Que se aprobó el documento denominado Definición y Configuración del SISME por Acuerdo N 9/98 (IV RMI - Brasilia, 20/XI/98).



Documentos relacionados
Infraestructura Extendida de Seguridad IES

ACUERDO 018- CG EL CONTRALOR GENERAL DEL ESTADO CONSIDERANDO:

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas.

Javier Bastarrica Lacalle Auditoria Informática.

Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012

Guía sobre los cambios del nuevo sitio Web de Central Directo

Webpay. ELO-322 Redes de Computadores I. Yeraldy Cabrera Troncoso Aldo Passi Rojas. Primer semestre 2015

REQUISITOS MÍNIMOS PARA INSPECCIÓN EN ESTABLECIMIENTOS QUE TRABAJAN CON PRODUCTOS CONTROLADOS

Autenticación Centralizada

SUPLEMENTO EUROPASS AL TÍTULO

Proyecto Piloto. Integración de Ventanillas Únicas de Comercio Exterior dela RED VUCE

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N PCM

UNIVERSIDAD DR. JOSE MATIAS DELGADO

Introducción a la Firma Electrónica en MIDAS

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

Seguridad de la información en SMart esolutions

PROCEDIMIENTO PARA CONTROL DE REGISTROS

Manual EDT DISEÑO EDT - CREAR EVENTO DE DIVULGACIÓN TECNOLÓGICA

I. E. S. Cristóbal de Monroy. DEPARTAMENTO: Informática. MATERIA: Aplicaciones Web. NIVEL: 2º Sistemas Microinformáticos y Redes

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES

Infraestructura de Firma Digital - República Argentina Ley Autoridad Certificante para Personas Físicas de la ANSES. Política de Privacidad

Implantación de Aplicaciones Web Fecha:

BOLETÍN OFICIAL DEL ESTADO

Universidad Mayor de San Andrés Facultad de Ciencias Puras y Naturales Carrera de Informática. ired. Sistema de Inventario de Red

OBLIGACIONES DE HACER INSTITUCIONES PÚBLICAS (INSTITUCIONES EDUCATIVAS, HOSPITALES Y CENTROS DE SALUD) DECRETO 2044 DE 2013

SOLICITUD DEL CERTIFICADO

VISTO: El Tratado de Asunción, el Protocolo de Ouro Preto y la Resolución N 43/99 del Grupo Mercado Común.

GUIA ACTIVIDAD TAD (TRAMITACIÓN A DISTANCIA) SISTEMA DE ADMINISTRACIÓN DE DOCUMENTOS ELECTRÓNICOS SADE

PLATAFORMA TECNOLOGICA DE LOS PROCURADORES DE ESPAÑA. Javier C. Sánchez García

Manual de Usuario SIMIN 2.0

SUPLEMENTO EUROPASS AL TÍTULO

Sistemas de Gestión de Documentos Electrónicos de Archivo (SGDEA)

ÍNDICE DE CONTENIDOS

Requerimientos de tecnología para operar con Tica. Proyecto TICA

Objetivo. Alcance. Referencias. Responsabilidades MANUAL DE PROCEDIMIENTOS DE TECNOLOGÍAS DE INFORMACIÓN

QUE ES COMLINE MENSAJES? QUE TIPO DE MENSAJES PROCESA COMLINE MENSAJES?

Resolución Rectoral Nº ULP ANEXO IV. Fecha Emisión Versión Revisión. ANEXO IV Resolución Rectoral Nº ULP-2010

Resumen del trabajo sobre DNSSEC

Sistema de Autoridad de Registro. Procuraduría General de la República. Manual de Usuario

PROTOCOLO DE ASUNCIÓN SOBRE COMPROMISO CON LA PROMOCIÓN Y PROTECCIÓN DE LOS DERECHOS HUMANOS DEL MERCOSUR

BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID

Escenario: REGISTRO DE CONTRATOS DE IMPORTACIÓN DE TECNOLOGÍA

Circular de Tecnología Pautas para el uso de Certificados Electrónicos

Alcances prácticos de la Política y la Ley

Anexo I. Politicas Generales de Seguridad del proyecto CAT

ARQUITECTURA DE DISTRIBUCIÓN DE DATOS

Seguridad en la transmisión de Datos

Propuesta de Implementación del Sistema de Banca Móvil para: Banca Universal.

CONFIGURACIÓN PARA CORREO ELECTRÓNICO SEGURO CON MOZILLA

BOLETÍN OFICIAL DEL ESTADO

Disposición complementaria modificada en Sesión de Directorio N del 15 de diciembre de 2014.

Alfresco permite su integración y personalización en sistemas de gestión documental para implementar funcionalidades específicas

Consulta a servicio OCSP. Consulta en línea de estado de Certificados

ORGANISMO COORDINADOR DEL SISTEMA ELÉCTRICO NACIONAL INTERCONECTADO DE LA REPÚBLICA DOMINICANA

Especificaciones funcionales para el acceso al RAI por Web

Manual de Comunicación de Ofertas de Empleo a través de Internet

CONVOCATORIA DEL CURSO DE FORMACIÓN AL E-FÁCIL PARA DESARROLLADORES

PROGRAMA DE GESTIÓN DOCUMENTAL

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

Gestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi

Solución de firma de pdf (Servidor) PDF_SIGN Versión 1.4

COMISIÓN PARA EL SEGUIMIENTO DE LA CALIDAD EN LA PRESTACIÓN DE LOS SERVICIOS DE TELECOMUNICACIONES

Una Inversión en Protección de Activos

Anexo III: Inventario de iniciativas horizontales incluidas en el Eje e-gestión.

FAQ. sobre la Ley 25/2013, de 27 de diciembre, de impulso de la factura electrónica y creación del registro contable de facturas en el Sector Público

BIENVENIDOS! SITEPRO S.A.

Guía General Central Directo Seguridad

SERVICIO NACIONAL DE APRENDIZAJE- SENA PROCESO RELACIONAMIENTO EMPRESARIAL Y GESTION DEL CLIENTE

ESTUDIOS PREVIOS PARA CONTRATAR LA ADQUISICION DE DOS CERTIFICADOS DIGITALES DE SITIO SEGURO SSL.

Copyright bizagi. Gestión de Cambios Documento de Construcción Bizagi Process Modeler

(Publicado en el Boletín Oficial de Navarra de 5 de junio de 2015)

ACUERDO MARCO SOBRE CONDICIONES DE ACCESO PARA EMPRESAS DE SEGUROS CON ÉNFASIS EN EL ACCESO POR SUCURSAL

DOCUMENTOS DE VIAJE DE LOS ESTADOS PARTES DEL MERCOSUR Y ESTADOS ASOCIADOS

PROGRAMACIÓN PÁGINAS WEB CON PHP

Consultoría, Análisis, Desarrollo y Mantenimiento de Software. Guía de Usuario V2.1. Junio 2.004

Santa Fe Empresas. Transferencias Electrónicas de Fondos. Manual del Usuario Funciones del Cliente Marzo de Página 1 de 19

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

Gestión de la Seguridad Informática

GUIA DEL ADMINISTRADOR INSTITUCIONAL

AVA-SECSystemWeb. Introducción Características del producto Especificaciones Técnicas

UNIVERSIDAD DE LA RIOJA

Ing. Cynthia Zúñiga Ramos

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS MADRID info@mope.

I INTRODUCCIÓN. 1.1 Objetivos

INFORME N GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

Dirección General de Inversión Pública

Glosario de términos

PROCEDIMIENTO PARA LA REALIZACION DE COPIAS DE SEGURIDAD (BACKUP)

HARDkey La mejor alternativa a esquemas de PKI /OTP para Validación de Accesos de Usuarios

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL

Actualizaciones de seguridad.

Banco de la República Bogotá D. C., Colombia. Dirección General de Tecnología ESTRATEGIAS DE CONTINGENCIA PARA ENTIDADES AUTORIZADAS USCI-GI-3

3. Procedimiento administrativo para la realización de auditorías a sistemas de medición de la calidad del aire.

BOLETÍN OFICIAL DEL ESTADO

RESOLUCION No. 72 /2013

INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA

Servicio Extenda Oportunidades de Proyectos y Licitaciones Internacionales y Multilaterales

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL

Transcripción:

MERCOSUR/CMC/DEC. Nº 19/00 COMPLEMENTACIÓN DE LA DEFINICIÓN Y CONFIGURACIÓN DEL SISTEMA DE INTERCAMBIO DE INFORMACIÓN DE SEGURIDAD ENTRE LOS ESTADOS PARTES DEL MERCOSUR, LA REPÚBLICA DE BOLIVIA Y LA REPÚBLICA DE CHILE VISTO: el Tratado de Asunción, el Protocolo de Ouro Preto, la Decisión CMC N 13/99 y el Acuerdo N 14/00 de la Reunión de Ministros del Interior del MERCOSUR, Bolivia y Chile. CONSIDERANDO: Que mediante Acuerdo 1/98 (RMI - Buenos Aires 27/III/98) se aprobaron las Normas Generales para la Implementación del Sistema de intercambio de Información de Seguridad del MERCOSUR, Bolivia y Chile (SISME). Que se aprobó el documento denominado Definición y Configuración del SISME por Acuerdo N 9/98 (IV RMI - Brasilia, 20/XI/98). Que es necesario avanzar en la ejecución de las acciones y etapas previstas para la puesta en servicio a pleno del SISME y en la incorporación de procesos automáticos de certificación de usuarios mediante la incorporación de tecnología de "firma digital". EL CONSEJO DEL MERCADO COMÚN DECIDE: Art. 1 - Aprobar la suscripción de la Complementación de la Definición y Configuración del Sistema de intercambio de Información de Seguridad entre los Estados Partes del MERCOSUR, la República de Bolivia y la República de Chile, elevada por la Reunión de Ministros del Interior del MERCOSUR, Bolivia y Chile, por el Acuerdo Nº 14/00., que consta como Anexo y forma parte de la presente Decisión. 1

XVIII CMC - Buenos Aires, 29/VI/00 2

ANEXO COMPLEMENTACIÓN DE LA DEFINICIÓN Y CONFIGURACIÓN DEL SISTEMA DE INTERCAMBIO DE INFORMACIÓN DE SEGURIDAD ENTRE EL MERCOSUR, LA REPÚBLICA DE BOLIVIA Y LA REPÚBLICA DE CHILE 1. Agregar en 2. Premisas y Requisitos el punto 2.2.3 Tipos de Interacción, en los términos que se consignan a continuación: 2.2.3 Tipos de interacción: Las interacciones que deberán ocurrir entre los usuarios del SISME ultra fronteras nacionales pueden ser subdivididas en 3 (tres) modalidades: I. Usuario SISME con usuario SISME, para cambio de mensajes no-estructurados por medio de correo electrónico a través de los Nodos Nacionales. II. Usuario SISME con usuario SISME, para cambio de mensajes estructurados en formularios por medio de correos electrónico (scripts predefinidos), a través de los Nodos Nacionales. III. Módulo Gerenciador SISME con módulo Nacional SISME, para consultas estructuradas a las bases de datos del sistema. En interacciones entre usuarios del SISME que utilizan la estructura de correo electrónico (caso I y II) a través del Nodo Nacional respectivo, es utilizado un proceso obligatorio de firma digital u otro sistema de seguridad equivalente o superior, basado en tecnología de clave pública y privada. Los usuarios del servicio de correo electrónico reciben un certificado digital generado por un proceso de certificación, según lo descripto en el ítem 6.1.6. El certificado emitido se utiliza en los procesos de firma digital y criptografía de mensajes. Todos los mensajes intercambiados por la infraestructura de correo electrónico del SISME, deben sufrir de manera obligatoria un proceso de encriptado y certificación mediante firma digital. Para el caso III, el propio Módulo Gerenciador del SISME, definido conceptualmente en el ítem 3.2.2 del documento Definición y Configuración del Sistema de Intercambio de Información de Seguridad del MERCOSUR, Bolivia y Chile, deberá poner en marcha, de forma trasparente para los usuarios (con excepción del password para login), todos los recursos de seguridad previstos en el ítem 2.2.2. 2. Reemplazar en el literal 2. Premisas y Requisitos el punto 2.2.2 Seguridad por el 2.2.2 Arquitectura de Seguridad, en los términos que se consignan a continuación. 3

2.2.2 Arquitectura de Seguridad La arquitectura de seguridad de informaciones del SISME será proyectada y puesta en marcha con la utilización de recursos que puedan garantizar el control de acceso a las bases de datos, el no rechazo a los legítimos usuarios, el secreto y la integridad de las informaciones en los Sistemas y en las comunicaciones entre los sistemas, utilizándose implementaciones de password, perfiles de usuarios, autenticación con firma digital, criptografía, y control de acceso físico. 3. Reemplazar el literal 6. Procedimientos de Auditoría por el punto 6. Procedimientos de Seguridad y Auditoría, en los términos que se consignan a continuación: 6. Procedimientos de Seguridad y Auditoría 6.1 Procedimientos de Seguridad 6.1.1 Control de acceso lógico o Autenticación del Usuario Cada usuario solamente podrá tener acceso lógico al sistema después de someter su password individual de login a la verificación automática para poner en marcha el nivel de seguridad que cada Nodo Nacional determine. La autorización de acceso (login) en cada estación de trabajo conectada al sistema deberá, por medida de seguridad, ser cancelada después de algunos minutos de inactividad del usuario. Si acaso él resuelve re-comenzar su interacción con el sistema, el usuario tendrá, entonces, que someterse a nuevo procedimiento de identificación poniendo nuevamente su password para la verificación de su perfil. Todas las interacciones deberán ser registradas para auditoría. Los usuarios del servicio deben recibir una certificación digital generada por un proceso de certificación conforme lo previsto en el ítem 6.1.6. El SISME deberá presentar, en el Módulo Gerenciador de cada país, los siguientes dispositivos de seguridad automáticos y trasparentes para el usuario-operador: autenticación mutua de los usuarios y de los ordenadores servidores involucrados en los cambios de informaciones (tanto con relación a las solicitudes domésticas cuanto a las originarias de los Nodos Nacionales de otros países). criptografía, con algoritmo estandarizado de llave pública y privada definido previamente de común acuerdo entre los signatarios; La utilización de funciones y algoritmos estandarizados y conocidos, para garantizar la integridad de las informaciones. 6.1.2 Autenticación de los equipamientos servidores 4

En el proceso de consultas estructuradas del SISME hay interacciones, con intercambio de solicitudes y respuestas, entre los módulos gerenciador y los módulos nacionales, procesados en los nodos nacionales de los países participantes. Cada equipamiento servidor que pertenece a un nodo nacional, donde se procesa el módulo nacional y el módulo gerenciador del país, mantiene un certificado digital generado por un proceso de certificación, según lo descripto en el ítem 6.1.6 Todos las solicitudes generadas por los módulos gerenciadores y las respuestas generadas por los módulos nacionales, deben, necesariamente sufrir un proceso de certificación mediante firma digital y criptografía con el certificado digital del servidor correspondiente, de acuerdo con la estructura de datos descrita según el ítem 8.5.1 - Parámetros Comunes para todas las Rutinas 6.1.3 Perfiles de Usuarios Se deben definir distintos niveles de acceso al sistema, de acuerdo con los perfiles funcionales de los usuarios (individualmente o por grupo), de la clasificación de las informaciones de las bases de datos y de la regla básica de seguridad de las informaciones conocidas por necesidad de saber. Cada usuario o grupo de usuarios (diferenciados por nivel jerárquico o tipo de actividad funcional) deberá tener su nivel de acceso asociado a las informaciones que tiene que conocer para el desempeño de sus actividades en la organización. 6.1.4 Defensa contra Ataque a las Redes Las redes locales donde serán localizados los Nodos Nacionales y Nodos de los Usuarios del SISME, conforme definidos conceptualmente en el ítem 3.1.2 deberán ser dotadas de dispositivos de seguridad contra accesos no autorizados, con tecnología de firewall. Los órganos gestores de cada red interconectada a los Nodos Nacionales deberán elaborar y ejecutar arquitecturas de sistemas de seguridad contra ataques internos y externos (de hackers y crackers) que puedan comprometer a la seguridad de las informaciones y de los aplicativos del SISME. 6.1.5 Control de Acceso Físico Los ambientes computacionales de las redes locales donde se encontrarán los puntos de acceso al SISME deberán tener protección contra el acceso de personas no autorizadas, accidentes y ataques que puedan comprometer a la seguridad de las informaciones y de los equipamientos. 6.1.6 Proceso de Certificación de los Usuarios y de los Equipos Servidores El organismo responsable del Nodo Nacional de cada país utilizará los mecanismos que estime conveniente, generará y remitirá los certificados de claves públicas a los demás Nodos Nacionales para el efecto de firma digital. Cada Nodo Nacional será responsable de crear una infraestructura de firma digital 5

u otros sistemas de seguridad equivalentes o superiores que garanticen la autenticación de los Nodos Usuarios. 6.2 Procedimientos de Auditoría Los procedimientos de auditoría deberán permitir la correcta identificación del usuario del SISME que realice una determinada transacción (operación) en el sistema, como también la ubicación, tiempo (con precisión de segundos) en el que ocurrió, transacción realizada y contenido de la misma. Este procedimiento deberá ser automático, continuo y trasparente para el usuario y las informaciones de esta forma generadas deberán ser almacenadas en ficheros específicos (log de usuarios) para consultar después online, por un período de tiempo mínimo de 3 (tres) meses, y en otra modalidad de consulta, por un período de tiempo indeterminado, a efectos de su disponibilidad para auditoría por la Comisión Administradora del SISME. Las rutinas de auditoría deberán prever consulta estructurada y aplicativos para consulta no-estructurada a los datos del SISME en el Nodo Nacional y en el Módulo Gerenciador, teniendo como parámetro mínimo de ejecución el acceso a las informaciones previstas en el ANEXO D, ítem 8.3.2. Esas consultas deberán ser especificadas por los gestores de cada Nodo Nacional y aplicadas solamente en el ámbito computacional de las redes de cada país signatario. 6

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback