PROCEDIMIENTO DE BORRADO SEGURO CONTENIDO



Documentos relacionados
PROCEDIMIENTO DE CREACIÓN Y ELIMINACIÓN DE USUARIOS CONTENIDO

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SEGURIDAD DE LOS SISTEMAS DE INFORMACION

LINEAMIENTOS PARA LA CANCELACIÓN TOTAL DE SISTEMAS DE DATOS PERSONALES DEL INSTITUTO ELECTORAL DEL ESTADO DE MÉXICO CAPÍTULO I DISPOSICIONES GENERALES

CONTENIDO 1 OBJETIVO GLOSARIO DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

PROCEDIMIENTO DE MANTENIMIENTO PREVENTIVO Y CORRECTIVO PROCESO GESTIÓN TECNOLÓGICA

PROGRAMA DE GESTIÓN DOCUMENTAL

PROCEDIMIENTO PARA EL CONTROL DE DOCUMENTOS Y REGISTROS TABLA DE CONTENIDO

PROCEDIMIENTO VERSION: 01 ADMINISTRACIÓN DE HARDWARE, SOFTWARE Y COMUNICACIONES INFORMÁTICAS PROCESO GESTION DE LA EDUCACIÓN

CONTROL DE DOCUMENTOS

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

Gestión de Seguridad Informática

PROCEDIMIENTO TRAZABILIDAD DE LA MEDICIÓN CONTENIDO

Antes de imprimir este documento piense en el medio ambiente!

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

CONTROL DE DOCUMENTOS

entidad mexicana de acreditación, a. c.

GUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000

INSTRUCTIVO COPIAS DE SEGURIDAD DE LA INFORMACIÓN PROCESO GESTIÓN TECNOLÓGICA

Acto Administrativo de Aprobación FT-MIC Solicitud de Creación, modificación o anulación de documentos aprobado el 10 de Diciembre de 2014

Glosario de términos

Anexo I. Politicas Generales de Seguridad del proyecto CAT

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS

UNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA

ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTOS PARA EL CONTROL DE LA GESTIÓN DOCUMENTAL DEL DNP

Procedimiento de Sistemas de Información

PROCEDIMIENTO VERSION: 03 ELABORACION Y CONTROL DE DOCUMENTOS PROCESO DE PLANIFICACION DEL SISTEMA INTEGRADO DE GESTION

Tema 1: Organización, funciones y responsabilidades de la función de TI.

PROCEDIMIENTO DE IDENTIFICACIÓN Y ACCESO A REQUISITOS LEGALES DE LAS NORMAS SGA Y SYSO CONTENIDO

En el artículo del mes pasado,

PROCEDIMIENTO PARA EL CONTROL DE REGISTROS. GESTIÓN DE CALIDAD Versión: 01

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

3.2. CONTROL: Mecanismo para garantizar la disponibilidad de los documentos vigentes que conforman el sistema integrado de gestión.

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

COL-ADM-011 PROCEDIMIENTO DE SISTEMAS

Sistemas de Gestión de Documentos Electrónicos de Archivo (SGDEA)

Procedimiento de Destrucción de Documentos con Información Confidencial CAPUAL. Hoja 1 / 6

Manual de Procedimiento. CREACION-ADMINISTRACION, RESPALDO DE DATOS Y CONTINUIDAD DEL NEGOCIO Procesos y Responsabilidades ECR Evaluadora Prefin S.A.

PROGRAMA DE GESTION DOCUMENTAL

CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN)

ELABORACIÓN Y CONTROL DE LA DOCUMENTACIÓN Y REGISTROS

PLANES Y POLÍTICAS AREA DE SISTEMAS

COPEG 4. SISTEMA DE GESTIÓN DE CALIDAD

DEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS

INEI. Aprueban Directiva Normas Técnicas para el Almacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública

SEMANA 12 SEGURIDAD EN UNA RED

PROCEDIMIENTO GESTIÓN DE INFRAESTRUCTURA CÓDIGO: VERSIÓN No Fecha: Diciembre 22 de 2009

2.1 Responsable estratégico: Jefe Oficina de Informática

ACUERDO 3 DE (febrero 17) Diario Oficial No de 20 de febrero de 2015 ARCHIVO GENERAL DE LA NACIÓN JORGE PALACIOS PRECIADO

Proceso: AI2 Adquirir y mantener software aplicativo

Infraestructura Extendida de Seguridad IES

Programa de Gestión Documental

GESTIÓN DOCUMENTAL PROCEDIMIENTO VERSIÓN: 1

Firma: Fecha: Marzo de 2008

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

PROCESO GESTION ADMINISTRATIVA PROCEDIMIENTO VERIFICACION, REGISTRO Y DISTRIBUCIÓN Y CLASIFICACION DE DOCUMENTOS DIGITALES

POLITICAS DE BACKUP SISTEMA DE GESTION DOCUMENTAL VERSION: 1.2

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

Política de Respaldo, Resguardo y Recuperación.

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

Política de Gestión de Incidentes de Seguridad de la Información

MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN EN CASO DE DESASTRE)

Resumen General del Manual de Organización y Funciones

Procedimiento de Mantenimiento Preventivo y Correctivo

SISTEMA DE GESTIÓN DE LA CALIDAD

PROCEDIMIENTO BACKUP Y PROTECCIÒN DE LA INFORMACIÒN (Bases de Datos) DEL PROCESO GESTIÓN RECURSOS DE TECNOLOGÍA

PROCEDIMIENTO DE ADMINISTRACIÓN DEL SISTEMA GESTIÓN COMERCIAL

PROCEDIMIENTO ELABORACIÓN Y CONTROL DE DOCUMENTOS

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR:

MUNICIPIO DE SOTARÁ CAUCA PROCESO DE CONTROL INTERNO PROCEDIMIENTO DE AUDITORIA INTERNA

PROCEDIMIENTO PARA BACKUP Y PROTECCION DE LA INFORMACIÒN

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD

PROCEDIMIENTO PARA CONTROL DE REGISTROS

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

PROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD. PROCESO EVALUACIÓN Y CONTROL PÁGINA 1 de 9

Ministerio de Economía Dirección de Atención y Asistencia al Consumidor -DIACO- Sistema de Gestión de la Calidad

Master en Gestion de la Calidad

INDUCCIÓN, CAPACITACIÓN Y DESARROLLO DEL PERSONAL

ACUERDO 018- CG EL CONTRALOR GENERAL DEL ESTADO CONSIDERANDO:

I. INTRODUCCIÓN DEFINICIONES

Código: P-DGPLANEI-CC-06 Revisión: 06 Página: 1 de 7 Fecha de emisión: 31 de mayo de 2007 Fecha de modificación: 21 de abril de 2015

COPIAS DE RESPALDO BACKUP

ESTÁNDAR DE GESTIÓN DE ACCESO DE USUARIOS ESTADO COPIA CONTROLADA 01 VERSION

Elementos requeridos para crearlos (ejemplo: el compilador)

Procedimientos ISO que conforman el Sistema Integral de Gestión Institucional

ACOMPAÑAMIENTOENLAIMPLEMENTACIÓN DE LAESTRATEGIA DE GOBIERNO EN LÍNEA EN EL ESTADO

POLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE

PROCEDIMIENTO DE GESTIÓN DE ACTIVOS DE INFORMACIÓN

PROCEDIMIENTOS DE AUDITORIAS INTERNAS

Procedimiento Control de Documentos y Registros

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

MANTENIMIENTO PREVENTIVO Y/O CORRECTIVO

La documentación en el Sistema de Calidad

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N PCM

Transcripción:

Página 1 de 7 CONTENIDO 1 OBJETIVO... 2 2 DESTINATARIOS... 2 3 GLOSARIO... 2 4 REFERENCIAS... 3 5 GENERALIDADES... 3 6 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 6.1 Solicitud de borrado seguro y/o identificación de necesidad... 3 6.2 Diagnóstico de medios de almacenamiento... 4 6.3 Aplicación de un esquema de borrado seguro... 4 6.4 Destrucción de medios... 5 6.5 Informar al usuario... 5 6.6 Recuperación de datos... 5 7 DIAGRAMA DE FLUJO... 6 8 DOCUMENTOS RELACIONADOS... 7 Nombre: John Edward Molano Hernández Cargo: Coordinador Grupo de Trabajo de Infraestructura Tecnológica y Seguridad Informática Fecha:2015-10-21 Revisado y Aprobado por: Nombre: Oscar Javier Asprilla Cruz Cargo: Jefe Oficina de Tecnología e Informática Fecha: 2015-10-22 Aprobación Metodológica por: Nombre: Giselle Johanna Castelblanco Muñoz Cargo: Representante de la Dirección para el Sistema de Gestión de Calidad Fecha: 2015-10-23 Firma: (Orignal firmado) Firma: (Orignal firmado) Firma: (Orignal firmado) Cualquier copia impresa, electrónica o de reproducción de este documento sin la marca de agua o el sello de control de documentos, se constituye en copia no controlada. SC01-F02 Vr2 (2014-02-04)

Página 2 de 7 1 OBJETIVO Definir las actividades a realizar para el borrado seguro de activos de información de la OTI, garantizando la conservación de la confidencialidad de información sensible y el cumplimiento a los lineamientos del documento GS02-M01 Manual General del SGSI - Política del SGSI de la OTI y a la Política de Borrado Seguro especificada en el documento GS02-M02 Manual de Políticas - Sistema de Gestión de Seguridad de la Información - SGSI. 2 DESTINATARIOS Este procedimiento aplica para el Coordinador del Grupo de Trabajo de Infraestructura Tecnológica y Seguridad Informática, o quien él delegue, quien es el encargado de recibir una solicitud y aplicar una técnica de borrado seguro sobre los activos de información de la OTI. 3 GLOSARIO Activo: Conforme con la norma ISO 27001, un activo de información es cualquier cosa que tiene valor para la organización y se categoriza en información digital, hardware, información física, servicio, recurso humano y software. Borrado Común: Se refiere al método comúnmente usado por los sistemas operativos para ejecutar procedimientos de borrado de información. Consiste en redefinir los punteros de los sectores que contienen información como sectores libres. El marcado de sectores como libres no garantiza el borrado inmediato de la información contenida en los sectores, pudiéndose recuperar la información con herramientas especializadas en escaneo de medios de almacenamiento. Borrado Seguro: Se refiere al procedimiento necesario para garantizar que la información existente en un medio de almacenamiento no pueda ser recuperada a través de alguna técnica especializada de recuperación de datos. Custodio: Es un funcionario, grupo de funcionarios o una Unidad Organizacional, designados por el responsable, los cuales se encargan de mantener las medidas de protección sobre los activos de información. Dispositivo o medio de almacenamiento: Bajo este grupo se incluyen todos los elementos que se utilizan para almacenar información tales como discos flexibles, discos duros, unidades de estado sólido, cintas, discos ópticos. Hardware: Parte tangible de un sistema informático, que puede corresponder a componentes de tipo: mecánico, electrónico, eléctrico, o electromecánico. Información Digital: Cualquier tipo de información contenida en un medio digital, bien sea en forma de base de datos, en forma de archivos digitales o de intercambio.

Página 3 de 7 Responsable: Es un funcionario perteneciente a la OTI que toma decisiones sobre el manejo, protección, disposición y demás atribuciones del activo. SIGLAS : Coordinador Grupo de Trabajo de Infraestructura Tecnológica y Seguridad Informática OSI: Oficial de Seguridad de la Información 4 REFERENCIAS Jerarquía de la norma NTC-ISO-IEC 27002 Numero/Fecha Título Artículo 2013 Tecnología de la Información. Técnicas de Seguridad. Código de Práctica para la Gestión de la Seguridad de la Información. Aplicación total Aplicación Específica Aplicación total 5 GENERALIDADES El almacenamiento de datos sensibles, y los cortos tiempos de vida de los dispositivos de almacenamiento, han generado la necesidad de implementar procedimientos de borrado seguro en los dispositivos electrónicos, en los momentos en los que éstos son dados de baja, reparados o cambian de responsable. Si no se ejecuta un procedimiento de borrado seguro, se corre el riesgo de que la información sea robada o comprometida, generando amenazas de robo de identidad, pérdida de reputación corporativa, impactos financieros o violación de regulaciones sobre el manejo de datos. 6 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES 6.1 Solicitud de borrado seguro y/o identificación de necesidad Objetivo: Recibir una solicitud de borrado seguro Un procedimiento de borrado seguro Puede originarse por alguna de las siguientes necesidades asociada a medios de almacenamiento: 1. Cuando se vence el periodo de retención de archivos determinado en las tablas de retención documental 2. Cuando se libera un activo de información físico (equipo de cómputo, unidad de almacenamiento extraíble, etc.) bien sea porque se dispone de él para reasignarlo, porque se retorna al proveedor (en

Página 4 de 7 casos de alquiler) o porque el activo se declara de baja (GS02-F03 Formato de Retiro de Activos de Información). Adicionalmente, el procedimiento de borrado seguro puede solicitarse por un colaborador de la entidad que solicita el servicio con el propósito de mantener la confidencialidad de la información para la cual la SIC tiene el rol de propietario o custodio. La solicitud en este caso se realiza por correo electrónico al Coordinador del Grupo de Trabajo de Infraestructura Tecnológica y Seguridad Informática o quien él delegue. delegue, será el encargado de recibir la solicitud de aplicación de un procedimiento de borrado seguro vía email para cualquiera de los casos mencionados. Esta solicitud deberá incluir el nombre del activo sobre el cual se desea realizar el procedimiento de borrado seguro. 6.2 Diagnóstico de medios de almacenamiento Objetivo: Identificar las áreas sobre las que se debe aplicar el procedimiento de borrado seguro. delegue, es el encargado de llevar a cabo un diagnóstico para el medio de almacenamiento sujeto al procedimiento de borrado seguro, para evaluar las condiciones técnicas del medio, entre ellas: Sectores funcionales y dañados, áreas ocultas tales como Área protegidas del Host (HPA, Host Protected Area), capa de configuración de dispositivo (DCO, Device configuration overlay) o sectores re-mapeados. La existencia de áreas ocultas indica posibles sitios en el medio de almacenamiento que pueden contener información sensible, las cuales deberán ser sujetas al procedimiento de borrado seguro para evitar la pérdida de la confidencialidad de dicha información. Si fruto del diagnóstico se determina que el medio de almacenamiento es susceptible a una técnica de borrado seguro, se continúa con la actividad 6.3 Aplicación de un esquema de borrado seguro. De no ser posible ejecutar el procedimientos de borrado seguro se debe verificará si es posible destruir el medio y de ser así, se realiza la actividad propuesta en el numeral 6.4 Destrucción de medios. De lo contrario, se procede a informar al solicitante (si es el caso) y finaliza automáticamente. Objetivo: Ejecutar un esquema de borrado seguro 6.3 Aplicación de un esquema de borrado seguro delegue, es el encargado de utilizar una herramienta software para escanear el medio de almacenamiento y ejecutar un borrado seguro. Para escoger el esquema de borrado seguro a aplicar, el Coordinador del Grupo de Trabajo de Infraestructura Tecnológica y Seguridad Informática, o quien él delegue, puede consultar al Oficial de Seguridad de la Información, o quien él delegue, sobre la escogencia del esquema de borrado seguro. Al momento de elaborar este documento existen los siguientes esquemas de borrado seguro: DoE M 205.1-2 (Standard del departamento de Energía USA).

Página 5 de 7 Standard alemán para el borrado de datos (VSITR). Esquema de borrado Bruce Schneier. Esquema de borrado Peter Gutmann. Esquema británico de borrado de datos (HMG IS5). Esquema canadiense de borrado de datos (RCMP TSSIT OPS-II). Esquema ruso de borrado de datos (GOST R 50739-95). AR380-19 (Standard de las fuerzas militares USA). Esquema de borrado basado en única sobre escritura aleatoria de bits. Los esquemas o estándares definen diferentes disposiciones para el borrado seguro, entre las que se cuenta: la secuencia de bits con los cuales se hace la sobre-escritura de los medios de almacenamiento (aleatoria, por ciclos) y el número de veces que se hace la sobre-escritura. El esquema recomendado para medios de almacenamiento genéricos es el de borrado con única sobre - escritura aleatoria de bits. 6.4 Destrucción de medios Objetivo: Destruir un medio de almacenamiento para garantizar la no recuperación de la información delegue, es el encargado de informar al almacén de que dicho medio de almacenamiento debe ser destruido físicamente puesto que contiene información para la cual la SIC es propietario o custodio y no debe ser posible su recuperación por propósito de mantener la seguridad de la información. 6.5 Informar al usuario Objetivo: Informar al solicitante sobre la ejecución del procedimiento de borrado seguro delegue, es el encargado de informar al solicitante (en caso de que haya habido uno que generó la solicitud de borrado seguro) acerca del resultado de la ejecución del proceso. Esta actividad se realizará por medio de correo electrónico. 6.6 Recuperación de datos Objetivo: Verificar que los datos son irrecuperables después de aplicar el procedimiento de borrado seguro delegue, es el encargado de verificar que después de aplicar un procedimiento de borrado seguro sobre un medio de almacenamiento, efectivamente no se pueden recuperar datos. Para esta actividad de verificación se debe usar una herramienta software de recuperación de datos. Si no se logran recuperar los datos del medio de almacenamiento, el procedimiento finaliza automáticamente, y en caso de que se logre recuperar total o parcialmente algún dato en el medio de almacenamiento, se debe

PROCEDIMIENTO DE BORRADO SEGURO Página 6 de 7 ejecutar nuevamente la actividad indicada en el numeral 6.3 Aplicación de un esquema de borrado seguro, pero utilizando un esquema de borrado diferente al empleado inicialmente. 7 DIAGRAMA DE FLUJO INICIO Recibe solicitud de borrado seguro y/o se genera necesidad Realiza diagnóstico de medio (sectores usables, áreas ocultas) Se puede realizar el borrado seguro? No Se puede destruir? No A B SI SI, OSI Aplican técnica de borrado seguro (aplicar un esquema de borrado) Solicita la destrucción de medios A Realiza intento de recuperación de datos, OSI Informan al solicitante (para los casos en los cuales hay un solicitante que dio inicio al procedimiento) FIN Datos recuperados? No A SI B

Página 7 de 7 8 DOCUMENTOS RELACIONADOS GS02-M01 GS02-M02 GS02-F03 Manual General del SGSI - Política del SGSI de la OTI Manual de Políticas - Sistema de Gestión de Seguridad de la Información - SGSI. Formato de Retiro de Activos de Información

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback