estable la temperatura de los equipos. 13. La sala de servidores o procesador central no deberá estar en los subsuelos o sótanos del edificio, ni tampoco en el último piso. 14. El ambiente de procesamiento deberá contar con un sistema de detección de incendios. Dicho sistema deberá producir una señal audible cuando sea activado tanto manual como automáticamente y deberá estar conectado a la sala de guardia y/o al departamento de bomberos, a fin de que sean monitoreados en forma periódica. 15. Deberán existir extinguidores portátiles de fuego ubicados en posiciones estratégicas en todo el ambiente de procesamiento. Los mismos tendrán una etiqueta de inspección con la indicación de la clase de incendios a los que extinguen y serán revisados de acuerdo a los estándares establecidos para cada tipo. 16. No se almacenará material combustible innecesario dentro o cerca de la sala de servidores o procesador central, tales como papeles, cajas, etc. 17. Está prohibido comer, beber y/o fumar dentro de la sala de servidores o procesador central. Controles Generales. 18. No deberán quedar papeles u otros materiales sobre los escritorios fuera del horario habitual de trabajo (política de escritorios limpios.) 19. Los reportes o impresiones que tengan información confidencial serán destruidos antes de tirarlos en depósitos de residuos. 20. Al momento de entrar en vigencia la norma deberá practicarse un inventario del hardware completo, el cual debe ser revisado periódicamente y validado por el responsable del sector. El inventario de hardware debe contener la información relevante del equipamiento, incluyendo tipo de procesador, tamaño y tipo de memoria, tamaño y velocidad de los discos rígidos y CD-ROM s, velocidad de módems, etc.

5 El área técnica registrará obligatoriamente la entrada y salida de computadoras y equipos, indicando como mínimo fecha, hora, responsable, identificación del elemento y causal que provoca el movimiento del Centro de Procesamiento de Datos. Además deberá existir un diagrama topológico de las redes y un plano detallado del Centro de Cómputos 21. Todos los movimientos de recambio de equipos deberán estar aprobados por el área Técnica.