POLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE



Documentos relacionados
PROCEDIMIENTO CONTROL DE REGISTROS

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

Norma de uso Identificación y autentificación Ministerio del Interior N02

PROCEDIMIENTO PARA CONTROL DE REGISTROS

Introducción a la Firma Electrónica en MIDAS

NOTAS TÉCNICAS SOBRE EL SIT: Definición y Configuración de Usuarios

Para detalles y funcionalidades ver Manual para el Administrador

Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica

Manual de Procedimiento. CREACION-ADMINISTRACION, RESPALDO DE DATOS Y CONTINUIDAD DEL NEGOCIO Procesos y Responsabilidades ECR Evaluadora Prefin S.A.

Todos los derechos están reservados.

I. DISPOSICIONES GENERALES

CONTROL DE CAMBIOS. FICHA CONTROL DE CAMBIOS Versión Fecha Descripción de la Modificación

PROCEDIMIENTO PARA EL CONTROL DE DOCUMENTOS Y REGISTROS TABLA DE CONTENIDO

ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS

LINEAMIENTOS PARA LA CANCELACIÓN TOTAL DE SISTEMAS DE DATOS PERSONALES DEL INSTITUTO ELECTORAL DEL ESTADO DE MÉXICO CAPÍTULO I DISPOSICIONES GENERALES

Operación 8 Claves para la ISO

PROCEDIMIENTO DE GESTIÓN PARA NOMBRES DE DOMINIO Y CONTACTOS EN.CL

AVISO DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES EN AMISTAD FAMILIAR A.R.

Oracle 12c DISEÑO Y PROGRAMACIÓN

LINEAMIENTOS GENERALES Y RECOMENDACIONES PARA LA CUSTODIA Y PROTECCIÓN DE DATOS PERSONALES, INFORMACIÓN

INEI. Aprueban Directiva Normas Técnicas para el Almacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública

Infraestructura Extendida de Seguridad IES

UNIDAD DIDACTICA 3 USUARIOS Y GRUPOS EN REDES WINDOWS 2003 SERVER I

<Generador de exámenes> Visión preliminar

Manual de Instrucciones

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SEGURIDAD DE LOS SISTEMAS DE INFORMACION

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

Solución de Control de Asistencia ALCANCE TÉCNICO

Visión General de GXportal. Última actualización: 2009

HOY EN DÍA EN VARIAS EMPRESAS...

Manual de uso de la plataforma para monitores. CENTRO DE APOYO TECNOLÓGICO A EMPRENDEDORES -bilib

Venciendo a la Pesadilla de la Gestión de Usuarios

SIMAD CLOUD. La Gestión Documental ahora en la nube, más eficiente SISTEMA INTEGRADO DE ADMINISTRACIÓN DOCUMENTAL

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

CRM Gestión de Oportunidades Documento de Construcción Bizagi Process Modeler

INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA

Política de Control de Hojas de Cálculo. Prorrectoría

Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012

WINDOWS : COPIAS DE SEGURIDAD

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

UNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA

Gabinete Jurídico. Informe 0183/2009

POLÍTICAS PARA EL DESARROLLO DE SISTEMAS INFORMÁTICOS.

Unidad 1. Fundamentos en Gestión de Riesgos

MANUAL COPIAS DE SEGURIDAD

CODIGO DEL DOCUMENTO: CONTROL DE CAMBIOS. Versión Fecha Descripción del Cambio

COPPEL MANUAL TÉCNICO MCC DE SISTEMAS PROGRAMACIÓN DESCRIPCIÓN DEL PROCESO DE ARQUITECTURA DE SOFTWARE

GENERALIDADES DE BASES DE DATOS

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Sistemas de información de laboratorio

AMERIS CAPITAL ADMINISTRADORA GENERAL DE FONDOS S.A. MANUAL DE MANEJO DE INFORMACIÓN DE INTERÉS PARA EL MERCADO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

3.2. CONTROL: Mecanismo para garantizar la disponibilidad de los documentos vigentes que conforman el sistema integrado de gestión.

ALCANCE Las solicitudes de información del SIIU podrán ser realizadas por los administradores de los diferentes sistemas institucionales

Proceso: AI2 Adquirir y mantener software aplicativo

INSTITUTO TECNOLÓGICO SUPERIOR DE XALAPA

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

Anexos de Bases de Presentación de Propuestas. Consultoría para la implementación de sistemas de gestión de contenidos para comunidades de RedCLARA

MEMORANDO CIRCULAR No CARLOS IVÁN VILLEGAS Presidente POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

UNIVERSIDAD TECNOLÓGICA DE CIUDAD JUÁREZ PROCEDIMIENTO PARA EL CONTROL DE LOS REGISTROS (P-CCA-03)

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

MANUAL DE POLITICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONALES BPO GLOBAL SERVICES

DIRECCIÓN DE DESARROLLO TECNOLÓGICO PROCEDIMIENTO PARA GESTIÓN DE DESARROLLO TECNOLÓGICO

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS

Manual de Usuario Comprador Presupuesto

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Nombre del Documento: Procedimiento gobernador para el control de documentos. Referencia a punto de la norma ISO 9001:2000: 4.2.3

Joomla! La web en entornos educativos

PROCEDIMIENTO CONTROL DE DOCUMENTOS

PROCEDIMIENTOS CONTROL DE DOCUMENTOS

Modelo de Política de Privacidad

Procedimiento y Pautas básicas a tener en cuenta para la puesta en producción de un sistema

BLOQUE 4: FRANQUEO, DEPÓSITO, ENTREGA, RECOGIDA Y DISTRIBUCIÓN DE CORRESPONDENCIA

Creación de usuarios Acceso a Alexia

WorkFlow Pagos de Facturas de Bienes y Servicios De la Administración Central. Seminario: Plataforma Lotus Domino.

ORGAN/ BOCCYL, n.º 502, de 30 de enero de 2015

PROCEDIMIENTO GESTIÓN DE CAMBIO

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

GESTIÓN DOCUMENTAL PARA EL SISTEMA DE CALIDAD

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad

Comité Técnico Interno de Administración de documentos. Dirección General de Administración

PROCEDIMIENTO ADMINISTRACIÓN DE LA RED

Jornada informativa Nueva ISO 9001:2008

COLEGIO NACIONAL DE ACTUARIOS, A.C.

Resumen del trabajo sobre DNSSEC

Sistema de Gestión Portuaria Sistema de Gestión Portuaria Uso General del Sistema

IAP ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS

SISTEMA INTEGRAL DE COMUNICACIÓN, CONTROL Y SEGUIMIENTO DE LA VIGILANCIA EPIDEMIOLÓGICA FITOSANITARIA

CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN)

POLITICA DE TRATAMIENTO DE DATOS PERSONALES

CREACIÓN O MIGRACIÓN DEL CORREO POP A IMAP PARA OUTLOOK EXPRESS 6

INSTRUCTIVO PARA COPIAS DE SEGURIDAD APLICATIVO PAISOFT

Sistema de Administración de la Calidad ISO 9001:2008

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

Qué es una página web?, qué conoces al respecto?, sabes crear una página

Transcripción:

SISTEMAS DE ÍNDICE PÁGINA INTRODUCCIÓN OBJETIVO 3 FUNDAMENTO LEGAL 4 DEFINICIONES 5 POLÍTICAS 6 De la base de datos Del acceso a los sistemas De los sistemas Web Ambientes de Desarrollo, Calidad o Pruebas, y Producción De los prestadores de servicio externos Del control de la información electrónica e impresa 1

SISTEMAS DE INTRODUCCIÓN Los sistemas de información cada vez toman un papel más importante en los procesos administrativos y de negocio de la Administración Pública Federal. Por ello, se ha integrado las siguientes Políticas de Seguridad para el Desarrollo de Sistemas de en donde se establecen los mecanismos normativos de seguridad que se deben implementar en el proceso de desarrollo de sistemas a fin de proteger la información que se genere durante este proceso. 2

SISTEMAS DE OBJETIVO Asegurar la integridad y evitar el mal uso intencionado de la información que se genere durante el proceso de desarrollo de sistemas de. 3

SISTEMAS DE FUNDAMENTO LEGAL Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental D.O.F. 11-06-2002. Ley Federal de Responsabilidades Administrativas de los Servidores Públicos. D.O.F. 13-02-2002. Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental D.O.F. 11-06-2003. Decreto que establece las medidas de austeridad y disciplina del Gasto de la Administración Pública Federal D.O.F. 4-12-2006 Estatuto Orgánico de D.O.F. 13-12-2006 Contrato Colectivo de Trabajo 2007-2009 4

SISTEMAS DE DEFINICIONES Objeto de base de datos: Usuarios, campos, tablas, vistas, procedimientos almacenados, triggers y en general cualquier elemento de una base de datos. DBA: (Data Base Administrator, por sus siglas en inglés): Administrador de base de datos. Sistemas de Información: Conjunto de elementos que hacen uso de tecnologías de información y comunicaciones, que relacionados entre sí alcanzan un objetivo en común. Sistema crítico: Son aquellos que poseen una o varias de las siguientes características: o o o Procesa globalmente información relacionada con los recursos humanos, materiales, presupuestales, contables o financieros del Organismo. Automatiza procesos de negocio sustantivos del Organismo. Es utilizado transversalmente en toda la Organización. Cuenta de acceso: Identificador único por sistema asociado a una clave de acceso o password. Identificar a un usuario: Capacidad de reconocer y diferenciar a un usuario de otro. Autentificar a un usuario: Capacidad de comprobar que un usuario es quien dice ser. 5

SISTEMAS DE POLÍTICAS De la base de datos 1. Se debe contar con un DBA designado quien será el único responsable de la creación, modificación y eliminación de objetos de base de datos. Este podrá delegar algunas de esas tareas a personal calificado, restringiendo los permisos necesarios a sus cuentas de acceso a las bases de datos. 2. Se debe contar con mecanismos que permitan auditar las operaciones realizadas a los objetos de la base de datos. En la medida de lo posible, se debe contar con mecanismos que permitan determinar al usuario, proceso y fecha de última modificación de los registros en operaciones de tipo Insert y Update, así como con un historial sobre las de tipo Delete. 3. No se deben realizar modificaciones manuales a los datos de las bases de datos de Producción, salvo en los casos que por errores o necesidades urgentes del usuario no haya otra manera de solucionarse, para lo cual, invariablemente debe quedar registro documentado de las acciones llevadas a cabo, en el cual se debe manifestar la autorización de las áreas involucradas. Del acceso a los sistemas 1. Para accesar a los sistemas en los cuales se realicen operaciones de captura, modificación o eliminación, los sistemas deben contar con mecanismos para identificar y autentificar al usuario que desea realizar dichas operaciones. Este mecanismo puede implementarse mediante cuentas de acceso o algún otro que asegure la identificación y autentificación del usuario. No se debe programar en el código las cuentas de acceso. Las operaciones de consulta, pudiesen no tener dichos mecanismos si es que así lo solicita el área requirente del sistema. 2. Para sistemas clasificados como críticos, las claves de acceso deben almacenarse de forma encriptada en la base de datos, ya sea de forma nativa o mediante algoritmos de programación. 3. En los sistemas clasificados como críticos, los permisos de los usuarios se deben estructurar en perfiles o roles, y cada cuenta de usuario debe asociarse a un perfil, el cual permite realizar un conjunto de operaciones predefinidas dentro del sistema. 6

SISTEMAS DE De los sistemas Web 1. Se debe contar con un mecanismo de seguridad de tal forma que si el usuario no ha proporcionado su cuenta de acceso no sea posible acceder a ninguna página intermedia mediante un acceso directo. 2. En la página de acceso al sistema se debe validar el no permitir utilizar caracteres especiales en las cajas de texto especificadas para escribir el usuario y la clave de acceso. 3. Se debe restringir la visualización de los archivos contenidos dentro de las carpetas del sistema, a excepción de las que se generen explícitamente para ese fin. 4. El tiempo de sesión del sistema debe establecerse acorde a las necesidades del usuario y a la sensibilidad de la información y operaciones que se manejen dentro del sistema: a mayor sensibilidad menor tiempo de sesión. 5. En todas las páginas de navegación se debe mostrar una opción para salir del sistema, la cual debe eliminar la posibilidad de que el usuario continúe realizando operaciones en el sistema sin volver a proporcionar su cuenta de acceso. Ambientes de Desarrollo, Calidad o Pruebas, y Producción 1. Para los sistemas clasificados como críticos que sean desarrollados o modificados internamente, se debe contar con ambientes de Desarrollo, Calidad o Pruebas, y Producción. Para aquellos cuyo desarrollo no se lleve a cabo internamente, no será necesario el de Desarrollo. 2. El ambiente de Desarrollo debe utilizarse para construir los componentes del sistema, y su acceso será permitido a todo el personal que participe en su desarrollo, acorde a las funciones que cada uno de ellos realice en el proceso de desarrollo. En éste se ejecutarán las pruebas unitarias de cada componente desarrollado o modificado. 7

SISTEMAS DE 3. El ambiente de Calidad o Pruebas debe utilizarse para comprobar el funcionamiento de los componentes de forma conjunta, es decir, como un todo. En este ambiente la configuración y datos de todos los componentes del sistema deben ser idénticos a los que serán o están implementados en Producción. Este ambiente debe ser restringido para que sólo el administrador del sistema pueda realizar modificaciones. 4. El ambiente de Producción debe destinarse para ejecutar y utilizar el sistema final. Este ambiente debe ser restringido para que sólo el administrador del sistema pueda realizar modificaciones, las cuales, invariablemente deberán primero haber sido probadas satisfactoriamente en los ambientes de Desarrollo y Calidad (Pruebas). De los prestadores de servicio externos 1. En los contratos con prestadores de servicios externos al Organismo, se deben establecer cláusulas de confidencialidad que aseguren al Organismo la clasificación como información confidencial de cualquier dato e información relacionada directa o indirectamente con cualquier tipo de servicio de: análisis, diseño, desarrollo, implementación, mantenimiento, pruebas, instalación, configuración, consultoría o asesoría de sistemas del Organismo. Del control de la información electrónica e impresa 1. El administrador del sistema debe llevar un control de los códigos fuente y/o componentes del sistema, a fin de que cualquier modificación sea realizada sobre la última versión de cada componente. 2. Se debe nombrar a una persona responsable de resguardar y controlar toda la documentación relacionada con cada sistema. 3. Toda información impresa o electrónica a almacenarse (cd, dvd, cintas, etc.) de sistemas clasificados como críticos, se debe resguardar en lugares libres de polvo y humedad, y se debe controlar su acceso para que sólo el personal autorizado tenga acceso a ella. 4. No se debe utilizar como papel a reciclar documentación impresa de sistemas clasificados como críticos. Toda documentación impresa que no sea de utilidad debe destruirse. 5. Todo el personal que participe en el proceso de desarrollo de sistemas, debe bloquear su equipo de cómputo de desarrollo cuando no se encuentre en su lugar. 8

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback