Política de Gestión de Incidentes de Seguridad de la Información



Documentos relacionados
Guía de procesos en gestión de incidentes

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

PLANTILLA ARTICULO CÓMO

Aviso Legal. Entorno Digital, S.A.

REFORMA DEL CÓDIGO PENAL

PROCEDIMIENTO CONTROL DE REGISTROS

Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013

REFORMA DEL CÓDIGO PENAL & LEY DE SOCIEDADES 2014 y 2015 Nuevas implicaciones y

PROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD. PROCESO EVALUACIÓN Y CONTROL PÁGINA 1 de 9

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

SHAREFILE. Contrato de socio comercial

Sistema de Gestión de Seguridad de la Información

INEI. Aprueban Directiva Normas Técnicas para el Almacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Estándares de Seguridad

Política sobre relación con clientes

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

Administración de Acciones Preventivas

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

0. Introducción Antecedentes

La mejor opción para reparar su equipo de trabajo

Tema 1: Organización, funciones y responsabilidades de la función de TI.

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01

POLITICA DE GESTIÓN INTEGRAL DE RIESGOS

Anexo I. Politicas Generales de Seguridad del proyecto CAT

LINEAMIENTOS GENERALES Y RECOMENDACIONES PARA LA CUSTODIA Y PROTECCIÓN DE DATOS PERSONALES, INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

Firma: Fecha: Marzo de 2008

DESCARGO DE RESPONSABILIDADES Y COPYRIGHT

1.8 TECNOLOGÍA DE LA INFORMACIÓN

Medidas de seguridad ficheros automatizados

H. Ayuntamiento de Tenango del Valle

El USUARIO manifiesta que es jurídicamente capaz de realizar el procedimiento a utilizar y que está facultado para hacer uso del mismo.

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo

Mejora de la Seguridad de la Información para las Pymes Españolas

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

CÓDIGO DE ETICA Y CONDUCTA PARA LA PREVENCION DE LAVADO DE ACTIVOS Y FINANCIAMIENTO DEL TERRORISMO BOLSA DE VALORES DE LA REPÚBLICA DOMINICANA, S. A.

Política General de Control y Gestión de Riesgos

POLÍTICA DE GESTIÓN DEL SERVICIO

TÍTULO: PROCEDIMIENTO DE COORDINACIÓN DE ACTIVIDADES EMPRESARIALES PARA LA CONTRATAS

POLÍTICA DE CONTINUIDAD OPERACIONAL MINISTERIO DE OBRAS PÚBLICAS

10 ChileCompra 30 MAYO 2GM SANTIAGO,

Riesgo Operacional. BBVA Bancomer Gestión S.A. de C.V. Sociedad Operadora de Sociedades de Inversión. Metodología

ANEXO VI REFERIDO EN EL ARTÍCULO 2.3 EN RELACIÓN CON LA ASISTENCIA ADMINISTRATIVA MUTUA EN ASUNTOS ADUANEROS

CUESTIONARIO AUDITORIAS ISO

INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011

Tecnología de la Información. Administración de Recursos Informáticos

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

GUÍA GESTIÓN DE RIESGOS DE FRAUDE GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

LINEAMIENTOS PARA LA CANCELACIÓN TOTAL DE SISTEMAS DE DATOS PERSONALES DEL INSTITUTO ELECTORAL DEL ESTADO DE MÉXICO CAPÍTULO I DISPOSICIONES GENERALES

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

Módulo 7: Los activos de Seguridad de la Información

MANUAL DE CALIDAD ISO 9001:2008

Tratamiento del Riesgo

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

Políticas de Seguridad de la información

Guía de contenido. Cápsula II. Control Interno y Transferencia de los recursos.

Plan de Estudios. Diploma de Especialización en Seguridad Informática

Resumen General del Manual de Organización y Funciones

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas

ÁREA: CALIDAD DE ATENCIÓN DE USUARIOS SISTEMA: SEGURIDAD DE LA INFORMACIÓN

AUD Estudio de Auditoría Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº JP

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

H. Ayuntamiento de Metepec Procedimiento para Acciones Preventivas PRO-DIG-UIN-005

POLITICA DE GESTION DE RIESGOS, ROLES Y RESPONSABLES. Departamento de Estudios y Gestión Estratégica

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

TRABAJO Y PROMOCIÓN DEL EMPLEO

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Reglamentación y procedimientos implementados para la prevención de las salidas de pista.

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

SEGURIDAD DE LA INFORMACIÓN

POLITICA DE PRIVACIDAD Y CONDICIONES DE USO DE LA PAGINA WEB.

Gestión del Servicio de Tecnología de la información

Protección del Patrimonio Tecnológico

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC Antonio Villalón Huerta Grupo S2

A.G. ELECTRÓNICA S.A. DE C.V.

Sistemas de gestión en servicios de TI (UNIT ISO/IEC )

N IF: B C 1.- OBJETO.

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

ESCUELA POLITECNICA NACIONAL

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

Transcripción:

SGSI Sistema de Gestión de Seguridad de la Información Política de Gestión de Incidentes de Seguridad de la Información Versión 1.1 2010 Setiembre 2010

Versión 1.1 2010 Este documento ha sido elaborado por AGESIC (Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y el Conocimiento) Usted es libre de copiar, distribuir, comunicar y difundir públicamente este documento así como hacer obras derivadas, siempre y cuando tengan en cuenta citar la obra de forma específica y no utilizar esta obra para fines comerciales. Toda obra derivada de esta deberá ser generada con estas mismas condiciones.

Gestión de Incidentes de Seguridad de la Información 3 Política de Gestión de Incidentes de Seguridad de la Información Objeto Establecer los lineamientos generales para la gestión de incidentes de seguridad de la información, con el fin de prevenir y limitar el impacto de los mismos. Alcance La política de gestión de incidentes de seguridad de la información está dirigida a toda persona que tenga legítimo acceso a los sistemas informáticos del Organismo, incluso aquellos gestionados mediante contratos con terceros y lugares relacionados. Definiciones y Abreviaturas Activos de información Son aquellos datos o información que tienen valor para una organización. [Decreto N 451/009 de 28 de Setiembre 2009 Art.3 Definiciones] Activos de información críticos del Estado Son aquellos activos de información necesarios para asegurar y mantener el correcto funcionamiento de los servicios vitales para la operación del gobierno y la economía del país. [Decreto N 451/009 de 28 de Setiembre 2009 Art.3 Definiciones] Evento de seguridad informática

Gestión de Incidentes de Seguridad de la Información 4 Es una ocurrencia identificada de un estado de un sistema, servicio o red que indica que una posible violación de la política de seguridad de la información, la falla de medidas de seguridad o una situación previamente desconocida, que pueda ser relevante para la seguridad. [Decreto N 451/009 de 28 de Setiembre 2009 Art.3 Definiciones] Incidente de seguridad informática Es una violación o una amenaza inminente de violación a una política de seguridad de la información implícita o explícita, así como un hecho que compromete la seguridad de un sistema (confidencialidad, integridad o disponibilidad). [Decreto N 451/009 de 28 de Setiembre 2009- Art.3 Definiciones] Incidente de Seguridad de la Información Un incidente de seguridad de la información es indicado por un único o una serie de eventos indeseados o inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la información. [ISO/IEC 18044:2004] Sistema informático Los ordenadores y redes de comunicación electrónica así como los datos electrónicos almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento. [Decreto N 451/009 de 28 de Setiembre 2009- Art.3 Definiciones] Responsabilidad La Dirección del Organismo es responsable por: Disponer los recursos necesarios a fin de brindar una apropiada gestión de los incidentes de seguridad de la información, mediante la designación de un equipo responsable por la gestión de incidentes de seguridad de la información. Difundir la presente política a todo el personal del Organismo, independiente del cargo que desempeñe y de su situación contractual. Todo el personal del Organismo es responsable por:

Título 5 Dar cumplimiento a la presente política, independiente del cargo que desempeñe y de su situación contractual. Reportar los eventos de seguridad que detecte al equipo responsable de gestión de incidentes de seguridad de la información, siguiendo los procedimientos operativos establecidos para tal fin. Desarrollo La Dirección del Organismo reconoce la importancia de gestionar los incidentes de seguridad de la información. La Dirección del Organismo declara el cumplimiento con la normativa y legislación vigente en relación con aspectos de gestión de incidentes de seguridad de de la información. Esta Política de Gestión de Incidentes de Seguridad de la Información se integrará a la normativa básica del Organismo, incluyendo su difusión previa, y la instrumentación de las sanciones correspondientes por incumplimiento de la presente política, así como de los documentos relacionados a esta. Es política del Organismo: Adoptar medidas de seguridad eficientes para proteger sus activos de información críticos. Analizar los eventos de seguridad informática para determinar si se trata de un incidente de seguridad de la información. Informar de forma completa e inmediata al CERTuy[2] la existencia de un potencial incidente de seguridad informática que afecte a activos de información críticos del Estado. Ejecutar procedimientos de repuesta a incidentes para contener y mitigar el incidente. Documentar y clasificar los incidentes de acuerdo con las indicaciones del CERTuy[2]. Investigar los incidentes de seguridad de la información que no aplican al CERTuy[2].

Gestión de Incidentes de Seguridad de la Información 6 Responder por la integridad de la información generada o en su poder. Aprender de los incidentes de seguridad de la información, para prevenir nuevas ocurrencias. Reparar las consecuencias de los incidentes de seguridad de la información. Emprender actividades post-incidente, como ser mejoras a los procesos operativos de gestión de incidentes de seguridad de la información o asegurar la retención de evidencias. Incumplimiento El funcionario público que en el ejercicio de sus funciones tratare información de cualquier tipo, deberá garantizar su confidencialidad, integridad y accesibilidad. El incumplimiento de ese deber podrá configurar falta administrativa, conforme lo previsto en los Decretos Nos. 500/991, Ley N. 18.331 de Protección de Datos Personales, Ley N 18.381 de Acceso a la Información Pública, y concordantes y/o eventualmente delito, de acuerdo a lo dispuesto en el Código Penal, Ley N 18.600 de Documento Electrónico y Firma Electrónica y disposiciones modificativas y concordantes. Referencias [1] UNIT-ISO/IEC TR 18044:2004 Tecnología de la información - Técnicas de seguridad - Gestión de incidentes de seguridad de la información. [2] CERTUy http://www.cert.uy/ [3] NIST Special Publication 800-61 Computer Security Incident Handling Guide. En línea: http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf [4] Decreto de Regularización del Centro Nacional de Respuesta e Incidencias de Seguridad Informática del 28 de Setiembre de 2009.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback