Política de Gestión de Incidentes de Seguridad de la ... - CERTuy

Activos de información críticos del Estado. Son aquellos activos de ... Referencias. [1] UNIT-ISO/IEC TR 18044:2004 Tecnología de la información - Técnicas de.
Descargar PDF
Imágenes PNG
603KB Größe 11 Downloads 105 vistas
comentario
Informe
SGSI Sistema de Gestión de Seguridad de la Información

     

Política de Gestión de Incidentes de Seguridad de la Información Versión 1.1 – 2010 Setiembre 2010

                                          Versión 1.1 – 2010 Este documento ha sido elaborado por AGESIC (Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y el Conocimiento) Usted es libre de copiar, distribuir, comunicar y difundir públicamente este documento así como hacer obras derivadas, siempre y cuando tengan en cuenta citar la obra de forma específica y no utilizar esta obra para fines comerciales. Toda obra derivada de esta deberá ser generada con estas mismas condiciones.

Gestión de Incidentes de Seguridad de la Información| 3

Política de Gestión de Incidentes de Seguridad de la Información Objeto Establecer los lineamientos generales para la gestión de incidentes de seguridad de la información, con el fin de prevenir y limitar el impacto de los mismos.

Alcance La política de gestión de incidentes de seguridad de la información está dirigida a toda persona que tenga legítimo acceso a los sistemas informáticos del Organismo, incluso aquellos gestionados mediante contratos con terceros y lugares relacionados.

Definiciones y Abreviaturas Activos de información Son aquellos datos o información que tienen valor para una organización. [Decreto N° 451/009 de 28 de Setiembre 2009 – Art.3 Definiciones] Activos de información críticos del Estado Son aquellos activos de información necesarios para asegurar y mantener el correcto funcionamiento de los servicios vitales para la operación del gobierno y la economía del país. [Decreto N° 451/009 de 28 de Setiembre 2009 – Art.3 Definiciones] Evento de seguridad informática

Gestión de Incidentes de Seguridad de la Información | 4 Es una ocurrencia identificada de un estado de un sistema, servicio o red que indica que una posible violación de la política de seguridad de la información, la falla de medidas de seguridad o una situación previamente desconocida, que pueda ser relevante para la seguridad. [Decreto N° 451/009 de 28 de Setiembre 2009 – Art.3 Definiciones] Incidente de seguridad informática Es una violación o una amenaza inminente de violación a una política de seguridad de la información implícita o explícita, así como un hecho que compromete la seguridad de un sistema (confidencialidad, integridad o disponibilidad). [Decreto N° 451/009 de 28 de Setiembre 2009- Art.3 Definiciones] Incidente de Seguridad de la Información Un incidente de seguridad de la información es indicado por un único o una serie de eventos indeseados o inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la información. [ISO/IEC 18044:2004]

Sistema informático Los ordenadores y redes de comunicación electrónica así como los datos electrónicos almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento. [Decreto N° 451/009 de 28 de Setiembre 2009- Art.3 Definiciones]

Responsabilidad La Dirección del Organismo es responsable por: 

Disponer los recursos necesarios a fin de brindar una apropiada gestión de los incidentes de seguridad de la información, mediante la designación de un equipo responsable por la gestión de incidentes de seguridad de la información.



Difundir la presente política a todo el personal del Organismo, independiente del cargo que desempeñe y de su situación contractual.

Todo el personal del Organismo es responsable por:

Título | 5 

Dar cumplimiento a la presente política, independiente del cargo que desempeñe y de su situación contractual.



Reportar los eventos de seguridad que detecte al equipo responsable de gestión de incidentes de seguridad de la información, siguiendo los procedimientos operativos establecidos para tal fin.

Desarrollo La Dirección del Organismo reconoce la importancia de gestionar los incidentes de seguridad de la información. La Dirección del Organismo declara el cumplimiento con la normativa y legislación vigente en relación con aspectos de gestión de incidentes de seguridad de de la información. Esta Política de Gestión de Incidentes de Seguridad de la Información se integrará a la normativa básica del Organismo, incluyendo su difusión previa, y la instrumentación de las sanciones correspondientes por incumplimiento de la presente política, así como de los documentos relacionados a esta. Es política del Organismo: 

Adoptar medidas de seguridad eficientes para proteger sus activos de información críticos.



Analizar los eventos de seguridad informática para determinar si se trata de un incidente de seguridad de la información.



Informar de forma completa e inmediata al CERTuy[2] la existencia de un potencial incidente de seguridad informática que afecte a activos de información críticos del Estado.



Ejecutar procedimientos de repuesta a incidentes para contener y mitigar el incidente.



Documentar y clasificar los incidentes de acuerdo con las indicaciones del CERTuy[2].



Investigar los incidentes de seguridad de la información que no aplican al CERTuy[2].

Gestión de Incidentes de Seguridad de la Información | 6 

Responder por la integridad de la información generada o en su poder.



Aprender de los incidentes de seguridad de la información, para prevenir nuevas ocurrencias.



Reparar las consecuencias de los incidentes de seguridad de la información.



Emprender actividades post-incidente, como ser mejoras a los procesos operativos de gestión de incidentes de seguridad de la información o asegurar la retención de evidencias.

Incumplimiento El funcionario público que en el ejercicio de sus funciones tratare información de cualquier tipo, deberá garantizar su confidencialidad, integridad y accesibilidad. El incumplimiento de ese deber podrá configurar falta administrativa, conforme lo previsto en los Decretos Nos. 500/991, Ley N°. 18.331 de Protección de Datos Personales, Ley N° 18.381 de Acceso a la Información Pública, y concordantes y/o eventualmente delito, de acuerdo a lo dispuesto en el Código Penal, Ley N° 18.600 de Documento Electrónico y Firma Electrónica y disposiciones modificativas y concordantes.

Referencias [1] UNIT-ISO/IEC TR 18044:2004 Tecnología de la información - Técnicas de seguridad - Gestión de incidentes de seguridad de la información. [2] CERTUy – http://www.cert.uy/ [3] NIST Special Publication 800-61 Computer Security Incident Handling Guide. En línea: http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf [4] Decreto de Regularización del Centro Nacional de Respuesta e Incidencias de Seguridad Informática del 28 de Setiembre de 2009.

proponer documentos

LA GESTIN DE IDENTIDAD COMO BASE PARA LA CREACIN DE ...

LA GESTIN DE IDENTIDAD COMO BASE PARA LA CREACIN DE ...
planificacin estratgica y gestin de la publicidad

planificacin estratgica y gestin de la publicidad
Gestin de Higiene y Seguridad en Bancos, Comercios y Actividades ...

Gestin de Higiene y Seguridad en Bancos, Comercios y Actividades ...
Formulario de informe de incidentes o lesiones

Formulario de informe de incidentes o lesiones
sistema de comando de incidentes - BVPAD

sistema de comando de incidentes - BVPAD
sistema de comando de incidentes - BVPAD

sistema de comando de incidentes - BVPAD
Crónica de una jornada de incidentes anunciados

Crónica de una jornada de incidentes anunciados
poltica sexualidad nudo en la escritura de mujeres

poltica sexualidad nudo en la escritura de mujeres
redes de comunicaciones administracin y gestin book

redes de comunicaciones administracin y gestin book
Sistema de registro electrónico de incidentes, basado en la ... - Dialnet

Sistema de registro electrónico de incidentes, basado en la ... - Dialnet
seguridad de la información

seguridad de la información
Glosario de Gestin del Conocimiento

Glosario de Gestin del Conocimiento
poltica sexualidad nudo en la escritura de mujeres

poltica sexualidad nudo en la escritura de mujeres
constitucin poltica del estado de coahuila de zaragoza

constitucin poltica del estado de coahuila de zaragoza
Investigación de accidentes e incidentes de aviación - Junta de

Investigación de accidentes e incidentes de aviación - Junta de
constitucin poltica del estado de coahuila de zaragoza - Justia

constitucin poltica del estado de coahuila de zaragoza - Justia
poltica sexualidad nudo en la escritura de mujeres

poltica sexualidad nudo en la escritura de mujeres
Ley Orgánica de Seguridad de la Nación

Ley Orgánica de Seguridad de la Nación
Investigación de accidentes e incidentes de aviación - UDI

Investigación de accidentes e incidentes de aviación - UDI
poltica sexualidad nudo en la escritura de mujeres

poltica sexualidad nudo en la escritura de mujeres
Manual de Seguridad - Frente de Seguridad Empresarial

Manual de Seguridad - Frente de Seguridad Empresarial
gestin del talento humano e innovacin de la ... AWS

gestin del talento humano e innovacin de la ... AWS
gestin del talento humano e innovacin de la ... AWS

gestin del talento humano e innovacin de la ... AWS
creacin del valor la clave de gestin competitiva book

creacin del valor la clave de gestin competitiva book