Академический Документы
Профессиональный Документы
Культура Документы
informacin
Modelo de Gestin de Documentos y Administracin de Archivos (MGD)
para la Red de transparencia y Acceso a la Informacin (RTA)
Diagrama
1. Presentacin y objetivos
1.1. Finalidad
1.2. Alcance y contenido
1.3. Documentos relacionados
2. Concepto de seguridad de la informacin
3. Principios de la seguridad de la informacin
4. Poltica integral de seguridad
4.1. Poltica de seguridad
4.2. Aspectos organizativos de la seguridad de la informacin
4.3. Seguridad ligada a los recursos humanos
4.4. Seguridad fsica y ambiental
4.5. Cumplimiento
4.6. Gestin de activos
4.7. Gestin de comunicaciones y operaciones
4.8. Control de acceso
4.9. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
4.10. Gestin de incidentes de seguridad de la informacin
4.11. Gestin de la continuidad del negocio
5. Cuadros de compromisos de cumplimiento
6. Trminos y referencias
6.1. Glosario
6.2. Referencias y bibliografa
Diagrama
Estas Directrices se integran en el MGD segn se especifica en el siguiente Diagrama de
relaciones:
1. Presentacin y objetivos
1.1. Finalidad
La finalidad de estas Directrices es proporcionar recomendaciones para la necesaria
seguridad de la informacin en el mbito de la administracin electrnica, con respeto a la
autonoma de las organizaciones y en el marco del Modelo de Gestin de Documentos y
administracin de archivos de la Red de Transparencia y Acceso a la informacin (RTA).
http://www.shutdown.es/ISO17799.pdf
De este modo, tras una relacin de los principios bsicos que afectan a la seguridad de la
informacin, las entradas del captulo dedicado a la Poltica de seguridad respetarn en su
estructura las clusulas contempladas en la norme ISO/IEC27002:2013, a saber:
Poltica de seguridad
Aspectos organizativos de la seguridad de la informacin
Gestin de activos
Seguridad ligada a los recursos humanos
Seguridad fsica y ambiental
Gestin de comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
Gestin de incidentes de seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento
1.3. Documentos relacionados
Con independencia de su estado, sea cual sea la forma que adquiera y los medios utilizados
en cualquier situacin, esa informacin debe protegerse de manera correcta.
Las reas seguras son aqullas donde se encuentran los medios de tratamiento de
informacin crtica o confidencial y estn protegidas por permetros de seguridad, adems
de barreras y controles de entrada.
Permetro de seguridad fsica. Protegen las reas que contienen informacin y
medios de tratamiento de informacin. La proteccin fsica se conseguir creando
barreras fsicas alrededor de los locales. Los permetros tendrn, entre otras, las
siguientes caractersticas: definicin, solidez fsica, control fsico de acceso, salidas
de emergencia con alarma.
Controles de ingreso fsico. Permiso de ingreso slo a personal autorizado, con
control horario, limitaciones a salas con informacin sensible, uso de
acreditaciones y actualizacin de permisos.
Seguridad de oficinas y medios. Especial diseo de los lugares con especial control
del acceso.
Proteccin contra amenazas externas e internas. Proteccin contra daos
motivados por el fuego, inundaciones, terremotos, explosiones, revueltas u otros
desastres naturales o causados por el hombre.
reas de acceso pblico, entrega y carga. Control de los puntos de acceso donde
transiten personas externas a la organizacin, para evitar su acceso a zonas no
autorizadas.
4.5. Cumplimiento
Este apartado recuerda la necesidad del cumplimiento del marco normativo y de todo
requisito de seguridad que en l est implcito. En esta misma lnea de legalidad, la
organizacin tender a optimizar esta efectividad a travs del recurso de una auditora
sobre las infraestructuras y las aplicaciones.
Requisitos del negocio para el control del acceso. Garanta del acceso a la
informacin. Los requisitos de la organizacin marcarn y sern la base del acceso
a la informacin. Las pautas de control del acceso respetarn la poltica de
divulgacin del propio organismo.
Gestin del acceso de los usuarios. Garanta de un acceso autorizado a los sistemas
de informacin y control ante el acceso no autorizado. Cabrn procedimientos
formales para controlar los derechos de acceso. Dichos procedimientos abarcarn
todo el ciclo del acceso, desde el registro de nuevos usuarios hasta el borrado de
aqullos que ya no requieren acceso. Se tender a minimizar el acceso restringido
a la informacin confidencial.
Responsabilidades del usuario. Garanta de control ante accesos no autorizados y
vigilancia ante el peligro que corre la informacin en su tratamiento. Cabr
concienciar a los usuarios autorizados de lo importante de su cooperacin en la
consolidacin de la seguridad de la informacin. Los usuarios deben ser
responsables parciales de la efectividad de los controles, por ejemplo mediante el
correcto uso de sus claves secretas, personales e intransferibles, y una correcta
atencin de los equipos.
Control de acceso de red. Garanta de control ante el acceso no autorizado a los
servicios de las redes, internas y externas. El acceso autorizado a las redes no
comprometer la seguridad de los servicios, por lo que se vigilar la:
a. Existencia de interfaces apropiadas
4.1 Adoptar una poltica de seguridad Elaborar, los equipos directivos, una
de la informacin poltica de seguridad de la informacin
- Asignar roles
A nivel externo:
- Tratar la seguridad
4.5 Cumplir el marco normativo y de Cumplir con los requisitos legales, mediante
todo requisito de seguridad que el control sobre cualquier violacin de las
en l est implcito disposiciones legales vigentes, estatutos
propios, contratos o requisito de seguridad
de la informacin
4.6 Gestionar los activos como medio Identificar y gestionar los activos mediante
para cobrar responsabilidad el mantenimiento de unos controles
mediante una proteccin que adecuados:
incluya la identificacin de los
- Identificar los activos y documentar
propietarios; tambin para
su importancia
N Compromisos Cmo cumplir con los compromisos
- Asegurar la capacidad y la
disponibilidad de los recursos necesarios
- Considerar la integridad y la
disponibilidad de la informacin publicada
electrnicamente
6. Trminos y referencias
6.1. Glosario
Activo de informacin: cualquier recurso de informacin o datos con valor para el
desarrollo de las funciones de una organizacin, que puede ser comprendido y tratado
como una nica unidad a efectos de gestin, uso, proteccin e intercambio. Aunque puede
designar piezas aisladas de informacin (una imagen incluida en un documento, un registro
de una base de datos), suele emplearse para identificar y tratar conjuntos de informacin o
datos, como agrupaciones documentales, bases de datos, sitios web, colecciones de
metadatos... En el mbito de la seguridad de la informacin se emplea tambin para
designar el hardware y software utilizado para su procesamiento o almacenamiento, los
servicios utilizados para su transmisin o recepcin y las herramientas y/o utilidades para
el desarrollo y soporte de sistemas de informacin.
Amenaza: causa potencial de un incidente no deseado, que puede provocar dao a un
sistema o a una organizacin.
Autenticacin: situacin en la cual se puede verificar que un documento ha sido elaborado
(o pertenece) a quien el documento dice. Aplicado a la verificacin de la identidad de un
usuario, la autenticacin se produce cuando el usuario puede verificar que es quien dice ser
y, por ello, pasa a ser considerado un usuario autorizado.
Control: medio para gestionar un riesgo, incluyendo polticas, procedimientos,
lineamientos, prcticas o estructuras de la organizacin, que pueden ser tcnicas, de
gestin o naturaleza legal. Tambin puede ser sinnimo de salvaguarda.
Medios de tratamiento de la informacin: cualquier sistema, servicio o infraestructura
de tratamiento de la informacin, o bien los locales fsicos donde se alojan.
No repudio: servicio de seguridad, estrechamente relacionado con la autenticacin, que
permite probar la participacin de las partes en una comunicacin. La diferencia esencial
con la autenticacin es que la primera se produce entre las partes que establecen la
comunicacin y el servicio de no repudio se produce frente a un tercero, de este modo,
existirn dos posibilidades: no repudio en origen y no repudio en destino. Si la autenticidad
prueba quin es el autor de un documento y cul es su destinatario, el no repudio prueba
que el autor envi la comunicacin (vase No repudio en origen) y que el destinatario la
recibi (vase No repudio en destino).
No repudio en destino: servicio de seguridad mediante el cual el receptor no puede negar
que recibi el mensaje porque el emisor tiene pruebas de la recepcin. Este servicio
proporciona al emisor la prueba de que el destinatario legtimo de un envo, realmente lo
recibi, evitando que el receptor lo niegue posteriormente. En este caso la prueba
irrefutable la crea el receptor y la recibe el emisor.
No repudio en origen: servicio de seguridad mediante el cual el emisor no puede negar
que envo porque el destinatario tiene pruebas del envo, el receptor recibe una prueba
infalsificable del origen del envo, lo cual evita que el emisor, de negar tal envo, tenga xito
ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el
destinatario.
Plan de continuidad del negocio: plan de proteccin dirigido a la solucin de los
incidentes que provoquen una interrupcin en la actividad de las organizaciones, reducir
la probabilidad de que se produzcan y garantizar la recuperacin de su empresa.
Riesgo: combinacin de la probabilidad de un evento y su ocurrencia.
Seguridad de la informacin: preservacin de la confidencialidad, la integridad y la
disponibilidad de la informacin, que tambin puede involucrar a otras propiedades como
la autenticidad, la trazabilidad, el no repudio y la fiabilidad.
Vulnerabilidad: debilidad de un activo que puede ser explotada por una amenaza.
Disponible ac
ESPAA. GOBIERNO VASCO. 2010. Manual de seguridad [en lnea]. Vitoria-Gasteiz:
Departamento de Justicia y Administracin Pblica. [Consulta: 15 diciembre 2014].
Disponible ac
INTERNATIONAL ORGANIZATION FOR STANDARIZATION (ISO). 2013. ISO/IEC
27001:2013. Information technology - Security techniques - Information security
management systems - Requirements. Ginebra: ISO.
Disponible ac
UNIN EUROPEA. 2001. Decisin 2001/264/CE del Consejo, de 19 de marzo de 2001, por
la que se adoptan las normas de seguridad del Consejo [en lnea]. Diario Oficial de las
Comunidades Europeas, 11 de abril de 2001, L 101. [Consulta: 15 diciembre 2015].
Disponible ac
VILLALN HUERTA, A. 2004. Cdigos de buenas prcticas de seguridad. UNE-ISO/IEC
17799 [en lnea]. En: El Sistema de Gestin de Seguridad de la Informacin. La nueva norma
UNE 71502, Valencia, Espaa. Septiembre, 2004. [Consulta: 15 diciembre 2014].