100%(1)100% нашли этот документ полезным (1 голос)
262 просмотров5 страниц
Este documento proporciona una guía de autocontrol para la seguridad informática. Contiene 45 preguntas sobre varios aspectos de la seguridad, incluyendo el plan de seguridad, clasificación de activos, seguridad física, seguridad de operaciones, identificación y control de acceso, protección contra malware, respaldos de información y seguridad de redes. El objetivo es que las organizaciones evalúen su cumplimiento de las mejores prácticas de seguridad informática.
Este documento proporciona una guía de autocontrol para la seguridad informática. Contiene 45 preguntas sobre varios aspectos de la seguridad, incluyendo el plan de seguridad, clasificación de activos, seguridad física, seguridad de operaciones, identificación y control de acceso, protección contra malware, respaldos de información y seguridad de redes. El objetivo es que las organizaciones evalúen su cumplimiento de las mejores prácticas de seguridad informática.
Este documento proporciona una guía de autocontrol para la seguridad informática. Contiene 45 preguntas sobre varios aspectos de la seguridad, incluyendo el plan de seguridad, clasificación de activos, seguridad física, seguridad de operaciones, identificación y control de acceso, protección contra malware, respaldos de información y seguridad de redes. El objetivo es que las organizaciones evalúen su cumplimiento de las mejores prácticas de seguridad informática.
Sistema de Seguridad Informática. El Plan de Seguridad Informática está aprobado por el máximo X 1. dirigente de la instalación y está actualizado. 2. Existe Responsable de la Actividad Informática. X 3. Existe al menos un Especialista de Seguridad Informática. x El Especialista de Seguridad Informática, está preparado para X 4. realizar esta actividad Compruebe si existe el Registro de Incidencias del nodo y si está X 5. actualizado. Clasificación y control de los bienes informáticos. 6. Posee la entidad listado de todos sus medios informáticos. X Existe un expediente por puesto de trabajo y se controlan los X 7. bienes hasta nivel de componentes. ¿Tienen instalado un Sistema Automatizado de Control de Inventario? Está cada bien informático bajo la custodia documentada de X 8. una persona responsable de su protección. Existe registro de incidencia por cada puesto de trabajo y están actualizados. Se aplica lo establecido en la Res. 85 sobre la Baja de los X 9. Medios, en cuanto a Dictamen Técnico y Destino Final. Del Personal.
Está firmado el Acta de Conocimiento y Compromiso de X
10. Cumplimiento que incluye las funciones y responsabilidades de cada usuario con la seguridad informática. Se incluye en contrato de trabajo la obligación de la X administración con relación a la preparación del contratado, así 11. como la responsabilidad del trabajador hacia la seguridad informática. Seguridad Física y Ambiental.
a) Está delimitada y se aplican las medidas de protección X
física al área del Nodo, b) Existe SADI 12. c) Existe SACI d) Está visible quienes son los autorizados a acceder a esta área. e) Se garantizan las condiciones de climatización. Los bienes informáticos están protegidos contra fallas de X No existe certificación 13. alimentación y otras anomalías eléctricas. La instalación cuenta de tierra física. con certificación de tierra física. X 14. Las PC y servidores están sellados y se controla la entrega de estos sellos. Los bienes informáticos están protegidos en locales seguros, X 15. contra posibles acciones malintencionada, delictiva y amenazas ambientales. Revise si las líneas de alimentación a la que se conectan los 16. equipos informáticos son independientes de la red de alimentación Si tienen equipos informáticos utilizándose en viviendas, cuentan X No existen medios en 17. con autorización escrita, al igual que los medios de informática esta categoría. móviles. No Preguntas S N NP Observación Las PCs que procesan información crítica están desconectadas X No PC en esta 18. de la red. categoría. Los dispositivos de almacenamiento de información crítica son X No dispositivos en 19. tratados según procedimiento establecido. esta categoría. Existe un plan de mantenimiento para los equipos informáticos y X Esta actividad la 20. hay evidencia de que este se cumple. realiza el GET, mediante contrato. Seguridad en Operaciones. Se cumple el principio de separación de funciones, el X 21. administrador de red no realiza funciones de especialista de seguridad informática. Los nuevos sistemas informáticos cuentan con la aprobación X 22. correspondiente. Identificación, autentificación y control de acceso. a) Si existen sistemas con acceso por múltiples usuarios, X cada usuario cuenta con identificador personal y único. b) Los niveles de acceso a los diferentes módulos de los 23. sistemas económico financieros están en correspondencia con los autorizados. c) Están debidamente documentados. Verifique si están establecidos los procedimientos para otorgar X 24. o suspender el acceso de los usuarios a las tecnologías de la información y si se cuenta con la autorización correspondiente. Los identificadores de usuarios son personales, no pueden ser X 25. genéricos. De existir deben contar con la autorización pertinente escrita. Los accesos y permisos autorizados a los usuarios se X corresponden con los habilitados. Compruebe que no existan 26. cuentas de usuarios activas pertenecientes a personas que no laboran en la entidad a) Verifique que las contraseñas cumplen los requisitos X establecidos. b) Que son privadas e intransferibles. c) Que no existen cuentas de usuarios sin contraseñas. d) Verifiquen quelas contraseñas no tengan activadas que nunca caducan. 27. e) Verifique que las contraseñas se renuevan con una periodicidad acorde con lo definido en el Plan de Seguridad Informática de la Entidad. f) Compruebe que se guarda una copia sellada de las cuentas de usuario con privilegios de administración de la red, en la dirección de la entidad.
Seguridad ante programas malignos. 28. Posee la entidad software antivirus en su red interna. X Está implementado el antivirus establecido por el MINTUR. Está X 29. actualizado Verifique que cuando ocurre contaminación se procede según lo X establecido, se registra como incidencia y se procede al cese de 30. la operación de los medios implicados y a su desconexión de las redes cuando corresponda. Respaldo de la Información. No Preguntas S N NP Observación Verifique que están establecidos los procedimientos que X garanticen: a) La existencia de copias de seguridad de datos, programas y sistemas operativos según lo establecido en el plan de seguridad informática. 31. b) Que la cantidad y frecuencia de las mismas este acorde a las características e importancia de la información, de manera que garantice su recuperación en caso de destrucción a algún tipo de fallo. c) Existe la identificación adecuada de las salvas y su contenido. Verificar que existen copias de seguridad en locales externos al X 32. lugar de donde se procesa la información y si esta actualizado en el Registro de Salvas Externas. Verifique que tienen instalado un programa para realizar las X 33. salvas de los servidores, si están actualizadas. Seguridad en redes. Cumple la red interior con las condiciones técnicas y de X 34. seguridad adecuadas para garantizar su buen funcionamiento e inviolabilidad La red cuenta con el Registro de la Agencia de Control y X 35. Supervisión del MIC y si está actualizado. Existe en la entidad personal suficiente y con la preparación X 36. adecuada para atender la red interna de infocomunicaciones. 37. Existe al menos un administrador de la red. X Los servidores tienen habilitados solo los puertos y servicios X 38. necesarios, en correspondencia con las prestaciones que brindan. Se revisan periódicamente la configuración de seguridad de los X 39. sistemas operativos de los servidores. Posee la entidad el diagrama de la red interna con detalle de X 40. terminales, servidores y direcciones IP. Se analiza la utilización de la conectividad controlada mediante X Esta actividad la 41. el acceso al MRTG (muestra gráfica del comportamiento del realiza el GET ancho de banda). mediante contrato. No se utiliza la cuenta de Administrador en los Servidores para X 42. el trabajo diario. Se bloquea la sesión cuando no se está trabajando, X 43. requiriéndose de autentificación para desbloquearla. Tienen instalado el sistema para realizar el análisis de las X 44. trazas. 45. Las trazas se guardan por un tiempo no menor de un año. X 46. Se tiene evidencia de la revisión periódica de dichas trazas. X No Preguntas S N NP Observación Verificar si la entidad tiene autorizado acceder a Internet, de ser X así: a. Si cuenta con la autorización correspondiente. b. Si existe Dictamen de Seguridad Informática y se encuentra vigente. c. Posee la entidad Control de las PCs con acceso a Internet. d. Posee la entidad control de los usuarios de Internet. e. Verifique que las PC con acceso a Internet tengan las IP 47. fijas, las cuentas de los usuarios estén ancladas a sus PCs y que este limitado el tiempo de acceso a la navegación. f. Que los usuarios tengan los accesos autorizados a los servicios recibidos. g. Se limita la navegación en Internet mediante paquetes por tiempo de conexión o control de volumen de información a bajar por usuario h. Si tiene habilitado el cortafuego y si tienen bloqueados los sitios declarados en listas negras. Con relación al correo electrónico. X a) Posee la entidad control de las PCs con acceso a correo internacional 48. b) Posee la entidad control de todos sus usuarios de Correo Electrónico. c) Se limita el tamaño de los ficheros adjuntos para el envío de correos electrónicos. a) Los servicios WEB propios de la entidad están X debidamente hosteados y protegidos b) Se hace como espejo o replica del sitio principal en servidores ubicados en Cuba y si se establece las medidas requeridas para garantizar su seguridad 49. c) Se colocan páginas o sitios Web desde entidades estatales en servidores extranjeros que ofrecen estos servicios de forma gratuita. d) Los servidores destinados a facilitar accesos hacia o desde el exterior están instalados en las mismas maquinas que los servidores internos de la red Existen conexiones conmutadas y cuentan con la aprobación X 50. correspondiente y están ancladas. No se realiza administración remota a través de estas redes X 51. públicas de transmisión de Datos. Posee la entidad listado actualizado de usuarios autorizados a X 52. acceso mediante conexiones RAS (conexiones remotas) Los teléfonos utilizados por los usuarios internos para acceso X 53. de las cuentas RAS se encuentran anclados en el servidor. Los servicios de entrada para acceso RAS poseen identificador X 54. del llamador. Posee la entidad control de los teléfonos propios utilizados para X 55. acceso de entrada a conexiones RAS. Posee la entidad listado de todas las cuentas conmutadas X 56. activas. Comunicaciones fijas y móviles. Cumplen los locales tecnológicos, Módulo de Distribución X 57. Flexible MDF (rack telefónico), local de pizarra y nodo de datos con las condiciones técnicas y de seguridad apropiadas. No Preguntas S N NP Observación Posee la pizarra privada los requerimientos técnicos y de X 58. seguridad necesarios para garantizar su buen funcionamiento e inviolabilidad. Posee la entidad registro de control detallado de los troncos y X 59. extensiones que corresponden a cada pizarra privada. Posee la entidad registro de control detallado de los atributos de X salida de los servicios telefónicos fijos-directos, troncos y 60. extensiones de pizarra – y móviles (Local, Larga Distancia Nacional, Internacional y Roaming). Posee la entidad evidencia de mecanismos de control del tráfico X 61. de salida de sus servicios, en especial el de Larga Distancia Nacional e Internacional. Existen en la entidad servicios telefónicos sin uso que pudieran X 62. ser utilizados en el sector residencial. Existen equipos de comunicación móviles, su asignación y X 63. servicios cuentan con la aprobación correspondiente. Existe código de acceso en pizarra telefónica o candado en los X 64. teléfonos fijos. Se controlan y analizan los gastos de comunicaciones fijas y X 65. móviles. Se tienen definidos los números con salida nacional e X No existen números 66. internacional. con salida internacional. Automática. Existe al menos un técnico que atiende los temas de X 67. automática. Tiene contratado el servicio de instalación y mantenimiento para X 68. el equipamiento de instrumentación y control. Otros Posee la entidad copias de los contratos y anexos actualizados X 69. correspondientes a todos sus servicios de Infocomunicaciones. Para los servicios de transmisión de datos en uso, posee la X 70. entidad las autorizaciones y licencias de operación que, a tales efectos, emite el Órgano Regulador. Posee la entidad un listado actualizado de todos los servicios de X Infocomunicaciones activos y su distribución por dependencia. 71. Está ese listo conciliado con la Oficina Comercial que lo atiende, firmado e incluido en su expediente.