POLÍTICA DE SEGURIDAD PARA EL CONTROL DE ACCESO FÍSICO DE PERSONAS Y EQUIPOS P-11 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

Transcripción

1 POLÍTICA DE SEGURIDAD PARA EL CONTROL DE ACCESO FÍSICO DE PERSONAS Y EQUIPOS P NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido a lo dispuesto en la clasificación del mismo, quedando prohibida la divulgación y/o reproducción total o parcial del contenido de éste sin la debida autorización por parte del Comité de Seguridad de la Información. Su uso y distribución solo está autorizado al interior de MINSAL y por parte del personal debidamente habilitado.

2 2

3 3 DECLARACIÓN CORPORATIVA El Departamento de Tecnologías de Información se considera una dependencia sensible que requiere controles de acceso de acuerdo a dicha sensibilidad, al igual que otras dependencias de MINSAL que contengan información confidencial. Esta política regirá independiente de la propiedad de la unidad de TICs (interna o externalizada). ÁMBITO Controles de Acceso Físico de personas y del traslado de equipos computacionales y de comunicaciones. ROLES Y RESPONSABILIDADES Representante del Comité de Seguridad de la Información o Aprobar condiciones de seguridad para todo equipamiento que tenga información clasificada como confidencial. o Definir los niveles de seguridad asociados a cada área, así como los controles adecuados en cada nivel. o Realizar análisis de seguridad física en forma periódica a los Data Center de MINSAL. Departamento de Tecnologías de Información o Habilitar los permisos de acceso a las diferentes dependencias de la Unidad de Producción/ Datacenters. o Actualizar inventario de equipos de computación y comunicaciones. o Generar nomina de personal autorizado a ingresar a las diferentes dependencias de la Unidad de Producción/ Datacenters. o Autorizar traslado de equipos de computación o de comunicaciones. REGLAS DE LA POLÍTICA 1. Personal 1.1. El personal de MINSAL y el personal de terceros autorizados, deben portar siempre su identificación en un lugar visible al permanecer en la Unidad de Producción/ Datacenters

4 4 2. Visitas 2.1. A las visitas autorizadas a ingresar a la Unidad de Producción/ Datacenters de MINSAL, se les debe exigir su identificación y firma en el registro de ingreso. Se les debe entregar una tarjeta de visita que señale el área a la que se le autoriza, la que se debe portar en un lugar visible. 3. Áreas que contienen Información Sensible 3.1. El acceso al site, oficinas, o áreas de trabajo que contengan información sensible debe estar físicamente restringido El Comité de Seguridad de la Información debe definir los niveles de seguridad asociados a cada área, así como los controles adecuados en cada nivel. 4. Registro del Acceso 4.1. El ingreso a los sectores restringidos por parte de los funcionarios autorizados, requiere el uso de su tarjeta de identificación personal a fin de registrar su ingreso y egreso y, el empleo de mecanismos biométricos El acceso de personal interno o externo a una dependencia restringida, debe quedar registrado, detallando nombre, empresa, motivo del ingreso, fecha y hora del ingreso y egreso. Durante su permanencia debe estar siempre acompañado por personal debidamente autorizado. 5. Accesos Revocados 5.1. Cuando un trabajador termina su relación laboral con MINSAL, sus permisos de acceso a dependencias deben ser revocados. Por lo mismo, la lista de personas y permisos debe ser actualizada periódicamente, de acuerdo a Política de R.R.H.H. 6. Salas de Computadores y Comunicaciones 6.1. Todo equipamiento que tenga información confidencial, debe estar configurado con el estándar de condiciones de seguridad definidas en MINSAL y aprobadas por el Departamento de Tecnologías de Información Las dependencias que contengan computadores multi-usuario y equipos de comunicaciones (switches, PBX, routers, firewalls) y consolas de administración, deben tener acceso restringido y monitoreado.

5 5 7. Personal Autorizado 7.1. El Jefe del Departamento de Tecnologías de Información o a quien él delegue debe generar un listado del personal autorizado a ingresar a las diferentes dependencias de la Unidad de Producción/ Datacenters El Departamento de Tecnologías de Información, será responsable de habilitar los permisos de acceso correspondientes. 8. Registro del Acceso de Personal Interno o Personal Externo 8.1. El acceso de personal interno o personal externo, autorizados a ingresar a una dependencia restringida, debe quedar registrado, detallando nombre, empresa, motivo del ingreso, fecha y hora del ingreso y egreso. 9. Señalización 9.1. La ubicación de la Unidad de Producción/ Datacenters, no debe ser anunciada mediante signos o señales en áreas de acceso público. 10. Puertas de acceso al Site El acceso al Site debe estar protegido por puertas que resistan fuego, sabotaje e intentos de ingreso a la fuerza Estas puertas deben ser equipadas con dispositivos que las cierren automáticamente después que han sido abiertas, y con una alarma que se activará cuando permanezca abierta por más de un tiempo límite definido como estándar de MINSAL. 11. Identificación y Traslado de los Equipos Todo equipo de computación o de comunicaciones debe ser rotulado para su identificación. No se debe permitir el acceso a cualquier equipo que no esté claramente identificado Todo traslado de equipos de computación o de comunicaciones debe estar autorizado por el Jefe del Departamento de Tecnologías de Información o en quien éste delegue dicha responsabilidad, debe ser efectuado por el personal de Soporte Interno y se debe informar al responsable para la actualización del inventario, dicho evento, debe identificar al menos, la persona, el equipo trasladado y los lugares de origen y destino.

6 Los equipos ingresados en forma temporal por terceros deben ser anotados en un registro para su control de entrada, salida, tiempo y usuario Antes de que un equipo computacional sea vendido, donado o dado de baja, debe ser examinado por el Departamento de Tecnologías de Información y proceder a la eliminación de toda información.

7 7 CONTROL DE VERSIONES VERSIÓN 1.0 FECHA PUBLICACIÓN Octubre 2011 AUTOR Encargado de Seguridad SRA/SSP MINSAL REVISOR Comité de Seguridad MINSAL CLASIFICACIÓN Uso Interno

8