P-15 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

Transcripción

1 POLÍTICA DE SEGURIDAD EN LA RESPUESTA A INCIDENTES DE SEGURIDAD P NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido a lo dispuesto en la clasificación del mismo, quedando prohibida la divulgación y/o reproducción total o parcial del contenido de éste sin la debida autorización por parte del Comité de Seguridad de la Información. Su uso y distribución solo está autorizado al interior de MINSAL y por parte del personal debidamente habilitado.

2 2

3 3 DECLARACIÓN CORPORATIVA Regular la forma en que MINSAL administra la respuesta ante incidentes de seguridad de la información y definir los procedimientos que se requieren al efecto. ÁMBITO Cualquier incidente que comprometa la confidencialidad, integridad o disponibilidad de la información o de los sistemas. Se define INCIDENTE como cualquier evento o situación que comprometa de manera IMPORTANTE la disponibilidad, integridad y confidencialidad de la información, junto con la plataforma tecnológica, procesos y aplicativos que permitan acceder a esta en forma oportuna. En general es una violación de una política, estándar o procedimiento de seguridad que no permita dar un servicio computacional. Los incidentes obedecen a la siguiente clasificación: Denegación de Servicios Computacionales. Código Malicioso. Accesos No Autorizados. Mal Uso de Recursos. Aplicativos de Negocios. Violación de Políticas de Seguridad, Código de Ética y Reglamento Interno con uso de herramientas computacionales. ROLES Y RESPONSABILIDADES Departamento de Tecnologías de Información o Responsable de solucionar incidentes de seguridad y normalizar la entrega de los servicios. Comité de Seguridad de la Información: o Velar por el correcto funcionamiento y operación de la gestión de incidentes de seguridad. También será responsable mantener un registro de los incidentes reportados. Funcionarios de MINSAL: o Declarar cualquier evento sospechoso que pudiera desencadenar un Incidente de Seguridad.

4 4 REGLAS DE LA POLÍTICA 1. Comité de Seguridad de la Información 1.1. Debe existir un grupo de funcionarios responsables y entrenados para el manejo de incidentes de seguridad computacionales, a objeto que elaboren y promuevan los procedimientos respectivos de respuesta a incidentes de seguridad Dicho grupo de personas debe estar compuesto por representantes de las distintas áreas que permitan un necesario consenso y un nivel de toma de decisiones adecuado Este grupo será responsable de establecer lazos institucionales y de coordinación que permitan hacer preparativos para respuesta ante incidentes, con las entidades que se listan a continuación: Policía Bomberos Servicios médicos Equipos de seguridad de los proveedores de hardware y software Especialistas en delitos computacionales Asesoría legal en delitos computacionales 2. Procedimientos para Incidentes Computacionales conocidos 2.1. El Comité de Seguridad de la Información debe definir procedimientos para los siguientes tipos de incidentes: Denegación de Servicios Computacionales Código Malicioso Accesos No Autorizados Mal Uso de Recursos Fallas en Aplicativos Críticos Violación de Políticas de Seguridad, Código de Ética y Reglamento Interno, Seguridad e Higiene con uso de herramientas computacionales Otros definidos por el Comité Donde el tipo de incidentes Otros, corresponden a todos aquellos incidentes que no cumplen con ninguna de las características del resto de los incidentes antes descritos.

5 5 3. Registro de Incidentes 3.1. Todo evento sospechoso detectado por el funcionario y que pudiese desencadenar un Incidente de Seguridad, debe ser reportado por los canales establecidos para tales efectos Se han definido los siguientes canales para declarar un incidente de seguridad. incidentes@minsal.cl 3.3. Todo incidente debe ser publicado por el Comité de Seguridad de la Información una vez recibido el formulario Reporte de Incidentes por parte del Departamento de Tecnologías de Información El Departamento de Tecnologías de Información debe mantener los registros de incidentes reportados en un repositorio central. Además, de realizar un seguimiento a los compromisos adquiridos por concepto de incidentes. 4. Información de Contactos 4.1. El Comité de Seguridad de la Información debe mantener una lista de los funcionarios y de terceros (externos) a quienes contactar en caso de detectar un determinado incidente de seguridad Las páginas Web de MINSAL deben incluir información de contacto (dirección de correo electrónico y números telefónicos) para que externos puedan reportar anormalidades detectados en dicho sitio. 5. Obligación de Reportar Incidentes 5.1. El personal de MINSAL que detecte un incidente tiene la obligación de reportarlo tan pronto como sea posible a los responsables internos a través de los canales definidos por el Comité de Seguridad de la Información 6. Ponderación de la Gravedad del Incidente 6.1. El Departamento de Tecnologías de Información debe evaluar el nivel de impacto del incidente a fin de activar el Plan de Continuidad Operacional o seleccionar parte del mismo en forma particular.

6 6 7. Comunicación del Incidente 7.1. Dependiendo de la gravedad del incidente, se debe comunicar sus antecedentes y repercusiones a todas las áreas afectadas. 8. Actividades generales a considerar frente a cualquier tipo de incidente: Identificación del tipo de incidente. Ponderación de la gravedad del mismo. Identificación y ejecución del(de los) procedimiento(s) que apliquen. Identificación de contactos internos y/o externos previamente definidos. Mantener constancia de todas las acciones tomadas. Informe al superior respectivo. Escalamiento del incidente, dependiendo de su gravedad y permanencia en el tiempo. Seguimiento a la evolución del mismo. Una vez superado el incidente, analizar las acciones tomadas y evaluar la consistencia de las políticas y procedimientos utilizados. Analizar las acciones correctivas realizadas y generar requerimientos de seguridad que permitan evitar o mitigar una nueva ocurrencia del incidente.

7 7 CONTROL DE VERSIONES VERSIÓN 1.0 FECHA PUBLICACIÓN Octubre 2011 AUTOR Encargado de Seguridad SRA/SSP MINSAL REVISOR Comité de Seguridad MINSAL CLASIFICACIÓN Uso Interno

8