INTRODUCCIN El Plan de Seguridad Informtica constituye una exigencia de la Resolucin No.

6 de 1996 del Ministerio del Interior (MININT) que pone en vigor el Reglamento sobre la Seguridad Informtica, en el cual se reflejan las polticas, estructuras de gestin y el sistema de medidas que se determinaron en la Direccin Provincial de Educacin, para lo que se han tenido en cuenta los resultados obtenidos en los anlisis de riesgos y vulnerabilidad realizados en cada objetivo informtico de el centro y en dependencia de las caractersticas de cada rea de trabajo. El Plan de Contingencia est contenido dentro del Plan de Seguridad Informtica. En el mismo se reflejan las medidas que deben tomarse con el fin de garantizar la continuidad de los procesos informticos ante cualquier desastre o eventualidad que puedan provocar su interrupcin en cada rea y las acciones necesarias para contrarrestarlas o enfrentarlas en el menor plazo posible. Dada la necesidad de garantizar la Seguridad y Proteccin de la informacin que se procesa, intercambia reproduce y conserva mediante el uso de las tecnologas informticas y de comunicaciones con el fin de preservar la confidencialidad, integridad y disponibilidad de la informacin, se hace imprescindible poner en vigor un Plan de Seguridad Informtica, que regule la disciplina informtica a tener en cuenta por todos los trabajadores la Direccin Provincial de Educacin. El conjunto de las medidas de seguridad y proteccin de la informacin y de disciplina informtica constituirn la Seguridad Informtica, que comprende medidas administrativas, organizativas, fsicas, tcnicas, legales y educativas dirigidas a prevenir, detectar y responder a acciones que pongan en riesgo o constituyan una amenaza para la confidencialidad, integridad y disponibilidad de la informacin que se procese, intercambie, reproduzca y conserve a travs de las tecnologas informticas y de comunicaciones; as como el correcto uso y conservacin de las mismas. Las medidas de proteccin fsica y sobre el secreto estatal que se recogen en este Plan estn en correspondencia con lo establecido en el Decreto Ley No. 186/98

sobre la Seguridad y Proteccin del Secreto Estatal y la 1321/76 sobre Seguridad y Proteccin Fsica, as como las medidas de proteccin de datos por su parte estn en correspondencia con las Resoluciones 06 del MININT "Reglamento sobre la Seguridad Informtica" y 204/96 del SIME "Reglamento sobre la Proteccin y Seguridad Tcnica de las Tecnologas Informticas" y las regulaciones emitidas por el Organismo Superior y el Director de el centro. 1. OBJETIVOS El presente Plan de Seguridad Informtica tiene como objetivo fundamental la proteccin de todas las tecnologas informticas y de comunicacin que posee la Direccin Provincial de Educacin. La proteccin va encaminada fundamentalmente a prevenir, detectar y contrarrestar aquellas acciones que pongan en riesgos la confidencialidad, disponibilidad e integridad de la informacin y resguardar el equipamiento contra el acceso no autorizado los locales donde se encuentran. Los equipos sern protegidos contra las contingencias siguientes: 1. Contaminacin con virus informticos. 2. Destruccin o modificacin del Sistema Operativo. 3. Contra inundaciones e incendios. 4. Fallas del fluido elctrico. 5. Fallos de las Comunicaciones. 6. Robos. 7. Fallas en el Hardware. 8. Tormentas Elctricas. 2. ALCANCE Son objeto de anlisis para la confeccin de este Plan de Seguridad las tecnologas informticas y de comunicacin que posee la la Direccin Provincial de Educacin. Este plan abarcar todas las tecnologas informticas instaladas en la la Direccin Provincial de Educacin. El equipamiento destinado para este fin se detallan en el ANEXO 1.

Los locales no est estn climatizados pero tienen las garantas de seguridad fsica. Posee rejas y puertas con cerraduras apropiadas. 3. DEFINICIONES A los efectos del presente Plan se considera: 1. Confidencialidad: Que la informacin sea revelada solo a los usuarios autorizados, en la forma y tiempo determinado. Aquella que sin ser clasificada puede considerarse vital por la Direccin Provincial de Educacin para sus operaciones y cuya prdida o modificacin no autorizada altere o pueda alterar la capacidad de gestin de la misma, ocasione o pueda ocasionar prdidas en valores, o pueda ser perjudicial para la integridad fsica o moral de una persona. Integridad: La informacin que ser revelada exclusivamente a los usuarios autorizados, en la forma y tiempo determinada.

2.

3. Disponibilidad: La informacin que sea modificada, incluyendo su creacin y borrado, slo por personal autorizado. 4. Patrones: La informacin que sea utilizable cundo y cmo lo requieran los usuarios autorizados en el caso de las micro computadoras son el Sector de arranque y todos los ficheros del Sistema importantes para el correcto funcionamiento de la mquina (Autoexec.bat, Config.sys, etc)

4. REFERENCIAS Las referencias consultadas para la elaboracin del Plan de Seguridad y Contingencia fueron: La Resolucin No. 06 de 1996 del Ministerio del Interior MININT "Reglamento sobre la Seguridad Informtica" La Resolucin No. 204 de 1996 del Ministerio de la Industria Sideromecnica y Electrnica SIME "Reglamento sobre la Proteccin y Seguridad Tcnica de las Tecnologas Informticas". El Decreto Ley 186 de 1998 sobre el Sistema de Seguridad y Proteccin Fsica. Las orientaciones de la Direccin de Proteccin del Ministerio del Interior MININT. Las orientaciones y regulaciones emitidas por la DP SEGURMATICA y el Laboratorio Iberoamericano de Virus Informticos.

Reglamento del Comit de Proteccin Fsica de la Direccin Provincial de Educacin Las regulaciones emitidas por el Director de la Direccin Provincial de Educacin 5. CARACTERIZACIN La Direccin Provincial de Educacin de Matanzas entre Medio y Ro FUNCIONES. 1. Orientar, evaluar y controlar las actividades relacionadas con el uso de la microcomputadora en funcin de la gestin propia del centro. 2. Implantar, operar y supervisar el buen funcionamiento de los sistemas de computacin diseados. El sistema Informtico para el centro es de gran importancia, pues constituye una herramienta fundamental para el trabajo en general de la la Direccin Provincial de Educacin. Disponemos de servicio de correo electrnico y estamos conectados a la Red Territorial rectorada por __________ Matanzas radica en calle

6. ESTRUCTURA DE GESTIN.

1.- Dada las caractersticas del centro, <nombre del responsable de Seguridad Informtica>, es el encargado de la Seguridad Informtica. Este especialista est subordinado a: ______________________ 3.-Entre las funciones, responsabilidades y obligaciones de la persona referido en el punto anterior se encuentran: a)Controlar porque se implanten y cumplan todas las medidas de Seguridad Informtica que se establezcan en el siguiente Plan de Seguridad Informtica. En caso de incumplimientos de las mismas lo informar por escrito a los niveles superiores. b) Elaborar los procedimientos indispensables para garantizar la seguridad de los Sistemas Informticos. c) Establecer el chequeo previo y posterior de todo soporte magntico que participe en actividades de carcter nacional o internacional, con

el objetivo de evitar la posible propagacin de algn virus informtico y sus consecuencias. d) Controlar de forma sistemtica la integridad de todo software que se encuentra autorizado para su explotacin. e) Velar porque se apliquen los productos de proteccin actualizados y certificados. f)Registrar los virus que aparezcan en el centro y tratar de determinar quienes lo introducen y cmo, sea de forma intencional o no. g) Ante indicios de contaminacin por un virus informtico nuevo o desconocido, aislarlo o apagar el equipo y preservar la microcomputadora infestada y comunicarse con la DPE de Servicios Informticos (ESI) representantes de (SEGURMATICA) en el municipio. - <nombre del responsable de Seguridad Informtica>, profesor de la la Direccin Provincial de Educacin. Se encargar de la adquisicin de los sistemas y programas de aplicaciones requeridos para el desarrollo del trabajo, que no existan en el mismo. 7. SISTEMA DE MEDIDAS PARA LA SEGURIDAD INFORMTICA 7.1 MEDIDAS ADMINISTRATIVAS Y ORGANIZATIVAS. 7.1.1. Polticas de Seguridad. Los bienes informticos a proteger son el hardware y el software. De ellos se har hincapi en el cuidado del software y los datos porque estn mas expuestos al deterioro por el uso. Las caractersticas a priorizar son: la confidencialidad y la disponibilidad. El control de acceso a la informacin ser de mnimo privilegio, cada persona tendr acceso a la informacin imprescindible para su trabajo. 7.1.2. Clasificacin de la informacin. La informacin que se procesa en las tecnologas Informticas de la Direccin Provincial de Educacin es del tipo sensible en su clasificacin. La categora de clasificacin de la informacin estar en correspondencia con lo establecido por la ley de Secreto Estatal.

7.1.3. Personal. El Responsable de Seguridad Informtica de la DPE y el resto del personal que trabajar permanente o eventualmente en estas tecnologas son confiables y estarn autorizados por el Director. El Modelo 9. Listado nominal de usuarios , el cual puede ser modificado en inters de la Direccin y por el propio Director a propuesta del consejo de Direccin. 7.1.4. Responsabilidades. Entre las funciones, responsabilidades y obligaciones del especialista responsabilizado con los equipos estn: Cumplir todas las Medidas para la Seguridad Informtica que se establecen en el presente Plan. Aplicar los productos antivirus actualizados y certificados. Crear las condiciones necesarias y someter al proceso de cuarentena todo nuevo software y de que se prevea su generalizacin. Realizar las actividades previstas en la revisin de los soportes magnticos que se introduzcan en su rea de responsabilidad. Habilitar y llenar los registros establecido en los Modelos del 1 al 7 de este Plan. Apoyar y participar en el estudio y aplicacin del sistema de seguridad de las tecnologas informticas y de comunicaciones, y en la determinacin de las causas y condiciones que propician un hecho de violacin en el uso y conservacin de estos equipos y la informacin que se procese, intercambie, reproduzca y conserve en los mismos. El intercambio de sistemas y programas de aplicaciones mediante las tecnologas de comunicaciones se realizar de la siguiente manera: Previamente al envo de informacin, se utilizar un programa identificador/descontaminador de virus para revisar los ficheros ejecutables que van a ser transmitidos y posteriormente a la recepcin de ficheros ejecutables se someter a los mismos al proceso de cuarentena establecido.

El Responsable de Seguridad Informtica de la Direccin Provincial de Educacin. velar por que las aplicaciones cumplan con las medidas de proteccin orientadas para las tecnologas informticas e informar a las instancias competentes cuando se produzcan incumplimientos en este sentido.

Crear un disquete sistema con la salva de los patrones fundamentales; SECTOR DE PARTICIONES, SECTOR DE ARRANQUE, CONFIG.SYS, AUTOEXEC.BAT y cualquier otro necesario, con vistas a la restauracin de los mismos al producirse cualquier incidente que las afecte y se actualizar este disquete al modificarse alguno de los patrones. Implantacin de mecanismos de proteccin contra acceso no autorizado. Analizar peridicamente los registros de auditora. Ejecutar auditoras peridicas y velar por el cumplimiento de las regulaciones dispuestas en este Plan. Capacitar al personal con el objetivo de contribuir al conocimiento y cumplimiento de las medidas establecidas en el presente Plan..

7.2.- MEDIDAS DE SEGURIDAD FSICA. reas a Proteger. Oficina de la Directora Centro de Clculo Centro de Computacin de metodlogos Abastecimientos Contabilidad 7.2.1.1. Ubicacin. La ubicacin geogrfica del rea se muestra en el ANEXO 3. 7.2.1.2. Barreras Fsicas. Los locales donde estn instaladas las tecnologas informticas tienen una construccin slida. Poseen una puerta; que da acceso al pasillo, por el frente, tiene buena seguridad compuesta por rejas y candados en puertas y rejas. No existen equipos cercanos que emitan ondas electromagnticas ni pasan tuberas de agua ni instalaciones sanitarias que puedan afectar las tecnologas. No se dispone de extintores por lo que se recomienda que se adquieran los mismos y sean ubicados en la entrada del local, el personal deber ser capacitado para sofocar incendios

7.2.1.3. Sistema de Control de Acceso. 1. A los Dptos. Que poseen tecnologa informtica solo tienen acceso los trabajadores del mismo, otras personas de la entidad o un visitante externo podrn acceder a estos locales con la autorizacin del y siempre en presencia de un trabajador o el propio J' de Dpto o Subdirector. Para el acceso al local, donde estn las tecnologas informticas, slo lo autoriza el J' de Dpto o Subdirector. El Tcnico encargado de dar mantenimiento a este equipamiento ser debidamente seleccionado as como el resto del personal que pueda recibir los servicios, incluyendo el responsable de seguridad informtica que tendr libre acceso y ser el responsable de auditar y velar por que se cumplan todas las medidas de proteccin y seguridad En caso de detectarse violacin de las puertas de entrada, comunicar inmediatamente al Director, al Responsable Seguridad Informtica y al Responsable de Proteccin Fsica, cuales procedern de acuerdo a la magnitud del hecho. preservar el lugar hasta que se autorice lo contrario. Medios Tcnicos de Deteccin contra Intrusos No se dispone de alarma contra intrusos 7.2.2. Proteccin Fsica a los Equipos. 7.2.2.1. Ubicacin. Las tecnologas informticas estarn ubicadas en los, que renen las condiciones apropiadas de seguridad. El Correo electrnico est instalado, mantienen comunicacin con la intranet del territorio as como organismos de carcter nacional. 7.2.2.2. Mecanismos de Proteccin Fsica Aplicados. Las microcomputadoras no disponen de dispositivos de seguridad fsica. Se prev la realizacin del aterramiento de los mismos donde los equipos estarn conectados a tierra, cuyo parmetro sea como mnimo de 3-10 Ohm para proteger a los operadores y a los equipos de descargas elctricas y otras eventualidades. 7.2.2.3. Control de Acceso a la Tecnologas. se de los Se

El J'. del Dpto. y/o Subdirector en cada caso, determinarn como utilizar el personal bajo su direccin de forma tal que se logre un uso racional de las tecnologas informticas. Para que una persona externa al LOCAL tenga acceso a las tecnologas informticas y de comunicaciones ser necesario la autorizacin del Jefe del Departamento o el Subditrector , y lo harn sin excepcin en presencia de una persona del rea. El personal para la reparacin de las tecnologas informticas de la Direccin Provincial de Educacin. tendr acceso a la microcomputadora que requiera sus servicios, siempre en compaa de una de las personas responsabilizadas con dicha mquina. Adems pueden entrar a todos los locales que poseen tecnologa informtica: Trabajador de la ESI encargado de la proteccin contra virus, para la instalacin de los productos antivirus. Responsable de Seguridad Informtica de la Direccin Provincial de Educacin. Para verificar el cumplimiento de las medidas de seguridad informtica. Los miembros del equipo que realiza las auditorias, en cumplimiento de estas tareas.

7.2.3 Soportes de Informacin. 7.2.3.1. Identificacin. Todo soporte con informacin que entre o salga del local, tendr identificado en su etiqueta el contenido del mismo. A los soportes magnticos que contengan las salvas se les pondr en un lugar bien visible una etiqueta que identifique la unidad, la fecha y el nombre de la salva, el nivel de clasificacin, la periodicidad y el ciclo de retencin. 7.2.3.2.Conservacin. Se adoptarn las medidas pertinentes para la conservacin y custodia de los ficheros creados con fines de salvaguarda. Las copias de las salvas (no menos de dos ejemplares) se tendrn en el local destinado para la conservacin y custodia del material

informtico , detallndose nombre de la salva, ciclo de retencin No. de soporte y lugar de conservacin adems se registrar en el registro de salvas (Modelo 6). El Responsable de Seguridad Informtica del centro tendr a su cargo la custodia de este material 7.2.3.3. Destruccin

De procesarse informacin clasificada, tendr que hacerse en una mquina no conectada a la red y una vez concluido el trabajo, se borrar la informacin y se eliminar de la papelera de reciclaje. La informacin en disketes ser borrada mediante formateo de los mismos o su destruccin fsica 7.2.3.4. Traslado.

Para el traslado de informacin proveniente de otra entidad o hacia otra entidad, se anotar en el Registro De Entrada/Recepcin de Soportes Magnticos (Modelo 5). 7.3.-MEDIDAS DE SEGURIDAD TCNICA O LGICA. 7.3.1.Proteccin de Entrada a las Tecnologas de Informacin. El responsable de seguridad Informtica implementar claves de acceso desde el SETUP y en refrescadores de pantallas, siendo imprescindible en las que procesan informacin clasificada o sensible. 7.3.2. Identificacin y Autentificacin de Usuarios. A las tecnologas informticas conectadas en la Direccin Provincial de Educacin se les incorporarn mecanismos de identificacin (cdigo de identificacin de usuario) y autenticacin (contrasea de usuario). Se garantizar que las contraseas que se apliquen tengan un perodo de vigencia con cotas mnimas de 30 das y mximas 180 das de duracin, que posean un mnimo de 8 caracteres alfanumricos, al menos 2 de ellos de caracteres especiales, y que no permitan la duplicidad de las mismas. La contrasea ser cambiada con la periodicidad adecuada, no pudiendo repetirse la misma contrasea antes de que hubiera transcurrido un ao, como mnimo, desde que hubiera dejado de utilizarse, Todas estas contraseas se anotarn en un documento nico, por el Responsable de Seguridad Informtica el cual ser guardado con los documentos clasificados de la DPE con la categora de restringido en caso de emergencia tendr acceso a este documento de las claves El Jefe Dpto. El Responsable de

seguridad Informtica ser el encargado de actualizar el documento con las claves. 7.3.3. Control del Uso de los Recursos y de la Informacin. Se anotar en el Registro y Control del Tiempo de Mquina la utilizacin de los recursos (papel, cinta, etc.) El control de la informacin se har por los registros de salva, Entrega, Recepcin de soportes, segn el caso. 7.3.4. Contabilidad de las acciones que realizan los usuarios. Se aplica el control de tiempo de mquina

7.3.5. Traza de Auditora sobre Acciones que Amenazan la Seguridad. Se implantarn mecanismos de control que permitan contar con una traza o registro de los principales eventos que se ejecutan y puedan ser de inters para la deteccin o esclarecimiento ante violaciones de la Seguridad Informtica. Los mecanismos de auditora registrarn como mnimo: identificacin de accesos (autorizados y no autorizados); segn puesto de trabajo y usuario; hora, da, mes y ao del acceso; movimiento de soportes (magnticos, de papel, etc.); transmisin a distancia y otros. 7.3.6. Medidas que garantizan la integridad de los ficheros y datos. El Responsable de Seguridad Informtica de la Direccin Provincial de Educacin tendr la obligacin de hacer revisiones peridicas en las tecnologas Informaticas. Se mantendr la informacin actualizada de la configuracin, que permita el rpido restablecimiento de la misma y con la menor afectacin posible ante la ocurrencia de hechos que as lo requieran. El disco duro estar organizado en Directorios y Sub directorios y solamente estarn en la raz del disco los programas asociados al sistema operativo, con los atributos de slo lectura y ocultos. Quien detecte indicios de difusin de mensajes contrarios al inters social, la moral y las buenas costumbres, o la integridad o seguridad del estado, debe comunicarlo de inmediato al Responsable de Seguridad Informtica de la Direccin Provincial de Educacin

7.3.7. Proteccin Contra Programas Dainos.

El Responsable de Seguridad Informtica de la Direccin Provincial de Educacin exigir cada vez que entre una nueva versin del Software antivirus actualizado, al Responsable de esta actividad en la ESI, representante de SEGURMATICA en el territorio y lo instalar personalmente a las tecnologas informticas. El Responsable de Seguridad Informtica de la Direccin Provincial de Educacin estar en la obligacin de verificar sistemticamente (Cada 15 das) el estado de la seguridad de estas tecnologas, brindando de forma diferenciada y preferencial la asesora a los especialistas que utilizarn este equipamiento cada vez que haya modificaciones en las versiones de los software antivirus y de otro tipo seleccionado para este equipamiento se aplicar el software antivirus suministrado por SEGURMATICA , incluyendo un software internacional sugerido por esta entidad. El Responsable de Seguridad Informtica de la Direccin Provincial de Educacin y el Asesor de Informtica sern los encargados de someter a un diagnstico el software en proceso de cuarentena, utilizando software antivirus nacionales e internacionales y establecern coordinaciones de trabajo con los especialistas de la ESI para ejecutar esta tarea. Se utilizar el equipo destinado a los Especialistas de Seguridad Informtica. S prohibe terminantemente el intercambio de cdigos de virus entre personas o grupo de personas. El Especialistas de Seguridad Informtica de la Direccin Provincial de Educacin. es el nico autorizado ante la aparicin de un virus nuevo a entregarlo al Especialistas de Seguridad Informtica del territorio quien lo har llegar posteriormente a SEGURMTICA.

7.3.8. Sistemas de Proteccin Criptogrfica. No se prev habilitar un sistema de proteccin criptogrfica

7.3.9. Seguridad de las Redes de Datos Abiertas. Las tecnologas informticas y de comunicaciones preparadas para la transmisin de datos estarn protegidas contra el acceso de personal no autorizado al uso de las mismas. La transmisin de informacin a travs de redes de transmisin de datos, se har siempre contando con la autorizacin correspondiente. El vadministrador de la red de teletransmisin de datos guardar por un perodo de un mes, la constancia de las comunicaciones efectuadas por

cada uno de los usuarios, as como, el tiempo de comunicacin y destinatario. Se establecer un "Registro de control de Transmisin" donde se registren los datos relativos al inventario de los equipos, las personas autorizadas a utilizarlos, protocolo de transmisin y otros. 7.3.10. Corta Fuego para Conexin Segura. No se dispone de este sistema. 7.3.11. Control de Acceso. Solamente tendr derecho a borrar, modificar y entregar informacin, software y ficheros en general el personal que opera directamente cada equipo, el cual asumir la responsabilidad de cualquier hecho que no se ajuste a lo establecido en este Plan. 7.4.-MEDIDAS DE SEGURIDAD DE OPERACIONES. 7.4.1. Criterios para la Seleccin de Mecanismos de Seguridad Para la seleccin de los mecanismos de seguridad se han tenido en cuenta las plataformas que utiliza la Direccin Provincial de Educacin. Para su trabajo en todos los casos se realizaron pruebas que demostraron su efectividad. 7.4.2. Sistemas de Salvas y Restauras Se establece con carcter obligatorio las salvas o copias de seguridad de la informacin en el soporte adecuado y con la periodicidad y ciclo de retencin que se indican mas adelante, segn las necesidades particulares de actualizacin de la misma para lo cual se habilitar un "Registro de Salvas (Modelo 6)". Estas salvas estarn siempre debidamente actualizadas. La periodicidad de las salvas ser funcin del ritmo de modificacin de los ficheros, de tal manera que en caso de no disponer de estos, los ficheros salvados permitan reanudar los tratamientos sin prdida de informacin. Para el calendario de salvado se establecern 2 niveles: PRIMER NIVEL: Copias del Sistema Operativo y Utilidades; con periodicidad baja, se tendrn las salvas (o discos originales) debido a los cambios de versiones.

SEGUNDO NIVEL: Programas y Aplicaciones; con una periodicidad mayor, se salvarn cada vez que exista un cambio en los mismos. 7.4.3. Mantenimiento y Reparacin de los medios Tcnicos. El mantenimiento y reparacin de los equipos se har en presencia y bajo la supervisin del especialista responsable. Se designar por el rea de Servicios Tcnicos el especialista encargado de esta actividad y se har constar cada reparacin o mantenimiento en el Libro de Incidencias (Modelo 2) y en el Formulario establecido para cada uno de los equipos. 7.4.4. Control del Uso, Traslado y Entrada de Tecnologas de Informacin. Los soportes magnticos que contienen informacin, sistemas y/o, programas de aplicacin de las tecnologas informticas pertenecientes a la Gestin Administrativa de la la Direccin Provincial de Educacin solo pueden introducirse y/o extraerse con la anuencia del Jefe de Dpto. o la Analista principal (Modelo 4) habilitado al respecto.. En cada soporte magntico se sealizar en forma clara y visible su No. De registro y su contenido fundamental. Para utilizar soportes de propiedad personal o de otra entidad ser necesario contar con la autorizacin de la Analista principal, debiendo ser revisados contra virus informticos u otros programas dainos. Al solicitarse y entregarse los soportes magnticos a los trabajadores se asentarn en el "Registro de Entrega/Recepcin" (MODELO 5). Al ser devueltos los soportes magnticos se revisarn contra virus informticos y despus se har constar la devolucin en el Registro. El traslado de los soportes magnticos se realizar respetando las normas de conservacin de los mismos, con el objetivo de garantizar la integridad y confidencialidad de la informacin que contienen y cumplirn las medidas de proteccin establecidas. Cualquier movimiento, traslado de las tecnologas informticas fuera del local para una reparacin o por cualquier eventualidad, debidamente autorizada se anotara en el Libro de Incidencias (Modelo 2). Aclarando en observaciones motivos y hacia donde va, as como todos los datos de la persona que traslade el equipo y quede bajo su custodia, por parte de contabilidad se har el movimiento de tarjeta de medio bsico 7.4.5. Pruebas de Inspeccin.

El Responsable de Seguridad Informtica realizar inspecciones y chequeos, para evaluar el funcionamiento de las protecciones aplicadas y su efectividad. Emitir un informe, el cual entregar y discutir con el Jefe de Dpto, proponiendo los cambios que considere oportunos. A los 30 das de la entrada en vigor del Plan de Seguridad Informtica y despus de los chequeos previstos en el prrafo anterior, se realizar la primera auditoria interna para evaluar la situacin que presenta la implantacin del mismo. Posteriormente con una periodicidad no mayor de 6 meses debern continuar realizndose estas auditorias internas. 7.4.6. Registros. Toda accin que se realiza dentro del Local destinado a las tecnologas informticas se anotarn en los registros habilitados para ello, anexados a este Plan. A continuacin se relacionan todos los modelos utilizados.

MODELO 1.- REGISTRO DE ENTRADA DE SOFTWARE. No. Consecutivo Nombre del Software Tipo de Software Tipo de Soporte y Cantidad Documentacin Procedencia Suministrador (Organizacin y/o Persona) Fecha de Entrada Versin Fecha de Baja Observaciones

MODELO 2.- LIBRO DE INCIDENCIAS No. De Inventario del Equipo Fecha Hora Observaciones Nombre y firma

MODELO 3.- REGISTRO DE CONTROL DE TRANSMISIN. Inventario del equipo Personas autorizadas Nombre de la Red Protocolo de transmisin Va de comunicacin que utiliza Observaciones

MODELO 4.-REGISTRO DE SOPORTES MAGNTICOS No. Consecutivo en el registro Contenido fundamental del soporte Trabajo para el que se destina Grado de clasificacin de la informacin Nivel de acceso del soporte Fecha y hora de entrada Fecha y hora de baja Observaciones

MODELO 5.-REGISTRO DE ENTREGA / RECEPCIN DE SOPORTES MAGNTICOS.

No. Del soporte magntico Contenido fundamental del soporte Entrega: Nombre y firma de quin entrega el soporte Nombre y firma de quin recibe el soporte Objetivo de utilizacin del soporte Conservacin de la relacin interna Fecha y hora de entrega Recepcin Nombre y firma de quin devuelve el soporte

Nombre y firma de quin recibe el soporte Resultado de la comprobacin contra la relacin interna Resultado de la revisin contra virus Fecha y hora de recepcin

MODELO 6.- REGISTRO DE SALVAS.

Nombre de la Salva o Software original Nivel Periodicidad Ciclo de retencin Soporte Responsable Lugar de conservacin Observaciones

MODELO 7. REGISTRO Y CONTROL DEL TIEMPO DE MAQUINA

Nombre del Operador Trabajo que realiz Fecha Hora de inicio Hora de fin Observaciones

MODELO 8.-LIBRO DE CONTROL DE VISITAS

Pase No.

Fecha Nombre y Apellidos Centro de Trabajo Hora Entrada Hora Salida Dependencia Visitada. Autorizado Por Carn No.

MODELO 9.-REGISTRO DE INFORME DE AUDITORAS E INSPECCIONES.

Nmero de Equipo Auditores o Inspectores Violaciones cometidas Evaluacin final Plan de Accin Medida a Ejecutar Fecha de cumplimiento Responsable

7.4.7. Auditora. Se realizarn auditorias peridicas del cumplimiento de las medidas de seguridad informtica por el personal designado por la Direccin Provincial de Educacin (Ver Modelo 9) y auditorias anuales por una Empresa especializada. En cuanto a las diferentes medidas se comprobar fundamentalmente lo siguiente: Que est implantado el sistema de nivel de acceso a los locales donde estn instalados los equipos de computacin. Que los equipos estn correctamente instalados segn las normas correspondientes y que el C. Clculo cuenten con las condiciones requeridas tanto tcnicas (climatizacin y/o, ventilacin, instalacin

elctrica, lneas de comunicaciones, etc.) como de proteccin fsica (sistema de deteccin, cierres seguros, sellaje, extintores, etc.). Que estn implantados los mecanismos de identificacin y autenticacin de usuarios y de control de acceso y que stos cumplan los requisitos establecidos. Que estn implantados los mecanismos para el control y modificacin de las claves de acceso de acuerdo a lo establecido en este Plan. Que todos los equipos estn protegidos con productos antivirus y que stos estn actualizados, que se cumplan las normas en cuanto a proteccin contra escritura en los disquetes que contienen sistemas, programas e informacin que no requiere actualizacin peridica, as como que se cumpla con el proceso de cuarentena para el software nuevo y las dems regulaciones de proteccin contra virus informticos. Que se tenga la informacin necesaria para la restauracin de la configuracin. Que todos los soportes magnticos estn debidamente registrados y que no estn utilizndose soportes ajenos a el centro sin la autorizacin establecida. Se comprobar tambin que todos estn debidamente identificados. Que se realicen y posean debidamente registradas las salvas o copias de seguridad, segn la periodicidad establecida y en el soporte mas adecuado, de la informacin sensible para la buena marcha del sistema de el centro.

Como resultado de las auditorias (tanto internas como externas) se elaborar un "Informe de Auditora" (Modelo 9), donde s detallarn las violaciones detectadas y se calificar el resultado de las reas (Excelente, Satisfactorio y No Satisfactorio) as como se propondr un Plan de Medidas para solucionar las dificultades encontradas con los responsables y tiempo mximo para ello. Los responsables de las Entidades respondern por la ejecucin integral de dicho Plan. 7.5.-MEDIDAS EDUCATIVAS O DE CONCIENTIZACIN. 7.5.1 Divulgacin de los aspectos claves para garantizar la seguridad El Responsable de Seguridad Informtica de la la Direccin Provincial de Educacin organizar seminario, charlas, encuentros y otras formas, para la capacitacin a todo el personal de el centro, haciendo nfasis en los

trabajadores que laboran directamente con las tecnologas informticas y que deban ser de dominio general. Adems fijar en lugar visible en el C. Clculo donde se encuentran las microcomputadoras aquellas medidas que resulte de vital importancia cumplimentar. 7.5.2 Programa de Preparacin El responsable de seguridad informtica impartir Seminarios a las diferentes reas segn este programa: Estudio y divulgacin del Plan de Seguridad informtica y de Contingencia con todo el personal de el centro. Entrenamiento en la utilizacin del software antivirus y otras tcnicas de proteccin al personal que tenga incidencia directa con las tcnicas de informacin.

7.5.3 Sanciones Este Plan de Seguridad Informtica ser de conocimiento de todos los trabajadores y dirigentes. El incumplimiento de lo plasmado en este documento ser considerado como una violacin de la disciplina de Seguridad Informtica y los infractores quedarn expuestos a las medidas que para estos casos se encuentran establecidas en el Reglamento Disciplinario de el centro, en el Cdigo de tica de los Cuadros y de considerarse oportuno, se le comunicar a la dependencia del MININT del territorio encargada de esta actividad. 7.6-MEDIDAS LEGALES. la Direccin Provincial de Educacin mantendr contratados con la ESI los productos antivirus para la proteccin de los equipos de computacin a que se hacen referencias en el presente Plan. ( SAV, CVP SAVMACRO Y OTROS). Se emitir, Circular Interna en la DPE nombrando al Responsable de Seguridad Informtica para la Direccin Provincial de Educacin y poniendo en vigor el Plan de Seguridad Informtica y de Contingencia para tecnologas informticas

7.7 MEDIDAS GENERALES La implantacin del Plan de Seguridad Informtica en la Direccin Provincial de Educacin se realizar de inmediato. Las cuestiones que tienen que ver con requerimientos de tipo tecnolgico para la proteccin y/o, funcionamiento de los

equipos que requieren de inversiones sern priorizadas en los planes para su adquisicin. ANEXOS ANEXO 1 LISTADO DE LAS TECNOLOGAS INFORMTICAS. AREA Centro de Clculo EQUIPAMIENTO 1 Pentium II a 300 Mhz con kit de multimedia. 2 Pentium II (todos con discos duros de 4,3 Gb 6 Terminales Pentium II, discos duros 4,3 Gb Laboratorio de Metodlogos 3 Terminales Pentium II, discos duros 4,3 Gb Area Econmica 1 computadora 486 Enseanza Primaria Area de Asesores Direccin 2 Pentium II, disco duro 4,3 Gb 1 Pentium II con kit de multimedia, disco duro 4,3 Gb 1 Pentium II a 400 mhz, disco duro 4,3 Gb

ANEXO 2. ORGANIGRAMA DE la Direccin Provincial de Educacin. ANEXO 3 RESPONSABLES DE SEGURIDAD INFORMTICA POR REAS. ANEXO 4

CROQUIS SOBRE UBICACIN GEOGRFICA DE LAS REAS Y LOCALES QUE COMPONEN la Direccin Provincial de Educacin.

8.1. PLAN DE CONTINGENCIA (se anexa) 8.2. MANUAL DE PROCEDIMIENTOS.

CODIGO OM SCA SCATI DITI UTIC EE PPD AUD INS REG CONT

TITULO Organizacin del Manual de Procedimientos de Seguridad Sistema de Control de Acceso a los locales Sistema de Control de Acceso a las Tecnologas de la Informacin Divulgacin de Informacin a travs de las Tecnologas de Informacin Sobre el uso de las Tecnologas de la Informacin para el tratamiento de la informacin Clasificada Eventos y Exposiciones Proteccin contra programas dainos Auditorias Inspecciones Registros Contingencias

Organizacin del Manual de Procedimientos de Seguridad El Manual de Procedimientos de Seguridad Informtica para el Plan de Seguridad Informtica y de Contingencia agrupa los procedimientos que permiten la ejecucin prctica del sistema de medidas planteado. Para su mejor comprensin se agrupa por temas. Para garantizar la proteccin de las tecnologas de la Direccin Provincial de Educacin, se sustenta en las normativas y disposiciones siguientes:
1. Ley 1246/73 sobre la Seguridad y Proteccin del Secreto Estatal. 2. Ley 1321/76 Sobre Seguridad y Proteccin Fsica. 3. Reglamento de Proteccin Fsica de la Direccin Provincial de Educacin 4. Reglamento Disciplinario de la Direccin Provincial de Educacin 5. Cdigo de Etica de los Cuadros.

6.

Regulaciones emitidas por el Jefe Dpto. de la Direccin Provincial de Educacin relacionadas con la Seguridad Informtica.

TITULO: CONTROL DE ACCESO A EL CENTRO DE CALCULO. 1.- OBJETIVO: Regular el acceso al local donde se encuentran las tecnologas informticas, tanto de personas como de las propias tecnologas. 2.- ALCANCE: Area donde se encuentra el equipamiento para el acceso al correo y la red territorial 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede. 5.- ANEXOS: MODELO 2.- LIBRO DE INCIDENCIAS No. De Inventario del Equipo Fecha Hora Observaciones Nombre y firma

MODELO 7. REGISTRO Y CONTROL DEL TIEMPO DE MQUINA Nombre del Operador Trabajo que realiz Fecha Hora de inicio Hora de fin Observaciones 6.- RESPONSABILIDADES: Especficamente relacionadas con el local donde se encuentra el equipamiento 7.- DESARROLLO: Al local donde se encuentra el equipamiento tendrn acceso las personas que se definen en el presente plan. Para cualquier otra persona, no incluida en el Listado, debe existir una autorizacin del Jefe de Dpto. y anotarse en el Registro y Control del Tiempo de Mquina.

A este local tendrn acceso adems: Responsable de Seguridad Informtica para verificar el cumplimiento de las medidas de seguridad informtica Miembros del equipo que realiza las auditorias, en cumplimiento de esta tarea.

Personal de mantenimiento y de limpieza (en gestiones propias de su trabajo y siempre en presencia del Responsable del local). Tcnico de Servicios Tcnicos en funciones de reparacin o mantenimiento. La entrada y salida de tecnologas del C. Clculo se comporta de la siguiente manera: La entrada y salida de las Tecnologas de Informacin a estos locales est regulada, siendo el Responsable de Seguridad Informtica o el Jefe de Dpto. los que autorizan el movimiento, lo cual asentarn en el Libro de Incidencias. Este movimiento se realizar solamente para reparacin de las tecnologas. Cualquier otro tipo de movimiento dentro o fuera de el centro lo autoriza solamente el Director. Sistema de Control de Acceso a las Tecnologas de la Informacin Para el control de acceso a las tecnologas de informacin se dispone de un grupo normativas y regulaciones a fin de proteger estas tecnologas . Dichas normativas y regulaciones son: 1. El listado del personal autorizado con acceso a las tecnologas de informacin se encuentra relacionado en el Modelo. No. 9. El mismo ser modificado solo con la autorizacin del Director de la Direccin Provincial de Educacin y despus de seguir los procedimientos de rutina (Se le propone al Director por parte del responsable de Seguridad Informtica de la DPE de acuerdo a las condiciones poltico - morales y preparacin del personal) 2. Las claves de acceso en el setup y refrescadores de pantalla se har como mximo semestralmente. Las copias de las claves se guardaran en sobre lacrado en la oficina de informacin clasificada , a la cual tendr acceso el Jefe de Dpto., y el Responsable de Seguridad Informtica, en ese orden. La copia de informacin hacia disquete se har por el trabajador responsabilizado con el equipamiento siendo este el mximo responsable del equipamiento y la informacin que procesa. TITULO: CONTROL DE ACCESO A LAS TECNOLOGAS DE INFORMACIN.

1.- OBJETIVO: Regular el acceso a las tecnologas informticas de la Direccin Provincial de Educacin. 2.- ALCANCE: Todas las tecnologas informticas instaladas en la Direccin Provincial de Educacin. Fundamentalmente las que se encuentran en la oficina de la Analista principal. 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede. 5.- ANEXOS: MODELO 7. REGISTRO Y CONTROL DEL TIEMPO DE MQUINA Nombre del Operador Trabajo que realiz Fecha Hora de inicio Hora de fin Observaciones 6.- RESPONSABILIDADES: El Responsable de Seguridad Informtica es el encargado de habilitar las medidas para el control de acceso a las tecnologas informticas. 7.- DESARROLLO: Para el control de acceso a las tecnologas de informacin se dispone de un grupo normativas y regulaciones a fin de proteger estas tecnologas. Dichas normativas y regulaciones son: 3. Las claves de acceso en el setup y refrescadores de pantalla se har como mximo semestralmente. Las copias de las claves se guardaran en sobre lacrado en la oficina de informacin clasificada, a la cual tendr acceso el Director y el Responsable de Seguridad Informtica, en ese orden.

TITULO: DIVULGACIN DE INFORMACIN A TRAVS DE LAS TECNOLOGAS DE INFORMAC 1.- OBJETIVO: Regular el acceso de informacin clasificada a las Tecnologas informticas 2.-ALCANCE: Local donde est el equipamiento 3.- REFERENCIA: No procede.

4.- DEFINICIONES: No procede. 5.- ANEXOS: No procede. 6.- RESPONSABILIDADES: El Responsable de Seguridad Informtica es el encargado de evitar la entrada de informacin clasificada o sensible a estas tecnologas informticas. 7.- DESARROLLO: Est terminantemente prohibido la conexin de las microcomputadoras donde se procese informacin clasificada y/o sensible, debiendo crearse el compromiso entre los usuarios de este servicio de cumplirlo.

TITULO: SOBRE EL USO DE LAS TECNOLOGAS DE LA INFORMACIN PARA EL TRATAMIE CLASIFICADA. 1.- OBJETIVO: No procede. 2.- ALCANCE: No procede. 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede. 5.- ANEXOS: No procede. 6.- RESPONSABILIDADES: 7.- DESARROLLO: TITULO: EVENTOS Y EXPOSICIONES 1.- OBJETIVO: Controlar la utilizacin de las Tecnologas informticas en eventos y exposiciones. 2.- ALCANCE: Tecnologa informtica. 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede. 5.- ANEXOS: No procede. 6.- RESPONSABILIDADES:.De autorizarse por el Director, de forma excepcional, utilizar este equipamiento en eventos o exposiciones el Responsable de Seguridad Informtica ser el encargado de todo lo relacionado por su custodia.

7.- DESARROLLO: Se evitar llevar a un evento o exposicin el equipamiento que se destina a la conexin del correo electrnico. En caso que sea absolutamente necesario (teniendo en cuenta que se prescindir de este servicio en el centro durante los das que sesione el evento o permanezca abierta la exposicin), se mantiene la autorizacin de comunicacin slo a las personas autorizadas para ello. PROTECCIN CONTRA PROGRAMAS DAINOS.

El procedimiento para la proteccin contra programas dainos es el siguiente: 1. Instalar un centinela antivirus, de procedencia Nacional o Internacional, de acuerdo a lo sugerido por Segurmtica. 2. Disponer de Descontaminadores Nacionales e Internacionales de acuerdo a lo sugerido por Segurmtica. 3. No obstante, se debe hacer revisin al menos semanal del disco duro con el descontaminador. 4. Toda Informacin que se transmita o se reciba ser revisada con el software antivirus y de considerarse que pudiera tener virus informtico a pesar de ello, se entregara el disquete con la informacin al Responsable de Seguridad Informtica escuela para su proceso en cuarentena. Se borrara esta informacin del disco duro. TITULO: PROCESO DE CUARENTENA. 1.- OBJETIVO: Asegurar que los ficheros y documentos no contengan virus informtico. 2.- ALCANCE: Documentos de WORD y ficheros ejecutables que se obtenga ya sean a travs del correo electrnico, de INTERNET o mediante terceros. 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede. 5.- ANEXOS: No procede. 6.- RESPONSABILIDADES: Responsable de Seguridad Informtica de la Direccin Provincial de Educacin ser el encargado de solicitar la cooperacin de especialistas.

7.- DESARROLLO: El proceso de cuarentena a la que se someten los ficheros de programas y aplicaciones, as como los documentos WORD contiene los siguientes pasos: 1. Anotacin de sus patrones (tamao, fecha y hora). 2. Revisin contra virus informticos. 3. Instalacin o copia en una microcomputadora no comprometida con el sistema de informacin vigente en el centro, de la que se conozca exactamente la cantidad de ficheros que se tienen y sus patrones (tamao, hora y fecha). Para el caso de documentos WORD, debe tener instalado el Microsoft Word. 4. Para las aplicaciones o sistemas: Salva del sector de particiones y sector de arranque de la microcomputadora. Su ejecucin repetidamente bajo distintas condiciones (en distintos horarios del da, durante varios das consecutivos logrando simularlo cambiando la fecha y hora del sistema; aumentando el espacio ocupado en disco). Comprobar que en la microcomputadora no se alter la cantidad de ficheros existentes ni sus patrones. Para los documentos de WORD: Abrir el fichero en Word. Abrir otros ficheros, nuevos y/o ya existentes, y elegir opciones tales como Salvar como, Guardar, Cerrar. El proceso se repetir varias veces, en distintos horarios y distintos das de la semana y el mes, o simulando este efecto cambiando la hora y fecha del sistema. Comprobar que todos los ficheros utilizados para la prueba se conservan con la informacin no alterada, que se imprimen correctamente y que no se han alterado ninguno de sus patrones anotados. Asimismo se revisar que la microcomputadora conserve toda la informacin que contena inicialmente.

TITULO: CMO AISLAR UN VIRUS? 1.- OBJETIVO: Reglamentar los pasos a seguir ante la aparicin de un nuevo virus.

2.- ALCANCE: Ficheros y programas de aplicaciones, as como documentos de WORD que lleguen a travs del correo electrnico o terceros e infectados por un virus nuevo en Cuba. 3.- REFERENCIA: No procede. 4.- DEFINICIONES: Aislar un virus: es tomar una muestra del mismo en un disquete 5.- ANEXOS: No procede. 6.- RESPONSABILIDADES: -_________________ principal es la encargada de llevar a cabo todo el proceso. 7.- DESARROLLO: Partiendo del hecho de que se ha detectado la presencia de un virus, se pueden seguir los siguientes pasos: Aislar un virus infector del sector de arranque o del sector de particiones. 1.- Inicializar el sistema desde el disco infectado en modo MS-DOS, con el fin de que el virus se instale residente en la memoria. 2.- Seleccionar un disquete vaco cuyo sector de arranque sea conocido o se tenga salvado y colocarlo en la unidad de disquete. 3.- Acceder al mismo y ejecutar comandos como DIR, COPY. 4.- Inicializar el sistema desde el disquete sistema no infectado y comprobar que el sector de arranque del disquete utilizado para tomar la muestra del virus ha sido alterado. Aislar un virus infector de aplicaciones genricas y documentos de WORD. 1.- Seleccionar un disquete vaco y copiar hacia l los programas infectados. Nota: En ambos casos, si el virus fue detectado con un programa identificador se debe comprobar que la muestra ha sido correctamente tomada revisando el disquete. TITULO: PASOS A SEGUIR DURANTE LA AUDITORIA. 1.- OBJETIVO: Comprobar que se estn cumpliendo con las medidas planteadas en el Plan de Seguridad Informtica.

2.- ALCANCE: Todos los tcnicos y las reas comprometidas con el Plan de Seguridad Informtica 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede. 5.- ANEXOS: FORMATO DEL INFORME DE AUDITORIA. MODELO 9.-REGISTRO DE INFORME DE AUDITORIAS E INSPECCIONES. Nmero de Equipo Auditores o Inspectores Violaciones cometidas Evaluacin final Plan de Accin Medida a Ejecutar Fecha de cumplimiento Responsable 6.- RESPONSABILIDADES: La Responsable de Seguridad Informtica, ________________, Analista principal ser la encargada de realizar las auditorias. 7.- DESARROLLO: Las auditorias se realizarn de forma sorpresiva y se comprobar fundamentalmente lo siguiente: a) Que est implantado el sistema de nivel de acceso a el C. Clculo. b) Que los equipos estn correctamente instalados segn las normas correspondientes y que el C. Clculo cuenten con las condiciones requeridas tanto tcnicas (climatizacin y/o ventilacin, instalacin elctrica, lneas de comunicaciones, etc.) como de proteccin fsica (cierres seguros). c) Que estn implantados los mecanismos de identificacin y autenticacin de usuarios y de control de acceso y que stos cumplan los requisitos establecidos. d) Que exista la relacin de software autorizados, que se mantenga actualizado, y por tanto coincida realmente con el software existente en las microcomputadoras.

e) Que los equipos se utilicen en las funciones para las que fueron asignados. f) Que el equipo est protegido con productos antivirus y que stos estn actualizados, que se cumplan las normas en cuanto a proteccin contra escritura en los disquetes que contienen sistemas, programas e informacin que no requiere actualizacin peridica, as como que se cumpla con el proceso de cuarentena para el software nuevo y las dems regulaciones de proteccin contra virus informticos. g) Que se tenga la informacin necesaria para la restauracin del sistema informtico. h) Que todos los soportes magnticos estn debidamente registrados y que no estn utilizndose soportes ajenos a el centro. Se comprobar tambin que todos estn debidamente identificados. i) Que se mantenga la proteccin de las torres para evitar que se copie o se introduzcan disketes no autorizados. Como resultado de las auditorias se elaborar un "Informe de Auditoria" donde se detallarn las violaciones detectadas y se calificar el resultado de las mismas (Excelente, Satisfactorio y No Satisfactorio) as como se propondr un Plan de Acciones para solucionar las dificultades encontradas con los responsables y tiempo mximo para ello. El Director, responder por la ejecucin integral de dicho Plan. El formato de los Informes de Auditoria y del Plan de Acciones ser el que se recoge en Anexos. Las auditorias internas se harn trimestralmente durante el primer ao de implantacin del Plan de Seguridad. Despus del primer ao las auditorias internas sern semestrales y las externas cada dos aos. Se coordinar asimismo por parte del Responsable de Seguridad Informtica de la Direccin Provincial de Educacin, con una dependencia especializada en esta actividad para realizar las auditorias externas. INSPECCIONES TITULO: DESARROLLO DE LAS INSPECCIONES. 1.- OBJETIVO: Reglamentar cmo efectuar las pruebas de inspeccin. 2.- ALCANCE: Todos los tcnicos y las reas comprometidas con el Plan de Seguridad Informtica 3.- REFERENCIA: No procede.

4.- DEFINICIONES: No procede. 5.- ANEXOS: MODELO 9.-REGISTRO DE INFORME DE AUDITORIAS E INSPECCIONES Nmero de Equipo Auditores o Inspectores Violaciones cometidas Evaluacin final Plan de Accin Medida a Ejecutar Fecha de cumplimiento Responsable 6.- RESPONSABILIDADES: El Responsable de Seguridad Informtica de la Direccin Provincial de Educacin, ______________, es la encargada de realizar estas pruebas. 7.- DESARROLLO: Para las inspecciones se tiene previsto ejecutar al menos una vez al semestre pruebas dinmicas que simulen una contingencia para comprobar en la prctica la efectividad de los planes de seguridad y contingencias. Participar en esta dinmica el Responsable de Seguridad Informtica de la Direccin Provincial de Educacin y el Asesor de Informtica. Las pruebas que realizar el Responsable de Seguridad Informtica sern: Chequear las tareas funcionales que debe efectuar cada cual de acuerdo a su responsabilidad. Realizar inspecciones, efectuando pruebas en las que traten de violentar las medidas de seguridad.

La frecuencia de las pruebas en ambas direcciones depender del dominio de cada implicado de sus responsabilidades, en el primer caso, y de la deteccin o no de huecos en la seguridad, en el segundo. El Responsable de Seguridad Informtica cada vez que realiza una inspeccin anotar los resultados en el Registro de Auditoras e Inspecciones, que aparece en el Anexo REGISTROS. TITULO: REGISTRO DE ENTRADA DE SOFTWARE.

1.- OBJETIVO: Definir formato y forma de llenar este Registro. 2.- ALCANCE: Todos los nuevos software que se adquieran por la Direccin Provincial de Educacin 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede. 5.- ANEXOS: MODELO 1.- REGISTRO DE ENTRADA DE SOFTWARE. No. Consecutivo Nombre del Software Tipo de Software Tipo de Soporte y Cantidad Documentacin Procedencia Suministrador (Organizacin y/o Persona) Fecha de Entrada Versin Fecha de Baja Observaciones 6.- RESPONSABILIDADES: El Responsable de Seguridad Informtica ser el encargado de mantener actualizado el Registro. 7.- DESARROLLO: En la medida que se vayan adquiriendo los software, tendr que anotar todos los datos que se solicitan en el modelo. TITULO: LIBRO DE INCIDENCIAS. 1.- OBJETIVO: Definir formato y forma de llenar este Registro. 2.- ALCANCE: Todas la tecnologas. 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede. 5.- ANEXOS:

MODELO 2.- LIBRO DE INCIDENCIAS No. de Inventario del Equipo Fecha Hora Observaciones Nombre y firma (Todas constituyen columnas, en una hoja apaisada). 6.- RESPONSABILIDADES: El Responsable de Seguridad Informtica ser el encargado de mantener actualizado el Registro. 7.- DESARROLLO: En este libro se anotarn todos los hechos relevantes que ocurran en las tecnologas, como son roturas, traslados de equipos, deteccin de virus, anomalas en el sistema operativo, etc. Para ello utilizar la columna de Observaciones. TITULO: REGISTRO DE CONTROL DE TRANSMISIONES. 1.- OBJETIVO: Definir formato y forma de llenar este Registro. 2.- ALCANCE: Todas la tecnologas. 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede. 5.- ANEXOS: MODELO 3.- REGISTRO DE CONTROL DE TRANSMISION. Inventario del equipo Personas autorizadas Nombre de la Red Protocolo de transmisin Va de comunicacin que utiliza Observaciones (Todas constituyen columnas, en una hoja apaisada). 6.- RESPONSABILIDADES: El Responsable de Seguridad Informtica ser el encargado de mantener actualizado el Registro. 7.- DESARROLLO: El objetivo es tener un control sobre las transmisiones efectuadas y sus caractersticas, as como registrar en la columna Observaciones cualquier eventualidad o hecho relevante.

TITULO. REGISTRO DE SOPORTES MAGNTICOS. 1.- OBJETIVO: Definir formato y forma de llenar este Registro. 2.- ALCANCE: Todas la tecnologas. 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede. 5.- ANEXOS: MODELO 4.-REGISTRO DE SOPORTES MAGNTICOS No. Consecutivo en el registro Contenido fundamental del soporte Trabajo para el que se destina Grado de clasificacin de la informacin Nivel de acceso del soporte Fecha y hora de entrada Fecha y hora de baja Observaciones (Todas constituyen columnas, en una hoja apaisada). 6.- RESPONSABILIDADES: El Responsable de Seguridad Informtica ser el encargado de mantener actualizado el Registro. 7.- DESARROLLO: Se Deber tener controlado los soportes que se utilizan para las tecnologas y solamente estos son los autorizados a utilizarse, debiendo asentar todos los datos que solicita el registro definido en anexos. TITULO. REGISTRO MAGNTICOS. DE ENTREGA/RECEPCIN DE SOPORTES

1.- OBJETIVO: Definir formato y forma de llenar este Registro. 2.- ALCANCE: Todas las tecnologas. 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede. 5.- ANEXOS:

MODELO 5.-REGISTRO DE ENTREGA / RECEPCIN DE SOPORTES MAGNTICOS. No. del soporte magntico Contenido fundamental del soporte Entrega: Nombre y firma de quin entrega el soporte Nombre y firma de quin recibe el soporte Objetivo de utilizacin del soporte Conservacin de la relacin interna Fecha y hora de entrega Recepcin Nombre y firma de quin devuelve el soporte Nombre y firma de quin recibe el soporte Resultado de la comprobacin contra la relacin interna Resultado de la revisin contra virus Fecha y hora de recepcin (Todas constituyen columnas, en una hoja apaisada). 6.- RESPONSABILIDADES: El Responsable de Seguridad Informtica ser el encargado de mantener actualizado el Registro. 7.- DESARROLLO: Este Registro se aplica para la entrega y o recepcin de soportes magnticos que se utilizarn en las tecnologas. Recoge los datos bsicos de las personas que entregan y reciben los soportes, as como la fecha y hora. Es importante la revisin del soporte para ala deteccin de virus informticos cuando el mismo es devuelto al responsable de Seguridad Informtica. TITULO. REGISTRO DE SALVAS. 1.- OBJETIVO: Definir formato y forma de llenar este Registro. 2.- ALCANCE: Todas la tecnologas 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede. 5.- ANEXOS: MODELO 6.- REGISTRO DE SALVAS. Nombre de la Salva o Software original Nivel Periodicidad

Ciclo de retencin Soporte Responsable Lugar de conservacin Observaciones (Todas constituyen columnas, en una hoja apaisada). 6.- RESPONSABILIDADES: El de Seguridad Informtica ser el encargado de mantener actualizado el Registro. 7.- DESARROLLO: En este control se prev la conservacin de todas la aplicaciones y datos necesarios para el normal funcionamiento de las tecnologas. Estas copias se guardarn en estantes apropiados en el propio local, hasta tanto de concluya los trabajos de construccin del local de la bveda de seguridad. TITULO. REGISTRO DE CONTROL DE TIEMPO DE MAQUINA. 1.- OBJETIVO: Definir formato y forma de llenar este Registro. 2.- ALCANCE: Todas la tecnologas. 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede 5.- ANEXOS: MODELO 7. REGISTRO Y CONTROL DEL TIEMPO DE MQUINA Nombre del Operador Trabajo que realiz Fecha Hora de inicio Hora de fin Observaciones (Todas constituyen columnas, en una hoja apaisada). 6.- RESPONSABILIDADES: El de Seguridad Informtica ser el encargado de mantener actualizado el Registro. 7.- DESARROLLO: Todas las sesiones de trabajo deben ser registradas con el nombre del operador, trabajo que realiz, fecha hora de inicio y fin. Tambin este registro servir para asentar las personas que estn autorizadas de forma eventual a trabajar en estas tecnologas, en cuyo caso se anotar nombre, trabajo

a realizar, fecha, hora de inicio y hora de fin, aclarando en Observaciones esta variante con la firma del que autoriza. TITULO: LIBRO DE CONTROL DE VISITAS. 1.- OBJETIVO: Definir formato y forma de llenar este Registro. 2.- ALCANCE: Todas la tecnologas. 3.- REFERENCIA: No procede. 4.- DEFINICIONES: No procede. 5.- ANEXOS: MODELO 8.-LIBRO DE CONTROL DE VISITAS Pase No. Fetch Nombre y Apellidos Centro de Trabajo Hora Entrada Hora Salida Dependencia Visitada. Autorizado Por Carn No.

(Todas constituyen columnas, en una hoja apaisada). 6.- RESPONSABILIDADES: El Responsable de Proteccin Fsica ser el encargado de mantener actualizado este Registro en coordinacin con las recepcionistas. 7.- DESARROLLO: Este libro se encuentra en la recepcin de la la Direccin Provincial de Educacin y recoger los datos de las personas que no son trabajadores de el centro y que estn autorizadas a entrar al local donde estn las tecnologas, Informticas debiendo aclarase esto en la columna Dependencia Visitada. TITULO: REGISTRO DE INFORME DE AUDITORIAS E INSPECCIONES. 1.- OBJETIVO: Definir formato y forma de llenar este Registro. 2.- ALCANCE: Todas la tecnologas. 3.- REFERENCIA: No procede.

4.- DEFINICIONES: No procede. 5.- ANEXOS: MODELO 9.-REGISTRO DE INFORME DE AUDITORIAS E INSPECCIONES. Nmero de Equipo Auditores o Inspectores Violaciones cometidas Evaluacin final Plan de Accin Medida a Ejecutar Fecha de cumplimiento Responsable (Todas constituyen columnas, en una hoja apaisada). 6.- RESPONSABILIDADES: El Responsable de Seguridad Informtica de la la Direccin Provincial de Educacin ser el encargado de mantener actualizado el Registro cuando se trate de Inspecciones, correspondindole a los auditores cuando de auditoria se trate. 7.- DESARROLLO: Existir un registro nico, en manos del Responsable de Seguridad Informtica de la la Direccin Provincial de Educacin donde cada vez que realice una prueba de inspeccin anotar la fecha, las personas que participan de la inspeccin (de creerse necesario invitar alguna persona para ello). En la columna Violaciones Cometidas, escribir lo ms detalladamente posible los problemas encontrados durante el desarrollo de la inspeccin o la auditoria. En las columnas siguientes slo consignar datos de haber encontrado algn problema. Ellas son: Plan de Medidas: Aqu enumerar las medidas que considera oportunas para eliminar la situacin detectada. Tratar de no ser general, sino todo lo contrario: en caso de que existan varias personas afectadas, dir qu tiene que hacer cada cual. Responsables del cumplimiento: Mencionar las personas responsables de cumplir con la medida.

Fecha de cumplimiento: Se refiere a la fecha tope en que el problema tiene que ser resuelto.

8.4 PROGRAMA DE SEGURIDAD INFORMTICA Este Plan se pondr de inmediato en ejecucin una vez aprobado por las instancias competentes. El director de la Direccin Provincial de Educacin emitir una Resolucin poniendo en vigor este Plan. En el plan, a mediano plazo, se incluye la construccin de la bveda de seguridad escuela. Tambin se prev la adquisicin de un sistema de deteccin contra intrusos, que se dedicar al local donde estarn las tecnologas Informticas. Dado en Matanzas, a los 4 das del mes de junio de 2001. AO DE LA REVOLUCIN VICTORIOSA EN EL NUEVO MILENIO.