Академический Документы
Профессиональный Документы
Культура Документы
EDICION :007
MINISTERIO DE HACIENDA
Pgina I de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION :007
FECHA :27105/14
HOJA DE AUTORIZACIN
Preparado por:
Revisado por:
Pgina 2 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION :007
FECHA : 27105fl4
CONTENIDO
SECCIN 2 Referencias
-
If.
ja Pgina 3 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION : 007
SECCIN 9 Lineamientos
9.1 Organizacin Para la Seguridad de la Informacin
9.2 Gestin de Activos
9.3 Seguridad Asociada al Recurso Humano
9.4 Seguridad Fsica y Ambiental
9.5 Gestin de Comunicaciones y Operaciones
9.6 Control de Accesos
9.7 Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin
9.8 Gestin de Incidentes de Seguridad de la informacin
9.9 Gestin de Continuidad dei Negocio
9.10 Conformidad
SECCIN 11 Anexos
SECCIN 12 Modificaciones
Pgina 4 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO MAS
EDICION :007
FECHA : 271th
1.1 INTRODUCCIN
Los sistemas de informacin y las redes de las Organizaciones estn frente a amenazas de un gran
nmero de fuentes, incluyendo fraudes por computadora, espionaje, sabotaje, vandalismo, incendios o
inundaciones. Asimismo, causas de dao como cdigos maliciosos, "hacking", ataques de denegacin de
servicios se hacen ahora ms frecuentes y sofisticadas.
De acuerdo a la norma UNE-lSD/lEO 27001 :2007, que utiliza el modelo "Planificar -Hacer- Verificar -
Actuar", para gestionar el SGSI son las siguientes:
Verificar (Seguimiento y revisin del SGSI): Evaluar y, en su caso, medir el rendimiento de los
procesos contra la poltica, objetivos y la experiencia prctica dei SGSI, e informar los resultados a la
Direccin para su revisin.
cr "4 -il
crAA
ir' P
fl1
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
Pgina 5 de 46
MINISTERIO DE HACIENDA CODIGO MAS
EDICION :007
Las fases del PHVA y el diagrama de flujos del modelo se presentan en la Figura 1.
I
Partes Paitss
Intere&as L!
Interssaas
Estfl1ever el $GSl
Accu)
jMarltenerYlerrarej
HLL
det$$1 .. Gestionada de
nformack5p
L
la Infcrmacicn
1.2.1 Protegerla informacin de la Institucin y los medios para su tratamiento de forma razonable y
continua.
1.2.2 Mantener un modelo de gestin de riesgos de seguridad de la informacin para su identificacin,
valoracin y tratamiento.
Pgina 6 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION 007
FECHA :27/O
1.4 ALCANCE
1.4.1 El SGSI es aplicable a todos los procesos del negocio, la organizacin, las localidades, los activos
de informacin y tecnologa de la Institucin.
1.4.2 El cumplimiento del presente Manual es obligatorio para los funcionarios y empleados de las
Direcciones o Dependencias que conforman la InsUtucin representadas en el organigrama vigente
del Ministerio de Hacienda, excepto la Lotera Nacional de Beneficencia, Fondo Salvadoreo de
Estudios de Preinversin y el Instituto Nacional de Pensiones de los Empleados Pblicos. Estas
disposiciones tambin sern aplicables a los consultores, contratistas, empleados temporales o
terceros que se relacionen con la Institucin, en el tratamiento de la informacin.
La implantacin del SGSI, se hace bajo un enfoque de procesos, para identificarlos elementos de entrada
y los resultados esperados, a travs de la implantacin de un conjunto de controles que cubren 11
dominios de seguddad como se especifica en la Figura 3.
Nota: Los requisitos del Sistema de Gestin de Seguridad de la Informacin definidos en el estndar UNE-
ISOIIEC 27001 :2007 son compatibles con los requisitos del Sistema de Gestin de la Calidad implantado
en la Institucin (Ver Seccin 11).
':7
o
Pgina 7 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION:OO7
SSIEMAS DE vINlCSGtrnD
ica
INFAO4
siaos
RCt1AD
Y
pLpNlsaAcJ
0r Gin de
ati'CG
S.zdaJ de
les PJHH
N&NAZAS
Wis de t1de GSJ1 de
FISy Catruthi Cotd de
PIItE1 dNo fto SISIE#S
SegLilded lNF'Cl
Gsx5nde
aendecsiide
ssgcs htdetde
SSS
nay nwtae
Sla
SGS I a
rr1IP
Careoa, Tcnude
canana t;
dMpeinl
Pgina B de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MiNISTERIO DE HACIENDA CODIGO : MAS
EDICION 007
FECHA 27/05/14
SECCIN 2: REFERENCIAS
Pgina 9 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO : MAS
EDICION : 007
FECHA :2710:
Esta seccin Comprende una serie de conceptos utilizados en el presente manual y en los documentos
relacionados al Sistema de Gestin de Seguridad de la Informacin, tomando como referencia principal la
Norma UNE-ISO/IEC 27001:2007 y UNE-ISO/IEC 27002:2009. Trminos y definiciones.
3.1 Activo: Recurso dei sistema de informacin o relacionado con ste, necesario para que la Institucin
funcione correctamente y alcance los objetivos propuestos por su Direccin; en general algo que tiene
valor para la organizacin.
3.4 Amenaza: Una causa potencial de un incidente no deseado, el cual puede producir un dao a un sistema
o a la Organizacin.
3.5 Anlisis de Riesgos: Uso sistemtico de la informacin para identificar y estimar las fuentes de riesgo.
3.6 Aplicacin del Negocio: Para propsitos de este lineamiento, se refiere a un programa de software
creado o desarrollado a la medida, para apoyar o automatizar una funcin de negocio (contabilidad,
tesorera, presupuestos, deuda pblica, gestin de tributos, aranceles, entre otros) utilizado por los
usuarios finales; cuyo uso no requiere privilegios administrativos. Pueden ser desarrolladas por personal
interno, subcontratado, adquiridas directamente del fabricante o recibidos en donacin. Ejemplos:
SIDUNEA, JSIIT, SITEP, SAFI, SIRH, SlIP, SIGADE, DET, COMPRASAL, entre otros.
3.8 Control: Medio para gestionar el riesgo, incluyendo polticas, procedimientos, directrices, prcticas o
estructuras organizacionales, las cuales pueden ser de naturaleza administrativas, tcnicas, de gestin, o
legal. El control es tambin usado como un sinnimo de salvaguarda o contramedida.
3.9 Criptografa: La criptografa (del griego kryptos, "ocultar", y grafos, "escribir", literalmente "escritura
oculta") es el arte o ciencia de cifrar y descifrar informacin utilizando tcnicas matemticas que hagan
posible el intercambio de mensajes de manera que slo puedan ser ledos por las personas a quienes
van dirigidos.
3.10 Declaracin de Aplicabilidad (DAPL): Declaracin documentada que describe los objetivos de los
controles y los controles que son relevantes y aplicables al SGSI de la organizacin. Los objetivos de los
controles y los controles son basados en los resultados y las conclusiones de la evaluacin de riesgos y
el proceso de tratamiento de los riesgos, requisitos legales o regulatorios, obligaciones contractuales y
requisitos dei negocio de la organizacin para la seguridad de la informacin.
Pgina 10 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO : MAS
EDICION :007
3.12 Disponibilidad: Propiedad de la informacin de ser accesible y utilizable en demanda por entidades
autorizadas.
3.13 Evento de Seguridad: Ocurrencia identificada en el estado de un sistema, servicio o red, indicando un
posible incumplimiento en la poltica de seguridad, una falla en las salvaguardas o contramedidas; o una
situacin previa desconocida que puede ser relevante ala seguridad.
3.14 Gestin de riesgos: Actividades coordinadas para dirigir y controlar una organizacin con respecto al
riesgo. La gestin de riesgos tpicamente incluye Ia evaluacin de riesgos, tratamiento de riesgos, la
aceptacin de riesgos y la comunicacin de riesgos.
3.15 Hacking: Accin efectuada por eI Hacker.
3.17 Incidente de Seguridad: Uno o una sede de eventos de seguridad de Ia informacin no deseados o
inesperados que poseen una probabilidad significativa de comprometer las operaciones del negocio
amenazando Ia seguridad de la informacin.
3.19 ISOIIEC: Organizacin Mundial de Estandarizacin (del griego isos que significa "igual") y la comisin
Internacional Electrotcnica (por sus siglas en ingles International Electrotechnical comisin); la cual es
una organizacin que representa una red de institutos de estndares en 156 pases. Las siglas preceden
a los estndares emitidos por esta organizacin, ejemplo ISOJIEC 9000; estos estndares se consideran
de aplicacin internacional.
3.23 Norma: Es una especificacin tcnica u otro documento a disposicin del pblico elaborado con la
colaboracin y el consenso o aprobacin general de todas las partes interesadas, basada en resultados
consolidados de la ciencia tecnologa y experiencia dirigida a promover beneficios ptimos para la
comunidad y aprobada por un organismo reconocido a nivel nacional, regional o internacional.
3.24 NTCIE: Normas Tcnicas de Control Interno Especificas del Ministerio de Hacienda.
3.25 Pasarela (gateway): Un gateway o puerta de enlace es normalmente un equipo informtico configurado
para dotar a las mquinas de una red local (LAN) conectadas a l de un acceso hacia una red exterior Se
podra decir que un gateway es un router que conecta dos redes.
3.26 Perodo de Conservacin de la Informacin Electrnica: Se refiere a la cantidad de tiempo por el cual
la Institucin debe mantener la informacin en formato electrnico de las aplicaciones del negocio, de
acuerdo a lo establecido en la normativa legal y tcnica vigente aplicable.
Pgina 11 de46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
CODIGO MAS
EDICION :007
FECHA 27/O
3.28 PIan de Continuidad del Negocio (PCCN): Es la planificacin de todos los recursos necesarios para
que se re-establezcan las actividades o servicios que presta una organizacin a un nivel predeterminado.
3.29 Poltica: Orientaciones o directrices que rigen la actuacin de una persona o entidad en un asunto o
campo determinado.
3.31 Recursos para Tratamiento de la Informacin: Conjunto de elementos disponibles para resolver el
manejo, procesamiento, gestin o disposicin de la informacin,
3.33 Salvaguarda: Accin, procedimiento o dispositivo, fsico o lgico que reduce el riesgo.
3.36 Soporte(s): Material en cuya superficie se registra informacin, como el papel, la cinta de video o el disco
compacto.
3.37 Unidad de Informtica: se refiere a la(s) unidad(es) organizativa(s) que prestan los servicios de
tecnologas de la informacin y comunicaciones para las Direcciones o Dependencias del Ministerio de
Hacienda.
3.38 Vulnerabilidad: Debilidad de un activo o grupos de activos que puede ser explotada por una amenaza.
Pgina 12 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION 007
a) Definir el alcance del SGSI (ver seccin 1 .4) en trminos de las caractersticas de la Institucin,
como su organizacin, localizacin, activos y tecnologa.
b) Definir una Poltica de Seguridad de la Informacin (Captulo 7 del MAPO) en trminos de las
caractersticas de la Institucin como su organizacin, localizacin, activos y tecnologa.
c) Adoptar un enfoque hacia la evaluacin de los riesgos de la Institucin (Captulo II de NTCIE).
d) Definir una Metodologa para el Anlisis y Gestin de Riesgos (MAGER) y un procedimiento
(PRSN-007 Anlisis y Gestin de Riesgos) para la identificacin, anlisis, evaluacin y gestin de
los riesgos.
e) Seleccionar los controles para el tratamiento de los riesgos (Con base al estndar UNE-lSO/IEC
27002:2009, ver Anexo 2) los cuales se encuentran detallados a manera de lineamientos en la
Seccin 9.
t) Gestionar la aprobacin ante los Titulares y Directores, Presidente o Jefes de las Unidades
Asesoras al Despacho de la propuesta para el manejo de los riesgos residuales.
g) Aprobar la implantacin y operacin del SGSI (Aprobado por los Titulares en el Captulo 7 del
MAPO y AE N36 del 10 de enero de 2006).
h) La Declaracin de Aplicabilidad ser elaborada por cada Direccin o Dependencia, y estar
acorde a ste manual y la norma UNE-ISO/IEC 27002:2009.
a) Cada Direccin o Dependencia formular un plan de seguridad para el tratamiento de los riesgos,
de acuerdo al estndar definido por la DINAFI, que identifique las acciones de la misma, los
recursos, responsabilidades y prioddades para el manejo de los riesgos asociados a la seguridad
de la informacin.
b) Cada Direccin o Dependencia Implementar el plan de tratamiento de los riesgos en orden de
satisfacer los controles identificados.
c) Cada Direccin o Dependencia implementar los controles seleccionados en la Seccin 9, para
cumplir con los objetivos de estos controles.
d) Cada Direccin o Dependencia definir como medir la efectividad de los controles seleccionados o
grupos de controles y a la vez especificar, como estas medidas sern utilizadas para evaluar la
eficiencia y que los resultados producidos sean comparables y reproducibles (ver Seccin 4.2.3).
k
\
%. %J
Th!tfl
? o/i Pgina 13 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION : 007
FECHA : 2710I
Pgina 14 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO : MAS
EDICION 007
4.3.1 General
La documentacin del SGSI incluye:
a) Poltica de Seguridad y su objetivo (ver seccin 4.2.1 b)).
b) Alcance del SGSI (ver seccin 4.2.1 a)).
c) Procedimientos y controles que soporten el SGSI.
d) Descripcin de la metodologa para el anlisis y gestin de riesgos (ver seccin 4.2.1 c)).
e) Resultado del anlisis de riesgo (ver seccin 4.2.1 c) ala 4.2.1 g)).
f) Plan de Seguridad de la Informacin (ver seccin 4.2.2 b)).
g) Procedimientos que aseguren de manera razonable la efectividad de la planeacin, operacin y
control de los procesos de seguridad de la informacin y que describan como se mide la
efectividad de los controles establecidos (ver seccin 4.2.3 c)).
h) Registros requeridos en la seccin 4.3.3.
i) Declaracin de aplicabilidad.
El control de los documentos est definido en el "PRSN-001 Preparacin de Documentos del SGSI" y
en el "PRSN-002 Control de Documentos del SGSI", los cuales establecen los aspectos siguientes:
Pgina 15 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO MAS
EDICION 007
5.1.1.1 Titulares
Pgina 16 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO MAS
EDICION 007
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO : MAS
EDICION 007
FECHA :2710
Pgina 18 de46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION :007
a las jefaturas de las unidades organizativas. El propietario de los datos delega la responsabilidad
del mantenimiento de los mecanismos de proteccin de los datos, al custodio.
Son los jefes de las unidades organizativas que tienen la responsabilidad de la coordinacin y
administracin del flujo de trabajo y las actividades en cada etapa de un proceso. Los dueos de
proceso deben asegurarse que los procesos bajo su responsabilidad, incluyan las medidas de
seguridad adecuada y consistente con la poltica de seguridad de la informacin institucional.
Pgina 19 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO MAS
EDICION 007
FECHA :27/05/14
5.1.2.11 Usuario
Es Cualquier individuo que rutinariamente utiliza los datos para realizar tareas relacionadas al
trabajo. Sus accesos deben ser autorizados por los propietarios de la informacin o quienes stos
hayan delegado, adems stos accesos, pueden ser restringidos y monitoreados. El usuario
debe de tener los niveles de acceso necesarios para realizar sus funciones y es el responsable
de seguir los procedimientos operativos de seguridad para asegurar a los dems la
confidencialidad, integridad y disponibilidad de los datos. Tambin son responsables de las
aplicaciones de usuario final en donde ellos controlen totalmente la seguridad (por ejemplo hojas
de clculo, procesadores de palabras, otros).
a) Vela por la competencia del personal que realiza trabajos que afecten la seguridad de la
informacin, considerando para ello los perfiles definidos para cada puesto de trabajo que se
encuentran en los Manuales de Organizacin.
b) Concientiza al personal sobre la importancia de la Seguridad de la Informacin en su puesto de
trabajo y de su contribucin al logro de los Objetivos de Seguridad de la Informacin; para lo cual,
cuenta con una infraestructura tecnolgica que facilita este proceso.
c) Posee registros actualizados del personal, que evidencian la educacin, formacin, habilidades y
experiencia de cada empleado.
Pgina 20 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION :007
"w,
1-fl -
Pgina2l de46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION :007
FECHA :27105114
7.1 GENERALIDADES
Los Titulares, Directores, Presidente y Jefes de las Unidades Asesoras al Despacho de la Institucin, una
vez completada la fase de implementacin dei SGSI (Seccin 4.2.2.), Con el objeto de asegurarse de la
adecuacin y efectividad del mismo, revisarn anualmente el Sistema de Gestin de Seguridad de la
Informacin. En la revisin se evaluarn las oportunidades de mejora y las necesidades de realizar
cambios al Sistema.
Los resultados de la revisin del SGSI de la Institucin por la alta Direccin, incluyen acciones relativas a:
Pgina 22 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION 007
La Institucin continuamente mejorar la efectividad del 5351 a travs del uso de la Poltica de Seguridad
de la Informacin, los objetivos de seguridad de la informacin, los resultados de las auditorias, el anlisis
de los eventos monitoreados, las acciones correctivas y preventivas y la revisin de la Direccin.
La Institucin ha definido el proceso a seguir para tomar acciones que eliminen las causas de No
Conformidades detectadas, con el propsito de evitar su repeticin. Se garantiza que las acciones
correctivas establecidas y a ejecutar sean apropiadas respecto a la No Conformidad determinada.
a) La revisin por los jefes de las Unidades Organizativas de las No Conformidades que les apliquen,
detectadas en Auditorias e Inspectoras de Ia Seguridad.
b) La determinacin por Jefes de Unidades de causas de No Conformidades.
c) El establecimiento de acciones necesarias para impedir que las No Conformidades detectadas
ocurran nuevamente.
d) La identificacin de las acciones correctivas a seguir para corregir las No Conformidades y su
implantacin.
e) El archivo de la Hoja de No Conformidad, Acciones Correctivas o Preventivas, en la que se registran
las acciones tomadas y el seguimiento realizado por cada No Conformidad, y
0 4 Pgina 23 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO MAS
EDICION 007
SECCIN 9: LINEAMIENTOS
Esta seccin presenta los lineamientos derivados de los controles de la Norma UNE-ISO/IEC 27002:2009, los
cuales fueron seleccionados como resultado del anlisis de riesgos asociados a los sistemas de informacin
de la Institucin y sirven como insumo para la elaboracin de la declaracin de aplicabilidad; y estarn sujetos
a cambios en la norma o reorganizaciones en la Institucin.
Los lineamientos contenidos en el presente manual, pueden ser cumplidos a travs dei Sistema de Gestin de
la Calidad de la Institucin.
Pgina 24 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION : 007
Las Direcciones o Dependencias definirn las reglas para el uso aceptable de los activos de informacin
bajo su responsabilidad, tomando en cuenta lo establecido en las leyes y el Sistema de Gestin de
Seguridad de la Informacin.
a) Confidencial
es aquella informacin privada en poder del Estado cuyo acceso pblico se prohbe por mandato
constitucional o legal en razn de un inters personal jurdicamente protegido"; el tipo de informacin
comprendida en esta clasificacin se encuentra detallada en el artculo 24 de dicha ley.
b) Reservada
"es aquella informacin pblica cuyo acceso se restringe de manera expresa de conformidad con
esta ley, en razn de un inters general durante un perodo determinado y por causas justificadas";
el tipo de informacin comprendida en esta clasificacin se encuentra detallada en el artculo 19 de
dicha ley.
c) Oficiosa
"es aquella informacin pblica que los entes obligados debern difundir al pblico en virtud de esta
Pgina 25 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
CODIGO MAS
EDICION :007
FECHA 27105114
ley sin necesidad de solicitud directa"; el tipo de informacin Comprendida en esta clasificacin se
encuentra detallada en el artculo lo de dicha ley.
d) Pblica
"es aquella en poder de los entes obligados contenidas en documentos, archivos, datos, bases de
datos, comunicaciones y todo tipo de registros que documenten el ejercicio de sus facultades o
actividades, que consten en cualquier medio ya sea impreso ptico o electrnico
independientemente de su fuente, fecha de elaboracin y que no sea confidencial. Dicha informacin
podr haber sido generada, obtenida, transformada o conservada por stos a cualquier ttulo"
Pgina 26 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO : MAS
EDICION :007
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO MAS
EDICION 007
adecuadas, Cuando empleados o terceros efecten trabajos en reas que contengan informacin
confidencial o reservada.
Pgina 28 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION 007
Los usuarios que participen en el proceso de pruebas de aplicaciones del negocio deben utilizar una
cuenta de usuario distinta a laque tenga asignada en el ambiente de produccin.
a-w4. Pgina 29 de 46
n,,j
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION :007
Pgina 30 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO : MAS
EDICION 007
Para el caso del transporte de medias de respaldo de los equipos servidores del centro de procesamiento
de datos se regirn por los Lineamientos Especficos de Seguridad de la Informacin para la Gestin de
Respaldos de Informacin del Ministerio de Hacienda.
Pgina 31 de46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION 007
FECHA :27105114
Pgina 32 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION : 007
FECHA :27/O
--
Pgina 33 de4
p'
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
_9_.,.
MINISTERIO DE HACIENDA CODIGO : MAS
EDICION :007
Accesos a la Red de Datos del Ministerio de Hacienda emitidos por la DINAFI y a los requisitos de las
aplicaciones del negocio.
Pgina 34 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO : MAS
EDICION 007
Pgina 35 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISIERIO DE HACIENDA CODIGO: MAS
EDICION : 007
restringirn el acceso a los cdigos fuentes de los programas y aplicaciones utilizados en sistemas de
informacin automatizados, de acuerdo a los lineamientos de control de acceso emitidos por la DINAFI.
9.7.15. Revisin Tcnica de las Aplicaciones tras efectuar cambios enel sistema operativo
Cada Direccin o Dependencia, debe revisar y probar las aplicaciones del negocio crticas, cuando se
apliquen cambios mayores a los sistemas operativos de los ambiente de produccin, para garantizar que
no existen efectos adversos en las operaciones o en la seguridad.
Pgina 36 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO MAS
EDICION 007
FECHA 271
9.9.3. Desarrollo e implantacin de Planes de Continuidad dei Negocio que incluyan la Seguridad de la
Informacin
Las Direcciones o Dependencias deben desarrollar e implantar planes para mantener o restaurar las
operaciones y garantizar su disponibilidad de la informacin en el nivel y en el tiempo requerido, despus
de una interrupcin o fallo en los procesos de negocio crticos.
9.10. CONFORMIDAD
,rn' Pgina 37 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO MAS
EDICION 007
FECHA 27105114
Pgina 38 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION :007
Los empleados y funcionarios que incumplan las polticas y lineamientos de seguridad de la informacin
adoptada por sta Institucin, estarn sujetos a acciones disciplinarias establecidas en las disposiciones
legales y tcnicas vigentes.
Pgina 39 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO 0E HACIENDA CODIGO MAS
EDICION 007
Pgina 40 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO MAS
EDICION 007
trabajo_______
Cese del Empleo o cambio de puesto de 8.3
Pgina 41 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO MAS
EDICION 007
Pgina 42 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO MAS
EDICION :007
FECHA :27105114
Diagnstico remoto y proteccin de los 11.4.4 9.6.11 Diagnostico remoto y proteccin de los puertos
puertos de confIguracin de configuracin
Segregacin de las redes i i .4.5 9.6.12 Segregacin de Redes de Datos
Control de la conexin a la red i i .4.6 9.6.13 Control de Conexiones a la Red
Control de Acceso al Sistema Operativo I i .5
Procedimientos seguros de inicio de sesin i I .5.1 9.6.14 Procedimientos para Inicio de Sesin
mviles_______
Ordenadores porttiles y comunicaciones 11.7.1
ADQUISICION, DESARROLLO Y 12
9.6.19 Instalacin o Desinstalacin de Software
9 7 ADQUISICION, DESARROLLO Y
MANTENIMIENTO DE LOS SISTEMAS DE MANTENIMIENTO DE SISTEMAS DE
INFORMACION INFORMACION
quisitos de Seguridad de los 12.1
Pgina 43 de46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO MAS
EDICION :007
Control de Acceso a Cdigo Fuente de los 12.4.3 9.7.12 Control de Acceso a Cdigo Fuente de los
Programas Programas
Seguridad en los Procesos de Desarrollo 12.5
y Soporte
Procedimientos de control para cambios 12.5.1 9.7.13 Procedimiento de Control de Cambios
9.7.14 Control de Cambios del Cdigo Fuente
Revisin Tcnica de las Aplicaciones tras 12.5.2 9.7.15 Revisin Tcnica de las Aplicaciones tras
efectuar cambios en el sistema operativo efectuar cambios en el sistema operativo
Desarrollo de Software porTerceros 12.5.5 9.7.16 Desarrollo de Software por Terceros
Gestin de la Vulnerabilidad Tcnica 12.6
Control de las vulnerabilidades tcnicas 12.6.1 9.7.17 Control de Vulnerabilidades de Software
GESTION DE INCIDENTES DE 13 9 8 GESTION DE INCIDENTES DE SEGURIDAD
SEGURIDAD DE LA INFORMACION DE LA INFORMACION
Notificacin de Eventos y puntos dbites 13.1
de la Seguridad de la Informacin
Notificacin de los eventos de seguridad de 13.1.1 9.8.1 Notificacin de los eventos de seguridad de la
la informacin informacin
Gestin de Incidentes de Seguridad de 13.2
la Informacin y Mejoras
Responsabilidades y procedimientos 13.2.1 9.8.2 Responsabilidades y Procedimientos de
Gestin de Incidentes de Seguddad
Aprendizaje de los incidentes de seguridad 13.2.2 9.8.3 Base de Conocimiento sobre Incidentes de
de la informacin Seguridad
GESTION DE LA CONTINUIDAD DEL 14 99 GESTION DE CONTINUIDAD DEL NEGOCIO
Pgina 44 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO MAS
EDICION 007
riesgos________
Continuidad del negocio y evaluacin de 14.1.2
9.9.3
Continuidad del negocio yevaluacin de riesgos
Pgina 45 de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO : MAS
EDICION :007
REGISTRO DE MODIFICACIONES
N MODIFICACIONES
Seccin 3. Trminos y Definiciones.
Se agregaron las siguientes definiciones:
3.11 DINAFI
U J
Seccin 9. Lineamientos.
Se modifican los siguientes apartados:
Pgina 46 de 46
Digitally signed by David Edgardo Sandoval Guzman
Reason: Certifico la precisin e integridad de este documento
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
Date: 2014.05.30 10:59:48 -06'00'