SISTEMAS DE ÍNDICE PÁGINA INTRODUCCIÓN OBJETIVO 3 FUNDAMENTO LEGAL 4 DEFINICIONES 5 POLÍTICAS 6 De la base de datos Del acceso a los sistemas De los sistemas Web Ambientes de Desarrollo, Calidad o Pruebas, y Producción De los prestadores de servicio externos Del control de la información electrónica e impresa 1
SISTEMAS DE INTRODUCCIÓN Los sistemas de información cada vez toman un papel más importante en los procesos administrativos y de negocio de la Administración Pública Federal. Por ello, se ha integrado las siguientes Políticas de Seguridad para el Desarrollo de Sistemas de en donde se establecen los mecanismos normativos de seguridad que se deben implementar en el proceso de desarrollo de sistemas a fin de proteger la información que se genere durante este proceso. 2
SISTEMAS DE OBJETIVO Asegurar la integridad y evitar el mal uso intencionado de la información que se genere durante el proceso de desarrollo de sistemas de. 3
SISTEMAS DE FUNDAMENTO LEGAL Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental D.O.F. 11-06-2002. Ley Federal de Responsabilidades Administrativas de los Servidores Públicos. D.O.F. 13-02-2002. Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental D.O.F. 11-06-2003. Decreto que establece las medidas de austeridad y disciplina del Gasto de la Administración Pública Federal D.O.F. 4-12-2006 Estatuto Orgánico de D.O.F. 13-12-2006 Contrato Colectivo de Trabajo 2007-2009 4
SISTEMAS DE DEFINICIONES Objeto de base de datos: Usuarios, campos, tablas, vistas, procedimientos almacenados, triggers y en general cualquier elemento de una base de datos. DBA: (Data Base Administrator, por sus siglas en inglés): Administrador de base de datos. Sistemas de Información: Conjunto de elementos que hacen uso de tecnologías de información y comunicaciones, que relacionados entre sí alcanzan un objetivo en común. Sistema crítico: Son aquellos que poseen una o varias de las siguientes características: o o o Procesa globalmente información relacionada con los recursos humanos, materiales, presupuestales, contables o financieros del Organismo. Automatiza procesos de negocio sustantivos del Organismo. Es utilizado transversalmente en toda la Organización. Cuenta de acceso: Identificador único por sistema asociado a una clave de acceso o password. Identificar a un usuario: Capacidad de reconocer y diferenciar a un usuario de otro. Autentificar a un usuario: Capacidad de comprobar que un usuario es quien dice ser. 5
SISTEMAS DE POLÍTICAS De la base de datos 1. Se debe contar con un DBA designado quien será el único responsable de la creación, modificación y eliminación de objetos de base de datos. Este podrá delegar algunas de esas tareas a personal calificado, restringiendo los permisos necesarios a sus cuentas de acceso a las bases de datos. 2. Se debe contar con mecanismos que permitan auditar las operaciones realizadas a los objetos de la base de datos. En la medida de lo posible, se debe contar con mecanismos que permitan determinar al usuario, proceso y fecha de última modificación de los registros en operaciones de tipo Insert y Update, así como con un historial sobre las de tipo Delete. 3. No se deben realizar modificaciones manuales a los datos de las bases de datos de Producción, salvo en los casos que por errores o necesidades urgentes del usuario no haya otra manera de solucionarse, para lo cual, invariablemente debe quedar registro documentado de las acciones llevadas a cabo, en el cual se debe manifestar la autorización de las áreas involucradas. Del acceso a los sistemas 1. Para accesar a los sistemas en los cuales se realicen operaciones de captura, modificación o eliminación, los sistemas deben contar con mecanismos para identificar y autentificar al usuario que desea realizar dichas operaciones. Este mecanismo puede implementarse mediante cuentas de acceso o algún otro que asegure la identificación y autentificación del usuario. No se debe programar en el código las cuentas de acceso. Las operaciones de consulta, pudiesen no tener dichos mecanismos si es que así lo solicita el área requirente del sistema. 2. Para sistemas clasificados como críticos, las claves de acceso deben almacenarse de forma encriptada en la base de datos, ya sea de forma nativa o mediante algoritmos de programación. 3. En los sistemas clasificados como críticos, los permisos de los usuarios se deben estructurar en perfiles o roles, y cada cuenta de usuario debe asociarse a un perfil, el cual permite realizar un conjunto de operaciones predefinidas dentro del sistema. 6
SISTEMAS DE De los sistemas Web 1. Se debe contar con un mecanismo de seguridad de tal forma que si el usuario no ha proporcionado su cuenta de acceso no sea posible acceder a ninguna página intermedia mediante un acceso directo. 2. En la página de acceso al sistema se debe validar el no permitir utilizar caracteres especiales en las cajas de texto especificadas para escribir el usuario y la clave de acceso. 3. Se debe restringir la visualización de los archivos contenidos dentro de las carpetas del sistema, a excepción de las que se generen explícitamente para ese fin. 4. El tiempo de sesión del sistema debe establecerse acorde a las necesidades del usuario y a la sensibilidad de la información y operaciones que se manejen dentro del sistema: a mayor sensibilidad menor tiempo de sesión. 5. En todas las páginas de navegación se debe mostrar una opción para salir del sistema, la cual debe eliminar la posibilidad de que el usuario continúe realizando operaciones en el sistema sin volver a proporcionar su cuenta de acceso. Ambientes de Desarrollo, Calidad o Pruebas, y Producción 1. Para los sistemas clasificados como críticos que sean desarrollados o modificados internamente, se debe contar con ambientes de Desarrollo, Calidad o Pruebas, y Producción. Para aquellos cuyo desarrollo no se lleve a cabo internamente, no será necesario el de Desarrollo. 2. El ambiente de Desarrollo debe utilizarse para construir los componentes del sistema, y su acceso será permitido a todo el personal que participe en su desarrollo, acorde a las funciones que cada uno de ellos realice en el proceso de desarrollo. En éste se ejecutarán las pruebas unitarias de cada componente desarrollado o modificado. 7
SISTEMAS DE 3. El ambiente de Calidad o Pruebas debe utilizarse para comprobar el funcionamiento de los componentes de forma conjunta, es decir, como un todo. En este ambiente la configuración y datos de todos los componentes del sistema deben ser idénticos a los que serán o están implementados en Producción. Este ambiente debe ser restringido para que sólo el administrador del sistema pueda realizar modificaciones. 4. El ambiente de Producción debe destinarse para ejecutar y utilizar el sistema final. Este ambiente debe ser restringido para que sólo el administrador del sistema pueda realizar modificaciones, las cuales, invariablemente deberán primero haber sido probadas satisfactoriamente en los ambientes de Desarrollo y Calidad (Pruebas). De los prestadores de servicio externos 1. En los contratos con prestadores de servicios externos al Organismo, se deben establecer cláusulas de confidencialidad que aseguren al Organismo la clasificación como información confidencial de cualquier dato e información relacionada directa o indirectamente con cualquier tipo de servicio de: análisis, diseño, desarrollo, implementación, mantenimiento, pruebas, instalación, configuración, consultoría o asesoría de sistemas del Organismo. Del control de la información electrónica e impresa 1. El administrador del sistema debe llevar un control de los códigos fuente y/o componentes del sistema, a fin de que cualquier modificación sea realizada sobre la última versión de cada componente. 2. Se debe nombrar a una persona responsable de resguardar y controlar toda la documentación relacionada con cada sistema. 3. Toda información impresa o electrónica a almacenarse (cd, dvd, cintas, etc.) de sistemas clasificados como críticos, se debe resguardar en lugares libres de polvo y humedad, y se debe controlar su acceso para que sólo el personal autorizado tenga acceso a ella. 4. No se debe utilizar como papel a reciclar documentación impresa de sistemas clasificados como críticos. Toda documentación impresa que no sea de utilidad debe destruirse. 5. Todo el personal que participe en el proceso de desarrollo de sistemas, debe bloquear su equipo de cómputo de desarrollo cuando no se encuentre en su lugar. 8