RESOLUCIÓN NÚMERO 036 (18 FEBRERO 2009)

Transcripción

1 RESOLUCIÓN NÚMERO 036 (18 FEBRERO 2009) Por medio de la cual se adopta el Sistema de Gestión de la Seguridad de la Información -SGSI - de la Procuraduría General de la Nación EL PROCURADOR GENERAL DE LA NACIÓN En ejercicio de sus facultades constitucionales y legales, en especial de las consagradas en los numerales 6 7 y 34 del artículo 7 del Decreto 262 de 2000, y CONSIDERANDO: 1. Que el numeral 6 del artículo 7 del Decreto Ley 262 de 2000 faculta al Procurador General de la Nación para asignar funciones especiales a las dependencias y empleos de la Procuraduría General de la Nación. 2. Que el numeral 7 del artículo 7 del Decreto 262 de 2000 asigna al Procurador General de la Nación la función de "Expedir los actos administrativos, órdenes, directivas y circulares que sean necesarios para el funcionamiento de la Entidad y para desarrollar las funciones atribuidas por la Ley". 3. Que el numeral 34 del artículo 7 del Decreto 262 de 2000 faculta al Procurador General de la Nación para "Crear comités asesores y grupos de trabajo para el cumplimiento de las funciones de la Entidad y los previstos en la ley." 4. Que la República de Colombia y el Banco Interamericano de Desarrollo - BID, con fecha 30 de julio de 2003 suscribieron el Contrato de Crédito 1459/0C-CO, para sufragar parcialmente el costo del proyecto "Programa de Apoyo al Fortalecimiento de la Procuraduría General de la Nación. 5. Que dicho Programa ha buscado, entre otros fines, la modernización tecnológica de la Procuraduría General de la Nación a través de la formulación de un plan estratégico de tecnología de la información, que incluyó la adquisición de tecnología para su utilización en el procesamiento, almacenamiento, recuperación y transmisión de la información institucional. 6. Que la utilización de tecnología en el procesamiento, almacenamiento, recuperación y transmisión de la información, implica importantes riesgos para su disponibilidad, confidencialidad e integridad, por lo que la Procuraduría General de la Nación, con el propósito de asegurar tales atributos en su información institucional y el cumplimiento de sus funciones

2 constitucionales y legales, suscribió el Contrato de Consultoría No. 102 de 2006, con la firma DIGIWARE DE COLOMBIA S. A., derivado del trámite de la Licitación Pública Internacional No. 023 de 2006, que tuvo por objeto el diseño del modelo de seguridad informática y la implementación de los mecanismos de seguridad en la Procuraduría General de la Nación. 7. Que como producto de la ejecución del Contrato 102 de 2006, la firma DIGIWARE DE COLOMBIA S. A., entregó a la Procuraduría General de la Nación y ésta recibió de conformidad el Modelo de Seguridad Informática requerido. 8. Que conforme al objetivo General del numeral 6.2 Objetivos, de la Sección VI., Servicios de consultoría requeridos, de los Documentos de Licitación de - la Licitación Pública Internacional No. 023 de 2006, el Modelo de Seguridad Informática de la Procuraduría General de la Nación se diseñó y estructuró con base en los parámetros establecidos por la Norma IS y las recomendaciones contenidas en la NTC-ISO/IEC Que el subnumeral 5.1 Compromiso de la Dirección, del numeral 5. Responsabilidades de la Dirección, de la norma NTC-ISO/IEC 27001, establece que: La dirección debe brindar evidencia de su compromiso con el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora del SGSI: a) Mediante el establecimiento de una política del SGSI; b) Asegurando que se establezcan los objetivos y planes del SGSI; c) Estableciendo funciones y responsabilidades d) Comunicando a la organización la importancia de cumplir los objetivos de seguridad de la información y de la conformidad con la política de seguridad de la información, sus responsabilidades bajo la ley, y la necesidad de la mejora continua; e) Brindando los recursos suficientes para establecer; implementar; operar; hacer seguimiento, revisar, mantener y mejorar un SGSI...; f) Decidiendo los criterios para aceptación de riesgos y los niveles de riesgo aceptables; g) Asegurando que se realizan auditorías internas del SGSI...; h) Efectuando las revisiones por la dirección, del SGSI..." 10. Que el Objetivo de control A Documento de la política de seguridad de la información, del dominio A5. Política de Seguridad, del Anexo A de la norma NTC- ISO/IEC 27001, establece que: La dirección debe aprobar un documento de política de seguridad de la información y lo debe publicar y comunicar a todos los empleados y partes externas pertinentes. 11. Que el Objetivo de control A Asignación de responsabilidades para la seguridad de la información, del dominio A6. Organización de la Seguridad

3 de la Información, del Anexo A de la norma NTC-ISO/IEC 27001, establece que: Se deben definir claramente todas las responsabilidades en cuanto a seguridad de la información. 12. Que con el fin de dar cumplimiento a las anteriores previsiones y a lo ordenado por la Ley 87 de 1993, artículo 2, literales a y f, en cuanto a la protección de los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afecten así como la definición y aplicación de medidas para prevenir los riesgos; detectar y corregir las desviaciones que se presentan en la organización y que puedan afectar el logro de sus objetivos, se hace necesario disponer lo pertinente al interior de la Entidad. Que en me rito de lo expuesto, RESUELVE: ARTÍCULO PRIMERO. OBJETO. La presente Resolución tiene por objeto la adopción del Modelo de Seguridad Informática de la Procuraduría General de la Nación, en adelante "Sistema de Gestión de la Seguridad de la Información" - SGSI - de la Procuraduría General de la Nación, la creación del rol de Oficial de Seguridad de la Información, la creación y conformación del Comité de Seguridad de la información y la asignación de las funciones correspondientes. ARTÍCULO SEGUNDO. ADOPCIÓN DEL SGSI. Adoptar el "Sistema de Gestión de la Seguridad de la Información" -SGSI -de la Procuraduría General de la Nación; que se describe en documento anexo que reposa en el archivo de la Oficina de Sistemas de la Entidad y se encuentra publicado en la Página Web de la citada dependencia y que hace parte integral de la presente Resolución. El SGSI comprende la política, estructura, procesos y recursos institucionales necesarios para implantar la gestión de la seguridad de la información en la Entidad. ARTÍCULO TERCERO. OFICIAL DE SEGURIDAD DE la INFORMACIÓN: Un Asesor Grado 24 del Despacho del Procurador General de la Nación, será designado como Oficial de Seguridad de la Información de la Entidad y dependerá funcional y administrativamente del Procurador General de la Nación. El servidor que se designe deberá tener el siguiente perfil profesional: Ingeniero de Sistemas o Ingeniero Electrónico o Ingeniero de Telecomunicaciones o Ingeniero en Telemática; especializado en Auditoría de Sistemas o Seguridad de la

4 Información o Seguridad en Redes o con una de las siguientes certificaciones en seguridad de la información: CISSP, CISM, CISA; 5 años de experiencia en actividades relacionadas con seguridad de la información y/o Auditoría de Sistemas. ARTÍCULO CUARTO. FUNCIONES GENERALES DEL OFICIAL DE SEGURIDAD DE la INFORMACIÓN. Las funciones del Oficial de Seguridad de la Información serán las siguientes: Liderar y coordinar la implementación de las políticas de seguridad de la información, con la participación activa de las dependencias de la Entidad. Evaluar y coordinar la implementación de controles específicos de seguridad - de la información para nuevos sistemas de información o servicios informáticos. Monitorear cambios significativos en los riesgos que afectan a los recursos de información frente a las amenazas más importantes. Identificar las necesidades y recursos necesarios (tecnológicos, humanos, de capacitación, financieros, etc.) para el mantenimiento de la infraestructura de seguridad de la información. Identificar las necesidades de formación (capacitación y entrenamiento) del grupo de seguridad de la información y establecer un plan de capacitación para formar y entrenar a sus integrantes. Actuar como un asesor en seguridad de la información para la Entidad. Hacer seguimiento al comportamiento de los indicadores de gestión de la seguridad de la información que adopte el Comité de Seguridad de la Información Hacer la evaluación del desempeño del SGSI. Realizar la revisión y supervisión del SGSI. Establecer un programa periódico (por lo menos una vez al año) de revisión de vulnerabilidades de la plataforma tecnológica de la Entidad y coordinar los respectivos aseguramientos conforme los resultados de las mencionadas pruebas. Reportar al Comité de Seguridad de la Información el estado de la investigación y monitoreo de los incidentes de seguridad de la información, los resultados de las auditorias periódicas, la revisión y supervisión del SGSI. Presentar al Comité de Seguridad de la Información iniciativas e informes periódicos del estado de seguridad de la información de la Entidad. Identificar los organismos externos que ejerzan autoridad en lo relacionado con los aspectos de seguridad de la información e identificar los mecanismos de contacto respectivos. Al menos se debe identificar el contacto con las siguientes autoridades: Grupo Investigativo Delitos Informáticos (DEINF) de la DIJIN, Unidad de Delitos Informáticos de la Fiscalía General de la Nación y Unidad de Delitos Informáticos del DAS

5 Identificar comunidades y grupos de interés relacionados con Seguridad de la Información que le permitan mantenerse actualizado y en contacto con expertos en los temas de seguridad. Las demás que le asigne el Procurador General de la Nación. PARÁGRAFO. En el caso de que el Oficial de Seguridad de la Información se retire de la Entidad o de las funciones del cargo que ocupe, deberá entregar a quien se designe en su reemplazo, un inventario de los temas a su cargo, de los documentos del Comité, así como una relación de los asuntos pendientes de trámite ARTÍCULO QUINTO. CREACIÓN DEL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN. Créase el Comité de Seguridad de la Información de la- Procuraduría General de la Nación, el cual tendrá a su cargo la determinación, aprobación y seguimiento de las políticas, planes y proyectos que requiera la Entidad en materia de seguridad de la información. ARTÍCULO SÉXTO. INTEGRACIÓN DEL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN. El Comité de Seguridad de la Información estará conformado por: El Procurador General de la Nación El Viceprocurador General de la Nación El Director Nacional de Investigaciones Especiales El Jefe de la Oficina de Planeación El Jefe de la Oficina de Sistemas El Jefe de la División de Seguridad El Jefe de la División de Gestión Humana El Oficial de Seguridad de la Información ARTÍCULO SÉPTIMO. FUNCIONES DEL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN. Serán funciones del Comité de Seguridad de la Información las siguientes: Proponer al Procurador General de la Nación, para su aprobación, los cambios en la Política de Seguridad de la Información y las responsabilidades generales en materia de seguridad de la información. Mantener informado al Procurador General de la Nación sobre el estado general de la seguridad de la información de la Entidad. Tener conocimiento y vigilar la investigación y el monitoreo de los incidentes de seguridad de la información por parte del Oficial de Seguridad de la Información. Evaluar y proponer al Procurador General de la Nación, para su aprobación, iniciativas de inversión para incrementar la seguridad de la información.

6 Evaluar y aprobar metodologías y procesos específicos relativos a la seguridad de la información. Adoptar los indicadores de gestión de la seguridad de la información. Verificar que la seguridad sea parte del proceso de clasificación de la información. Verificar que la seguridad sea parte del desarrollo de sistemas de información o aplicaciones de software, desde las etapas tempranas del desarrollo. Promover la difusión y apoyo a la seguridad de la información dentro de la Entidad y a las campañas de sensibilización en temas de seguridad de la información. ARTÍCULO OCTAVO. SESIONES COMITÉ DE SEGURIDAD DE la INFORMACIÓN. El Comité de Seguridad de la Información de la Procuraduría. General de la Nación sesionará de manera ordinaria una vez (1) cada trimestre y extraordinariamente cuando se estime pertinente, por convocatoria de cualquiera de sus integrantes. La participación de los integrantes en el Comité no podrá ser delegada. PARÁGRAFO 1. A sus sesiones podrán asistir con voz pero sin voto, los servidores de la Entidad y particulares que se convoquen, con el fin de que orienten o aclaren los temas a tratar en cada sesión. PARÁGRAFO 2. De lo debatido en las sesiones se dejará constancia en el acta correspondiente. ARTÍCULO NOVENO. SECRETARÍA TÉCNICA DEL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN. La Secretaría Técnica del Comité de Seguridad de la Información estará a cargo del Oficial de Seguridad de la Información. La Secretaria Técnica del Comité deberá cumplir con las siguientes funciones: Convocar a los miembros del Comité e invitados a las sesiones, con la debida antelación. Preparar el orden del día de las sesiones del Comité, remitiendo a los miembros e invitados a la sesión, a través de cualquier medio y dejando constancia de los envíos, la agenda de trabajo y los documentos que deban analizarse. Elaborar para la firma de los miembros del Comité las actas de las sesiones, que serán sometidas a la aprobación y suscripción de los mismos, como primer punto del orden del día en cada sesión. Preparar los informes que soliciten los miembros del Comité para el estudio de los asuntos de su competencia o aquellos que se soliciten de forma externa sobre las actividades del mismo. En este sentido, la Secretaría podrá solicitar la información que requiera a las diferentes dependencias y servidores o contratistas de la Entidad.

7 Llevar el archivo y custodia de las Actas y demás documentos que se produzcan en el Comité, de forma sistemática y organizada..las demás que le asigne el Comité. ARTÍCULO DÉCIMO. AUDITORÍAS DEL SGSI. Sin perjuicio de las revisiones y auditorías independientes que el Comité de Seguridad de la Información de la Procuraduría General de la Nación pueda solicitar y autorizar, la Oficina de Control Interno es la responsable de realizar las auditorías internas al SGSI, semestralmente o cada vez que ocurran cambios significativos en la implementación de la seguridad, con el propósito de determinar si los objetivos de control, controles, procesos y procedimientos del SGSI: a) Cumplen los requisitos de la norma NTC-ISO/IEC y de la legislación o reglamentaciones pertinentes b) Cumplen los requisitos identificados de seguridad de la información c) Están implementados y se mantienen eficazmente, y d) Se están ejecutando en forma consistente y conforme con la Política de Seguridad de la Información de la Procuraduría General de la Nación. Para cumplir con esta responsabilidad, la Oficina de Control Interno deberá: a) Definir de manera documentada: Las responsabilidades y requisitos para la planificación y realización de las auditorías, para informar los resultados y para mantener los registros de las mismas. Las técnicas, los criterios, el alcance y los métodos de la auditoría. b) Hacer seguimiento a las acciones definidas para eliminar las no conformidades detectadas y sus causas, a fin de velar porque se emprendan sin demoras injustificadas. c) Informar los resultados del seguimiento y verificación de las acciones tomadas, incluyendo las actividades de seguimiento realizadas.

8 ARTÍCULO UNDÉCIMO. VIGENCIA y DEROGATORIA: La presente Resolución rige a partir de la fecha de su expedición y deroga el artículo 1 y los numerales 2 y 6 del artículo 3 de la Resolución 070 de 2007, en lo atinente a las funciones que respecto al tema de seguridad informática se le habían asignado al Comité Institucional de Informática de la Procuraduría General de la Nación. " Dada en Bogotá, D. C., a los 18 FEB COMUNÍQUESE Y CÚMPLASE. ALEJANDRO ORDOÑEZ MALDONADO Procurador General de la Nación