Manual Procedimientos Bueno

INTRODUCCIÓN

El Plan de Seguridad Informática constituye una exigencia de la Resolución No. 6 de 1996 del Ministerio del Interior (MININT) que pone en vigor el Reglamento sobre la Seguridad Informática, en el cual se reflejan las políticas, estructuras de gestión y el sistema de medidas que se determinaron en la Dirección Provincial de Educación, para lo que se han tenido en cuenta los resultados obtenidos en los análisis de riesgos y vulnerabilidad realizados en cada objetivo informático de el centro y en dependencia de las características de cada área de trabajo.

El Plan de Contingencia está contenido dentro del Plan de Seguridad Informática. En el mismo se reflejan las medidas que deben tomarse con el fin de garantizar la continuidad de los procesos informáticos ante cualquier desastre o eventualidad que puedan provocar su interrupción en cada área y las acciones necesarias para contrarrestarlas o enfrentarlas en el menor plazo posible.

Dada la necesidad de garantizar la Seguridad y Protección de la información que se procesa, intercambia reproduce y conserva mediante el uso de las tecnologías informáticas y de comunicaciones con el fin de preservar la confidencialidad, integridad y disponibilidad de la información, se hace imprescindible poner en vigor un Plan de Seguridad Informática, que regule la disciplina informática a tener en cuenta por todos los trabajadores la Dirección Provincial de Educación.

El conjunto de las medidas de seguridad y protección de la información y de disciplina informática constituirán la Seguridad Informática, que comprende medidas administrativas, organizativas, físicas, técnicas, legales y educativas dirigidas a prevenir, detectar y responder a acciones que pongan en riesgo o constituyan una amenaza para la confidencialidad, integridad y disponibilidad de la información que se procese, intercambie, reproduzca y conserve a través de las tecnologías informáticas y de comunicaciones; así como el correcto uso y conservación de las mismas.

Las medidas de protección física y sobre el secreto estatal que se recogen en este Plan están en correspondencia con lo establecido en el Decreto Ley No. 186/98

http://www.mtz.jovenclub.cu/otros/colon/arquitectura/index.html

sobre la Seguridad y Protección del Secreto Estatal y la 1321/76 sobre Seguridad y Protección Física, así como las medidas de protección de datos por su parte están en correspondencia con las Resoluciones 06 del MININT "Reglamento sobre la Seguridad Informática" y 204/96 del SIME "Reglamento sobre la Protección y Seguridad Técnica de las Tecnologías Informáticas" y las regulaciones emitidas por el Organismo Superior y el Director de el centro.

1. OBJETIVOS

El presente Plan de Seguridad Informática tiene como objetivo fundamental la protección de todas las tecnologías informáticas y de comunicación que posee la Dirección Provincial de Educación.

La protección va encaminada fundamentalmente a prevenir, detectar y contrarrestar aquellas acciones que pongan en riesgos la confidencialidad, disponibilidad e integridad de la información y resguardar el equipamiento contra el acceso no autorizado los locales donde se encuentran.

Los equipos serán protegidos contra las contingencias siguientes:

1. Contaminación con virus informáticos.

2. Destrucción o modificación del Sistema Operativo.

3. Contra inundaciones e incendios.

4. Fallas del fluido eléctrico.

5. Fallos de las Comunicaciones.

6. Robos.

7. Fallas en el Hardware.

8. Tormentas Eléctricas.

2. ALCANCE

Son objeto de análisis para la confección de este Plan de Seguridad las tecnologías informáticas y de comunicación que posee la la Dirección Provincial de Educación.

Este plan abarcará todas las tecnologías informáticas instaladas en la la Dirección Provincial de Educación. El equipamiento destinado para este fin se detallan en el ANEXO 1.

Los locales no está están climatizados pero tienen las garantías de seguridad física. Posee rejas y puertas con cerraduras apropiadas.

3. DEFINICIONES

A los efectos del presente Plan se considera:

1. Confidencialidad: Que la información sea revelada solo a los usuarios autorizados, en la forma y tiempo determinado.

Aquella que sin ser clasificada puede considerarse vital por la Dirección Provincial de Educación para sus operaciones y cuya pérdida o modificación no autorizada altere o pueda alterar la capacidad de gestión de la misma, ocasione o pueda ocasionar pérdidas en valores, o pueda ser perjudicial para la integridad física o moral de una persona.

2. Integridad: La información que será revelada exclusivamente a los usuarios autorizados, en la forma y tiempo determinada.

3. Disponibilidad: La información que sea modificada, incluyendo su creación y borrado, sólo por personal autorizado.

4. Patrones: La información que sea utilizable cuándo y cómo lo requieran los usuarios autorizados en el caso de las micro computadoras son el Sector de arranque y todos los ficheros del Sistema importantes para el correcto funcionamiento de la máquina (Autoexec.bat, Config.sys, etc)

4. REFERENCIAS

Las referencias consultadas para la elaboración del Plan de Seguridad y Contingencia fueron:

La Resolución No. 06 de 1996 del Ministerio del Interior MININT "Reglamento sobre la Seguridad Informática"

La Resolución No. 204 de 1996 del Ministerio de la Industria Sideromecánica y Electrónica SIME "Reglamento sobre la Protección y Seguridad Técnica de las Tecnologías Informáticas".

El Decreto Ley 186 de 1998 sobre el Sistema de Seguridad y Protección Física.

Las orientaciones de la Dirección de Protección del Ministerio del Interior MININT.

Las orientaciones y regulaciones emitidas por la DP SEGURMATICA y el Laboratorio Iberoamericano de Virus Informáticos.

Reglamento del Comité de Protección Física de la Dirección Provincial de Educación

Las regulaciones emitidas por el Director de la Dirección Provincial de Educación

5. CARACTERIZACIÓN

La Dirección Provincial de Educación de Matanzas radica en calle Matanzas entre Medio y Río

FUNCIONES.

1. Orientar, evaluar y controlar las actividades relacionadas con el uso de la microcomputadora en función de la gestión propia del centro.

2. Implantar, operar y supervisar el buen funcionamiento de los sistemas de computación diseñados.

El sistema Informático para el centro es de gran importancia, pues constituye una herramienta fundamental para el trabajo en general de la la Dirección Provincial de Educación. Disponemos de servicio de correo electrónico y estamos conectados a la Red Territorial rectorada por __________

6. ESTRUCTURA DE GESTIÓN.

1.- Dada las características del centro, <nombre del responsable de Seguridad Informática>, es el encargado de la Seguridad Informática. Este especialista está subordinado a: ______________________

3.-Entre las funciones, responsabilidades y obligaciones de la persona referido en el punto anterior se encuentran:

a)Controlar porque se implanten y cumplan todas las medidas de Seguridad Informática que se establezcan en el siguiente Plan de Seguridad Informática. En caso de incumplimientos de las mismas lo informará por escrito a los niveles superiores.

b) Elaborar los procedimientos indispensables para garantizar la seguridad de los Sistemas Informáticos.

c) Establecer el chequeo previo y posterior de todo soporte magnético que participe en actividades de carácter nacional o internacional, con

el objetivo de evitar la posible propagación de algún virus informático y sus consecuencias.

d) Controlar de forma sistemática la integridad de todo software que se encuentra autorizado para su explotación.

e) Velar porque se apliquen los productos de protección actualizados y certificados.

f)Registrar los virus que aparezcan en el centro y tratar de determinar quienes lo introducen y cómo, sea de forma intencional o no.

g) Ante indicios de contaminación por un virus informático nuevo o desconocido, aislarlo o apagar el equipo y preservar la microcomputadora infestada y comunicarse con la DPE de Servicios Informáticos (ESI) representantes de (SEGURMATICA) en el municipio.

- <nombre del responsable de Seguridad Informática>, profesor de la la Dirección Provincial de Educación. Se encargará de la adquisición de los sistemas y programas de aplicaciones requeridos para el desarrollo del trabajo, que no existan en el mismo.

7. SISTEMA DE MEDIDAS PARA LA SEGURIDAD INFORMÁTICA

7.1 MEDIDAS ADMINISTRATIVAS Y ORGANIZATIVAS.

7.1.1. Políticas de Seguridad.

Los bienes informáticos a proteger son el hardware y el software. De ellos se hará hincapié en el cuidado del software y los datos porque están mas expuestos al deterioro por el uso.

Las características a priorizar son: la confidencialidad y la disponibilidad.

El control de acceso a la información será de mínimo privilegio, cada persona tendrá acceso a la información imprescindible para su trabajo.

7.1.2. Clasificación de la información.

La información que se procesa en las tecnologías Informáticas de la Dirección Provincial de Educación es del tipo sensible en su clasificación.

La categoría de clasificación de la información estará en correspondencia con lo establecido por la ley de Secreto Estatal.

7.1.3. Personal.

El Responsable de Seguridad Informática de la DPE y el resto del personal que trabajará permanente o eventualmente en estas tecnologías son confiables y estarán autorizados por el Director. El Modelo 9. “Listado nominal de usuarios “, el cual puede ser modificado en interés de la Dirección y por el propio Director a propuesta del consejo de Dirección.

7.1.4. Responsabilidades.

Entre las funciones, responsabilidades y obligaciones del especialista responsabilizado con los equipos están:

Cumplir todas las Medidas para la Seguridad Informática que se establecen en el presente Plan.

Aplicar los productos antivirus actualizados y certificados.

Crear las condiciones necesarias y someter al proceso de cuarentena todo nuevo software y de que se prevea su generalización.

Realizar las actividades previstas en la revisión de los soportes magnéticos que se introduzcan en su área de responsabilidad.

Habilitar y llenar los registros establecido en los Modelos del 1 al 7 de este Plan.

Apoyar y participar en el estudio y aplicación del sistema de seguridad de las tecnologías informáticas y de comunicaciones, y en la determinación de las causas y condiciones que propician un hecho de violación en el uso y conservación de estos equipos y la información que se procese, intercambie, reproduzca y conserve en los mismos.

El intercambio de sistemas y programas de aplicaciones mediante las tecnologías de comunicaciones se realizará de la siguiente manera: Previamente al envío de información, se utilizará un programa identificador/descontaminador de virus para revisar los ficheros ejecutables que van a ser transmitidos y posteriormente a la recepción de ficheros ejecutables se someterá a los mismos al proceso de cuarentena establecido.

El Responsable de Seguridad Informática de la Dirección Provincial de Educación. velará por que las aplicaciones cumplan con las medidas de protección orientadas para las tecnologías informáticas e informará a las instancias competentes cuando se produzcan incumplimientos en este sentido.

Creará un disquete sistema con la salva de los patrones fundamentales; SECTOR DE PARTICIONES, SECTOR DE ARRANQUE, CONFIG.SYS, AUTOEXEC.BAT y cualquier otro necesario, con vistas a la restauración de los mismos al producirse cualquier incidente que las afecte y se actualizará este disquete al modificarse alguno de los patrones.

Implantación de mecanismos de protección contra acceso no autorizado.

Analizará periódicamente los registros de auditoría.

Ejecutará auditorías periódicas y velará por el cumplimiento de las regulaciones dispuestas en este Plan.

Capacitar al personal con el objetivo de contribuir al conocimiento y cumplimiento de las medidas establecidas en el presente Plan..

7.2.- MEDIDAS DE SEGURIDAD FÍSICA.

Áreas a Proteger.

Oficina de la Directora

Centro de Cálculo

Centro de Computación de metodólogos

Abastecimientos

Contabilidad

7.2.1.1. Ubicación.

La ubicación geográfica del área se muestra en el ANEXO 3.

7.2.1.2. Barreras Físicas.

Los locales donde están instaladas las tecnologías informáticas tienen una construcción sólida. Poseen una puerta; que da acceso al pasillo, por el frente, tiene buena seguridad compuesta por rejas y candados en puertas y rejas.

No existen equipos cercanos que emitan ondas electromagnéticas ni pasan tuberías de agua ni instalaciones sanitarias que puedan afectar las tecnologías. No se dispone de extintores por lo que se recomienda que se adquieran los mismos y sean ubicados en la entrada del local, el personal deberá ser capacitado para sofocar incendios

7.2.1.3. Sistema de Control de Acceso.

1. A los Dptos. Que poseen tecnología informática solo tienen acceso los trabajadores del mismo, otras personas de la entidad o un visitante externo podrán acceder a estos locales con la autorización del y siempre en presencia de un trabajador o el propio J' de Dpto o Subdirector.

Para el acceso al local, donde están las tecnologías informáticas, sólo lo autoriza el J' de Dpto o Subdirector. El Técnico encargado de dar mantenimiento a este equipamiento será debidamente seleccionado así como el resto del personal que pueda recibir los servicios, incluyendo el responsable de seguridad informática que tendrá libre acceso y será el responsable de auditar y velar por que se cumplan todas las medidas de protección y seguridad

En caso de detectarse violación de las puertas de entrada, se comunicará inmediatamente al Director, al Responsable de Seguridad Informática y al Responsable de Protección Física, los cuales procederán de acuerdo a la magnitud del hecho. Se preservará el lugar hasta que se autorice lo contrario.

Medios Técnicos de Detección contra Intrusos

No se dispone de alarma contra intrusos

7.2.2. Protección Física a los Equipos.

7.2.2.1. Ubicación.

Las tecnologías informáticas estarán ubicadas en los, que reúnen las condiciones apropiadas de seguridad. El Correo electrónico está instalado, mantienen comunicación con la intranet del territorio así como organismos de carácter nacional.

7.2.2.2. Mecanismos de Protección Física Aplicados.

Las microcomputadoras no disponen de dispositivos de seguridad física. Se prevé la realización del aterramiento de los mismos donde los equipos estarán conectados a tierra, cuyo parámetro sea como mínimo de 3-10 Ohm para proteger a los operadores y a los equipos de descargas eléctricas y otras eventualidades.

7.2.2.3. Control de Acceso a la Tecnologías.

El J'. del Dpto. y/o Subdirector en cada caso, determinarán como utilizará el personal bajo su dirección de forma tal que se logre un uso racional de las tecnologías informáticas.

Para que una persona externa al LOCAL tenga acceso a las tecnologías informáticas y de comunicaciones será necesario la autorización del Jefe del Departamento o el Subditrector , y lo harán sin excepción en presencia de una persona del área.

El personal para la reparación de las tecnologías informáticas de la Dirección Provincial de Educación. tendrá acceso a la microcomputadora que requiera sus servicios, siempre en compañía de una de las personas responsabilizadas con dicha máquina.

Además pueden entrar a todos los locales que poseen tecnología informática:

Trabajador de la ESI encargado de la protección contra virus, para la instalación de los productos antivirus.

Responsable de Seguridad Informática de la Dirección Provincial de Educación. Para verificar el cumplimiento de las medidas de seguridad informática.

Los miembros del equipo que realiza las auditorias, en cumplimiento de estas tareas.

7.2.3 Soportes de Información.

7.2.3.1. Identificación.

Todo soporte con información que entre o salga del local, tendrá identificado en su etiqueta el contenido del mismo.

A los soportes magnéticos que contengan las salvas se les pondrá en un lugar bien visible una etiqueta que identifique la unidad, la fecha y el nombre de la salva, el nivel de clasificación, la periodicidad y el ciclo de retención.

7.2.3.2.Conservación.

Se adoptarán las medidas pertinentes para la conservación y custodia de los ficheros creados con fines de salvaguarda.

Las copias de las salvas (no menos de dos ejemplares) se tendrán en el local destinado para la conservación y custodia del material informático , detallándose nombre de la salva, ciclo de retención No. de soporte y lugar de conservación además se registrará en el registro de salvas (Modelo 6). El Responsable de Seguridad Informática del centro tendrá a su cargo la custodia de este material

7.2.3.3. Destrucción

De procesarse información clasificada, tendrá que hacerse en una máquina no conectada a la red y una vez concluido el trabajo, se borrará la información y se eliminará de la papelera de reciclaje.

La información en disketes será borrada mediante formateo de los mismos o su destrucción física

7.2.3.4. Traslado.

Para el traslado de información proveniente de otra entidad o hacia otra entidad, se anotará en el Registro De Entrada/Recepción de Soportes Magnéticos (Modelo 5).

7.3.-MEDIDAS DE SEGURIDAD TÉCNICA O LÓGICA.

7.3.1.Protección de Entrada a las Tecnologías de Información.

El responsable de seguridad Informática implementará claves de acceso desde el SETUP y en refrescadores de pantallas, siendo imprescindible en las que procesan información clasificada o sensible.

7.3.2. Identificación y Autentificación de Usuarios.

A las tecnologías informáticas conectadas en la Dirección Provincial de Educación se les incorporarán mecanismos de identificación (código de identificación de usuario) y autenticación (contraseña de usuario).

Se garantizará que las contraseñas que se apliquen tengan un período de vigencia con cotas mínimas de 30 días y máximas 180 días de duración, que posean un mínimo de 8 caracteres alfanuméricos, al menos 2 de ellos de caracteres especiales, y que no permitan la duplicidad de las mismas. La contraseña será cambiada con la periodicidad adecuada, no pudiendo repetirse la misma contraseña antes de que hubiera transcurrido un año, como mínimo, desde que hubiera dejado de utilizarse, Todas estas contraseñas se anotarán en un documento único, por el Responsable de Seguridad Informática el cual será guardado con los documentos clasificados

de la DPE con la categoría de restringido en caso de emergencia tendrá acceso a este documento de las claves El Jefe Dpto. El Responsable de seguridad Informática será el encargado de actualizar el documento con las claves.

7.3.3. Control del Uso de los Recursos y de la Información.

Se anotará en el Registro y Control del Tiempo de Máquina la utilización de los recursos (papel, cinta, etc.) El control de la información se hará por los registros de salva, Entrega, Recepción de soportes, según el caso.

7.3.4. Contabilidad de las acciones que realizan los usuarios.

Se aplica el control de tiempo de máquina

7.3.5. Traza de Auditoría sobre Acciones que Amenazan la Seguridad.

Se implantarán mecanismos de control que permitan contar con una traza o registro de los principales eventos que se ejecutan y puedan ser de interés para la detección o esclarecimiento ante violaciones de la Seguridad Informática.

Los mecanismos de auditoría registrarán como mínimo: identificación de accesos (autorizados y no autorizados); según puesto de trabajo y usuario; hora, día, mes y año del acceso; movimiento de soportes (magnéticos, de papel, etc.); transmisión a distancia y otros.

7.3.6. Medidas que garantizan la integridad de los ficheros y datos.

El Responsable de Seguridad Informática de la Dirección Provincial de Educación tendrá la obligación de hacer revisiones periódicas en las tecnologías Informaticas.

Se mantendrá la información actualizada de la configuración, que permita el rápido restablecimiento de la misma y con la menor afectación posible ante la ocurrencia de hechos que así lo requieran.

El disco duro estará organizado en Directorios y Sub directorios y solamente estarán en la raíz del disco los programas asociados al sistema operativo, con los atributos de sólo lectura y ocultos.

Quien detecte indicios de difusión de mensajes contrarios al interés social, la moral y las buenas costumbres, o la integridad o seguridad del estado, debe comunicarlo de inmediato al Responsable de Seguridad Informática de la Dirección Provincial de Educación

7.3.7. Protección Contra Programas Dañinos.

El Responsable de Seguridad Informática de la Dirección Provincial de Educación exigirá cada vez que entre una nueva versión del Software antivirus actualizado, al Responsable de esta actividad en la ESI, representante de SEGURMATICA en el territorio y lo instalará personalmente a las tecnologías informáticas.

El Responsable de Seguridad Informática de la Dirección Provincial de Educación estará en la obligación de verificar sistemáticamente (Cada 15 días) el estado de la seguridad de estas tecnologías, brindando de forma diferenciada y preferencial la asesoría a los especialistas que utilizarán este equipamiento cada vez que haya modificaciones en las versiones de los software antivirus y de otro tipo seleccionado para este equipamiento se aplicará el software antivirus suministrado por SEGURMATICA , incluyendo un software internacional sugerido por esta entidad.

El Responsable de Seguridad Informática de la Dirección Provincial de Educación y el Asesor de Informática serán los encargados de someter a un diagnóstico el software en proceso de cuarentena, utilizando software antivirus nacionales e internacionales y establecerán coordinaciones de trabajo con los especialistas de la ESI para ejecutar esta tarea. Se utilizará el equipo destinado a los Especialistas de Seguridad Informática.

Sé prohibe terminantemente el intercambio de códigos de virus entre personas o grupo de personas. El Especialistas de Seguridad Informática de la Dirección Provincial de Educación. es el único autorizado ante la aparición de un virus nuevo a entregarlo al Especialistas de Seguridad Informática del territorio quien lo hará llegar posteriormente a SEGURMÁTICA.

7.3.8. Sistemas de Protección Criptográfica.

No se prevé habilitar un sistema de protección criptográfica

7.3.9. Seguridad de las Redes de Datos Abiertas.

Las tecnologías informáticas y de comunicaciones preparadas para la transmisión de datos estarán protegidas contra el acceso de personal no autorizado al uso de las mismas.

La transmisión de información a través de redes de transmisión de datos, se hará siempre contando con la autorización correspondiente.

El vadministrador de la red de teletransmisión de datos guardará por un período de un mes, la constancia de las comunicaciones efectuadas por cada uno de los usuarios, así como, el tiempo de comunicación y destinatario.

Se establecerá un "Registro de control de Transmisión" donde se registren los datos relativos al inventario de los equipos, las personas autorizadas a utilizarlos, protocolo de transmisión y otros.

7.3.10. Corta Fuego para Conexión Segura.

No se dispone de este sistema.

7.3.11. Control de Acceso.

Solamente tendrá derecho a borrar, modificar y entregar información, software y ficheros en general el personal que opera directamente cada equipo, el cual asumirá la responsabilidad de cualquier hecho que no se ajuste a lo establecido en este Plan.

7.4.-MEDIDAS DE SEGURIDAD DE OPERACIONES.

7.4.1. Criterios para la Selección de Mecanismos de Seguridad

Para la selección de los mecanismos de seguridad se han tenido en cuenta las plataformas que utiliza la Dirección Provincial de Educación. Para su trabajo en todos los casos se realizaron pruebas que demostraron su efectividad.

7.4.2. Sistemas de Salvas y Restauras

Se establece con carácter obligatorio las salvas o copias de seguridad de la información en el soporte adecuado y con la periodicidad y ciclo de retención que se indican mas adelante, según las necesidades particulares de actualización de la misma para lo cual se habilitará un "Registro de Salvas (Modelo 6)". Estas salvas estarán siempre debidamente actualizadas.

La periodicidad de las salvas será función del ritmo de modificación de los ficheros, de tal manera que en caso de no disponer de estos, los ficheros salvados permitan reanudar los tratamientos sin pérdida de información.

Para el calendario de salvado se establecerán 2 niveles:

PRIMER NIVEL: Copias del Sistema Operativo y Utilidades; con periodicidad baja, se tendrán las salvas (o discos originales) debido a los cambios de versiones.

SEGUNDO NIVEL: Programas y Aplicaciones; con una periodicidad mayor, se salvarán cada vez que exista un cambio en los mismos.

7.4.3. Mantenimiento y Reparación de los medios Técnicos.

El mantenimiento y reparación de los equipos se hará en presencia y bajo la supervisión del especialista responsable. Se designará por el área de Servicios Técnicos el especialista encargado de esta actividad y se hará constar cada reparación o mantenimiento en el Libro de Incidencias (Modelo 2) y en el Formulario establecido para cada uno de los equipos.

7.4.4. Control del Uso, Traslado y Entrada de Tecnologías de Información.

Los soportes magnéticos que contienen información, sistemas y/o, programas de aplicación de las tecnologías informáticas pertenecientes a la Gestión Administrativa de la la Dirección Provincial de Educación solo pueden introducirse y/o extraerse con la anuencia del Jefe de Dpto. o la Analista principal (Modelo 4) habilitado al respecto..

En cada soporte magnético se señalizará en forma clara y visible su No. De registro y su contenido fundamental.

Para utilizar soportes de propiedad personal o de otra entidad será necesario contar con la autorización de la Analista principal, debiendo ser revisados contra virus informáticos u otros programas dañinos.

Al solicitarse y entregarse los soportes magnéticos a los trabajadores se asentarán en el "Registro de Entrega/Recepción" (MODELO 5). Al ser devueltos los soportes magnéticos se revisarán contra virus informáticos y después se hará constar la devolución en el Registro.

El traslado de los soportes magnéticos se realizará respetando las normas de conservación de los mismos, con el objetivo de garantizar la integridad y confidencialidad de la información que contienen y cumplirán las medidas de protección establecidas.

Cualquier movimiento, traslado de las tecnologías informáticas fuera del local para una reparación o por cualquier eventualidad, debidamente autorizada se anotara en el Libro de Incidencias (Modelo 2). Aclarando en observaciones motivos y hacia donde va, así como todos los datos de la persona que traslade el equipo y quede bajo su custodia, por parte de contabilidad se hará el movimiento de tarjeta de medio básico

7.4.5. Pruebas de Inspección.

El Responsable de Seguridad Informática realizará inspecciones y chequeos, para evaluar el funcionamiento de las protecciones aplicadas y su efectividad. Emitirá un informe, el cual entregará y discutirá con el Jefe de Dpto, proponiendo los cambios que considere oportunos.

A los 30 días de la entrada en vigor del Plan de Seguridad Informática y después de los chequeos previstos en el párrafo anterior, se realizará la primera auditoria interna para evaluar la situación que presenta la implantación del mismo. Posteriormente con una periodicidad no mayor de 6 meses deberán continuar realizándose estas auditorias internas.

7.4.6. Registros.

Toda acción que se realiza dentro del Local destinado a las tecnologías informáticas se anotarán en los registros habilitados para ello, anexados a este Plan. A continuación se relacionan todos los modelos utilizados.

MODELO 1.- REGISTRO DE ENTRADA DE SOFTWARE. No. Consecutivo Nombre del Software Tipo de Software Tipo de Soporte y Cantidad Documentación Procedencia Suministrador (Organización y/o

Persona) Fecha de Entrada Versión Fecha de Baja Observaciones

MODELO 2.- LIBRO DE INCIDENCIAS No. De Inventario del Equipo Fecha Hora Observaciones Nombre y firma

MODELO 3.- REGISTRO DE CONTROL DE TRANSMISIÓN. Inventario del equipo Personas autorizadas Nombre de la Red Protocolo de transmisión Vía de comunicación que utiliza Observaciones

MODELO 4.-REGISTRO DE SOPORTES MAGNÉTICOS No. Consecutivo en el registro Contenido fundamental del soporte Trabajo para el que se destina Grado de clasificación de la

información Nivel de acceso del soporte Fecha y hora de entrada Fecha y hora de baja Observaciones

MODELO 5.-REGISTRO DE ENTREGA / RECEPCIÓN DE SOPORTES MAGNÉTICOS.

No. Del soporte magnético Contenido fundamental del soporte Entrega: Nombre y firma de quién entrega el

soporte Nombre y firma de quién recibe el soporte Objetivo de utilización del soporte Conservación de la relación interna Fecha y hora de entrega Recepción Nombre y firma de quién devuelve el

soporte Nombre y firma de quién recibe el soporte

Resultado de la comprobación contra la relación interna

Resultado de la revisión contra virus Fecha y hora de recepción

MODELO 6.- REGISTRO DE SALVAS.

Nombre de la Salva o Software originalNivelPeriodicidadCiclo de retenciónSoporteResponsableLugar de conservaciónObservaciones

MODELO 7. REGISTRO Y CONTROL DEL TIEMPO DE MAQUINA

Nombre del OperadorTrabajo que realizóFechaHora de inicioHora de finObservaciones

MODELO 8.-LIBRO DE CONTROL DE VISITAS

Pase No. Fecha Nombre y Apellidos

Centro de Trabajo Hora Entrada Hora Salida Dependencia Visitada. Autorizado Por

Carné No.

MODELO 9.-REGISTRO DE INFORME DE AUDITORÍAS E INSPECCIONES.

Número de Equipo Auditores o Inspectores Violaciones cometidas Evaluación final Plan de Acción

Medida a Ejecutar Fecha de cumplimiento Responsable

7.4.7. Auditoría.

Se realizarán auditorias periódicas del cumplimiento de las medidas de seguridad informática por el personal designado por la Dirección Provincial de Educación (Ver Modelo 9) y auditorias anuales por una Empresa especia-lizada.

En cuanto a las diferentes medidas se comprobará fundamentalmente lo siguiente:

Que esté implantado el sistema de nivel de acceso a los locales donde están instalados los equipos de computación.

Que los equipos estén correctamente instalados según las normas correspondientes y que el C. Cálculo cuenten con las condiciones requeridas tanto técnicas (climatización y/o, ventilación, instalación eléctrica, líneas de comunicaciones, etc.) como de protección física (sistema de detección, cierres seguros, sellaje, extintores, etc.).

Que estén implantados los mecanismos de identificación y autenticación de usuarios y de control de acceso y que éstos cumplan los requisitos establecidos.

Que estén implantados los mecanismos para el control y modificación de las claves de acceso de acuerdo a lo establecido en este Plan.

Que todos los equipos estén protegidos con productos antivirus y que éstos estén actualizados, que se cumplan las normas en cuanto a protección contra escritura en los disquetes que contienen sistemas, programas e información que no requiere actualización periódica, así como que se cumpla con el proceso de cuarentena para el software nuevo y las demás regulaciones de protección contra virus informáticos.

Que se tenga la información necesaria para la restauración de la configuración.

Que todos los soportes magnéticos estén debidamente registrados y que no estén utilizándose soportes ajenos a el centro sin la autorización establecida. Se comprobará también que todos estén debidamente identificados.

Que se realicen y posean debidamente registradas las salvas o copias de seguridad, según la periodicidad establecida y en el soporte mas adecuado, de la información sensible para la buena marcha del sistema de el centro.

Como resultado de las auditorias (tanto internas como externas) se elaborará un "Informe de Auditoría" (Modelo 9), donde sé detallarán las violaciones detectadas y se calificará el resultado de las áreas (Excelente, Satisfactorio y No Satisfactorio) así como se propondrá un Plan de Medidas para solucionar las dificultades encontradas con los responsables y tiempo máximo para ello. Los responsables de las Entidades responderán por la ejecución integral de dicho Plan.

7.5.-MEDIDAS EDUCATIVAS O DE CONCIENTIZACIÓN.

7.5.1 Divulgación de los aspectos claves para garantizar la seguridad

El Responsable de Seguridad Informática de la la Dirección Provincial de Educación organizará seminario, charlas, encuentros y otras formas, para la capacitación a todo el personal de el centro, haciendo énfasis en los trabajadores que laboran directamente con las tecnologías informáticas y que deban ser de dominio general.

Además fijará en lugar visible en el C. Cálculo donde se encuentran las microcomputadoras aquellas medidas que resulte de vital importancia cumplimentar.

7.5.2 Programa de Preparación

El responsable de seguridad informática impartirá Seminarios a las diferentes áreas según este programa:

Estudio y divulgación del Plan de Seguridad informática y de Contingencia con todo el personal de el centro.

Entrenamiento en la utilización del software antivirus y otras técnicas de protección al personal que tenga incidencia directa con las técnicas de información.

7.5.3 Sanciones

Este Plan de Seguridad Informática será de conocimiento de todos los trabajadores y dirigentes. El incumplimiento de lo plasmado en este documento será considerado como una violación de la disciplina de Seguridad Informática y los infractores quedarán expuestos a las medidas que para estos casos se encuentran establecidas en el Reglamento Disciplinario de el centro, en el Código de Ética de los Cuadros y de considerarse oportuno, se le comunicará a la dependencia del MININT del territorio encargada de esta actividad.

7.6-MEDIDAS LEGALES.

la Dirección Provincial de Educación mantendrá contratados con la ESI los productos antivirus para la protección de los equipos de computación a que se hacen referencias en el presente Plan. ( SAV, CVP SAVMACRO Y OTROS).

Se emitirá, Circular Interna en la DPE nombrando al Responsable de Seguridad Informática para la Dirección Provincial de Educación y poniendo en vigor el Plan de Seguridad Informática y de Contingencia para tecnologías informáticas

7.7 MEDIDAS GENERALES

La implantación del Plan de Seguridad Informática en la Dirección Provincial de Educación se realizará de inmediato. Las cuestiones que tienen que ver con requerimientos de tipo tecnológico para la protección y/o, funcionamiento de los equipos que requieren de inversiones serán priorizadas en los planes para su adquisición.

ANEXOS

ANEXO 1

LISTADO DE LAS TECNOLOGÍAS INFORMÁTICAS.

AREA EQUIPAMIENTO

Centro de Cálculo

1 Pentium II a 300 Mhz con kit de multimedia.

2 Pentium II (todos con discos duros de 4,3 Gb

Laboratorio de Metodólogos

6 Terminales Pentium II, discos duros 4,3 Gb

Area Económica

3 Terminales Pentium II, discos duros 4,3 Gb

Enseñanza Primaria

1 computadora 486

2 Pentium II, disco duro 4,3 Gb

Area de Asesores

1 Pentium II con kit de multimedia, disco duro 4,3 Gb

Dirección

1 Pentium II a 400 mhz, disco duro 4,3 Gb

ANEXO 2.

ORGANIGRAMA DE la Dirección Provincial de Educación.

ANEXO 3

RESPONSABLES DE SEGURIDAD INFORMÁTICA POR ÁREAS.

ANEXO 4

CROQUIS SOBRE UBICACIÓN GEOGRÁFICA DE LAS ÁREAS Y LOCALES QUE COMPONEN la Dirección Provincial de Educación.

8.1. PLAN DE CONTINGENCIA (se anexa)

8.2. MANUAL DE PROCEDIMIENTOS.

CODIGO TITULOOM Organización del Manual de Procedimientos de SeguridadSCA Sistema de Control de Acceso a los locales

SCATI Sistema de Control de Acceso a las Tecnologías de la Información

DITI Divulgación de Información a través de las Tecnologías de Información

UTIC Sobre el uso de las Tecnologías de la Información para el tratamiento de la información Clasificada

EE Eventos y ExposicionesPPD Protección contra programas dañinosAUD AuditoriasINS InspeccionesREG Registros

CONT Contingencias

Organización del Manual de Procedimientos de Seguridad

El Manual de Procedimientos de Seguridad Informática para el Plan de Seguridad Informática y de Contingencia agrupa los procedimientos que permiten la ejecución práctica del sistema de medidas planteado. Para su mejor comprensión se agrupa por temas.

Para garantizar la protección de las tecnologías de la Dirección Provincial de Educación, se sustenta en las normativas y disposiciones siguientes:

1. Ley 1246/73 sobre la Seguridad y Protección del Secreto Estatal.

2. Ley 1321/76 Sobre Seguridad y Protección Física.

3. Reglamento de Protección Física de la Dirección Provincial de Educación

4. Reglamento Disciplinario de la Dirección Provincial de Educación

5. Código de Etica de los Cuadros.

6. Regulaciones emitidas por el Jefe Dpto. de la Dirección Provincial de Educación relacionadas con la Seguridad Informática.

TITULO: CONTROL DE ACCESO A EL CENTRO DE CALCULO.

1.- OBJETIVO: Regular el acceso al local donde se encuentran las tecnologías informáticas, tanto de personas como de las propias tecnologías.

2.- ALCANCE: Area donde se encuentra el equipamiento para el acceso al correo y la red territorial

3.- REFERENCIA: No procede.

4.- DEFINICIONES: No procede.

5.- ANEXOS:

MODELO 2.- LIBRO DE INCIDENCIAS No. De Inventario del Equipo Fecha Hora Observaciones Nombre y firma

MODELO 7. REGISTRO Y CONTROL DEL TIEMPO DE MÁQUINANombre del OperadorTrabajo que realizóFechaHora de inicioHora de finObservaciones

6.- RESPONSABILIDADES:

Específicamente relacionadas con el local donde se encuentra el equipamiento

7.- DESARROLLO:

Al local donde se encuentra el equipamiento tendrán acceso las personas que se definen en el presente plan. Para cualquier otra persona, no incluida en el Listado, debe existir una autorización del Jefe de Dpto. y anotarse en el Registro y Control del Tiempo de Máquina.

A este local tendrán acceso además:

Responsable de Seguridad Informática para verificar el cumplimiento de las medidas de seguridad informática

Miembros del equipo que realiza las auditorias, en cumplimiento de esta tarea.

Personal de mantenimiento y de limpieza (en gestiones propias de su trabajo y siempre en presencia del Responsable del local).

Técnico de Servicios Técnicos en funciones de reparación o mantenimiento.

La entrada y salida de tecnologías del C. Cálculo se comporta de la siguiente manera:

La entrada y salida de las Tecnologías de Información a estos locales está regulada, siendo el Responsable de Seguridad Informática o el Jefe de Dpto. los que autorizan el movimiento, lo cual asentarán en el Libro de Incidencias. Este movimiento se realizará solamente para reparación de las tecnologías. Cualquier otro tipo de movimiento dentro o fuera de el centro lo autoriza solamente el Director.

Sistema de Control de Acceso a las Tecnologías de la Información

Para el control de acceso a las tecnologías de información se dispone de un grupo normativas y regulaciones a fin de proteger estas tecnologías . Dichas normativas y regulaciones son:

1. El listado del personal autorizado con acceso a las tecnologías de información se encuentra relacionado en el Modelo. No. 9. El mismo será modificado solo con la autorización del Director de la Dirección Provincial de Educación y después de seguir los procedimientos de rutina (Se le propone al Director por parte del responsable de Seguridad Informática de la DPE de acuerdo a las condiciones político - morales y preparación del personal)

2. Las claves de acceso en el setup y refrescadores de pantalla se hará como máximo semestralmente. Las copias de las claves se guardaran en sobre lacrado en la oficina de información clasificada , a la cual tendrá acceso el Jefe de Dpto., y el Responsable de Seguridad Informática, en ese orden.

La copia de información hacia disquete se hará por el trabajador responsabilizado con el equipamiento siendo este el máximo responsable del equipamiento y la información que procesa.

TITULO: CONTROL DE ACCESO A LAS TECNOLOGÍAS DE INFORMACIÓN.

1.- OBJETIVO: Regular el acceso a las tecnologías informáticas de la Dirección Provincial de Educación.

2.- ALCANCE: Todas las tecnologías informáticas instaladas en la Dirección Provincial de Educación. Fundamentalmente las que se encuentran en la oficina de la Analista principal.



5.- ANEXOS:


6.- RESPONSABILIDADES: El Responsable de Seguridad Informática es el encargado de habilitar las medidas para el control de acceso a las tecnologías informáticas.

7.- DESARROLLO:

Para el control de acceso a las tecnologías de información se dispone de un grupo normativas y regulaciones a fin de proteger estas tecnologías. Dichas normativas y regulaciones son:

3. Las claves de acceso en el setup y refrescadores de pantalla se hará como máximo semestralmente. Las copias de las claves se guardaran en sobre lacrado en la oficina de información clasificada, a la cual tendrá acceso el Director y el Responsable de Seguridad Informática, en ese orden.

TITULO: DIVULGACIÓN DE INFORMACIÓN A TRAVÉS DE LAS TECNOLOGÍAS DE INFORMACIÓN

1.- OBJETIVO: Regular el acceso de información clasificada a las Tecnologías informáticas

2.-ALCANCE: Local donde está el equipamiento



5.- ANEXOS: No procede.

6.- RESPONSABILIDADES: El Responsable de Seguridad Informática es el encargado de evitar la entrada de información clasificada o sensible a estas tecnologías informáticas.

7.- DESARROLLO: Está terminantemente prohibido la conexión de las microcomputadoras donde se procese información clasificada y/o sensible, debiendo crearse el compromiso entre los usuarios de este servicio de cumplirlo.

TITULO: SOBRE EL USO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN PARA EL TRATAMIENTO DE INFORMACIÓN CLASIFICADA.

1.- OBJETIVO: No procede.

2.- ALCANCE: No procede.




6.- RESPONSABILIDADES:

7.- DESARROLLO:

TITULO: EVENTOS Y EXPOSICIONES

1.- OBJETIVO: Controlar la utilización de las Tecnologías informáticas en eventos y exposiciones.

2.- ALCANCE: Tecnología informática.




6.- RESPONSABILIDADES:.De autorizarse por el Director, de forma excepcional, utilizar este equipamiento en eventos o exposiciones el Responsable de Seguridad Informática será el encargado de todo lo relacionado por su custodia.

7.- DESARROLLO:

Se evitará llevar a un evento o exposición el equipamiento que se destina a la conexión del correo electrónico. En caso que sea absolutamente necesario

(teniendo en cuenta que se prescindirá de este servicio en el centro durante los días que sesione el evento o permanezca abierta la exposición), se mantiene la autorización de comunicación sólo a las personas autorizadas para ello.

PROTECCIÓN CONTRA PROGRAMAS DAÑINOS.

El procedimiento para la protección contra programas dañinos es el siguiente:

1. Instalar un centinela antivirus, de procedencia Nacional o Internacional, de acuerdo a lo sugerido por Segurmática.

2. Disponer de Descontaminadores Nacionales e Internacionales de acuerdo a lo sugerido por Segurmática.

3. No obstante, se debe hacer revisión al menos semanal del disco duro con el descontaminador.

4. Toda Información que se transmita o se reciba será revisada con el software antivirus y de considerarse que pudiera tener virus informático a pesar de ello, se entregara el disquete con la información al Responsable de Seguridad Informática escuela para su proceso en cuarentena. Se borrara esta información del disco duro.

TITULO: PROCESO DE CUARENTENA.

1.- OBJETIVO: Asegurar que los ficheros y documentos no contengan virus informático.

2.- ALCANCE: Documentos de WORD y ficheros ejecutables que se obtenga ya sean a través del correo electrónico, de INTERNET o mediante terceros.




6.- RESPONSABILIDADES: Responsable de Seguridad Informática de la Dirección Provincial de Educación será el encargado de solicitar la cooperación de especialistas.

7.- DESARROLLO: El proceso de cuarentena a la que se someten los ficheros de programas y aplicaciones, así como los documentos WORD contiene los siguientes pasos:

1. Anotación de sus patrones (tamaño, fecha y hora).

2. Revisión contra virus informáticos.

3. Instalación o copia en una microcomputadora no comprometida con el sistema de información vigente en el centro, de la que se conozca exactamente la cantidad de ficheros que se tienen y sus patrones (tamaño, hora y fecha). Para el caso de documentos WORD, debe tener instalado el Microsoft Word.

4. Para las aplicaciones o sistemas:

Salva del sector de particiones y sector de arranque de la microcomputadora.

Su ejecución repetidamente bajo distintas condiciones (en distintos horarios del día, durante varios días consecutivos ó logrando simularlo cambiando la fecha y hora del sistema; aumentando el espacio ocupado en disco).

Comprobar que en la microcomputadora no se alteró la cantidad de ficheros existentes ni sus patrones.

Para los documentos de WORD:

Abrir el fichero en Word.

Abrir otros ficheros, nuevos y/o ya existentes, y elegir opciones tales como Salvar como, Guardar, Cerrar.

El proceso se repetirá varias veces, en distintos horarios y distintos días de la semana y el mes, o simulando este efecto cambiando la hora y fecha del sistema.

Comprobar que todos los ficheros utilizados para la prueba se conservan con la información no alterada, que se imprimen correctamente y que no se han alterado ninguno de sus patrones anotados. Asimismo se revisará que la microcomputadora conserve toda la información que contenía inicialmente.

TITULO: ¿CÓMO AISLAR UN VIRUS?

1.- OBJETIVO: Reglamentar los pasos a seguir ante la aparición de un nuevo virus.

2.- ALCANCE: Ficheros y programas de aplicaciones, así como documentos de WORD que lleguen a través del correo electrónico o terceros e infectados por un virus nuevo en Cuba.


4.- DEFINICIONES:

Aislar un virus: es tomar una muestra del mismo en un disquete


6.- RESPONSABILIDADES: -_________________ principal es la encargada de llevar a cabo todo el proceso.

7.- DESARROLLO:

Partiendo del hecho de que se ha detectado la presencia de un virus, se pueden seguir los siguientes pasos:

Aislar un virus infector del sector de arranque o del sector de particiones.

1.- Inicializar el sistema desde el disco infectado en modo MS-DOS, con el fin de que el virus se instale residente en la memoria.

2.- Seleccionar un disquete vacío cuyo sector de arranque sea conocido o se tenga salvado y colocarlo en la unidad de disquete.

3.- Acceder al mismo y ejecutar comandos como DIR, COPY.

4.- Inicializar el sistema desde el disquete sistema no infectado y comprobar que el sector de arranque del disquete utilizado para tomar la muestra del virus ha sido alterado.

Aislar un virus infector de aplicaciones genéricas y documentos de WORD.

1.- Seleccionar un disquete vacío y copiar hacia él los programas infectados.

Nota: En ambos casos, si el virus fue detectado con un programa identificador se debe comprobar que la muestra ha sido correctamente tomada revisando el disquete.

TITULO: PASOS A SEGUIR DURANTE LA AUDITORIA.

1.- OBJETIVO: Comprobar que se están cumpliendo con las medidas planteadas en el Plan de Seguridad Informática.

2.- ALCANCE: Todos los técnicos y las áreas comprometidas con el Plan de Seguridad Informática



5.- ANEXOS:

FORMATO DEL INFORME DE AUDITORIA.

MODELO 9.-REGISTRO DE INFORME DE AUDITORIAS E INSPECCIONES. Número de Equipo Auditores o Inspectores Violaciones cometidas Evaluación final Plan de Acción Medida a Ejecutar Fecha de cumplimiento Responsable

6.- RESPONSABILIDADES: La Responsable de Seguridad Informática, ________________, Analista principal será la encargada de realizar las auditorias.

7.- DESARROLLO:

Las auditorias se realizarán de forma sorpresiva y se comprobará fundamental-mente lo siguiente:

a) Que esté implantado el sistema de nivel de acceso a el C. Cálculo.

b) Que los equipos estén correctamente instalados según las normas correspondientes y que el C. Cálculo cuenten con las condiciones requeridas tanto técnicas (climatización y/o ventilación, instalación eléctrica, líneas de comunicaciones, etc.) como de protección física (cierres seguros).

c) Que estén implantados los mecanismos de identificación y autenticación de usuarios y de control de acceso y que éstos cumplan los requisitos establecidos.

d) Que exista la relación de software autorizados, que se mantenga actualizado, y por tanto coincida realmente con el software existente en las microcomputadoras.

e) Que los equipos se utilicen en las funciones para las que fueron asignados.

f) Que el equipo esté protegido con productos antivirus y que éstos estén actualizados, que se cumplan las normas en cuanto a protección contra escritura en los disquetes que contienen sistemas, programas e información

que no requiere actualización periódica, así como que se cumpla con el proceso de cuarentena para el software nuevo y las demás regulaciones de protección contra virus informáticos.

g) Que se tenga la información necesaria para la restauración del sistema informático.

h) Que todos los soportes magnéticos estén debidamente registrados y que no estén utilizándose soportes ajenos a el centro. Se comprobará también que todos estén debidamente identificados.

i) Que se mantenga la protección de las torres para evitar que se copie o se introduzcan disketes no autorizados.

Como resultado de las auditorias se elaborará un "Informe de Auditoria" donde se detallarán las violaciones detectadas y se calificará el resultado de las mismas (Excelente, Satisfactorio y No Satisfactorio) así como se propondrá un Plan de Acciones para solucionar las dificultades encontradas con los responsables y tiempo máximo para ello. El Director, responderá por la ejecución integral de dicho Plan. El formato de los “Informes de Auditoria” y del “Plan de Acciones” será el que se recoge en Anexos.

Las auditorias internas se harán trimestralmente durante el primer año de implantación del Plan de Seguridad. Después del primer año las auditorias internas serán semestrales y las externas cada dos años.

Se coordinará asimismo por parte del Responsable de Seguridad Informática de la Dirección Provincial de Educación, con una dependencia especializada en esta actividad para realizar las auditorias externas.

INSPECCIONES

TITULO: DESARROLLO DE LAS INSPECCIONES.

1.- OBJETIVO: Reglamentar cómo efectuar las pruebas de inspección.

2.- ALCANCE: Todos los técnicos y las áreas comprometidas con el Plan de Seguridad Informática



5.- ANEXOS:

MODELO 9.-REGISTRO DE INFORME DE AUDITORIAS E INSPECCIONES

Número de Equipo Auditores o Inspectores Violaciones cometidas Evaluación final Plan de Acción Medida a Ejecutar Fecha de cumplimiento Responsable

6.- RESPONSABILIDADES: El Responsable de Seguridad Informática de la Dirección Provincial de Educación, ______________, es la encargada de realizar estas pruebas.

7.- DESARROLLO:

Para las inspecciones se tiene previsto ejecutar al menos una vez al semestre pruebas dinámicas que simulen una contingencia para comprobar en la práctica la efectividad de los planes de seguridad y contingencias. Participará en esta dinámica el Responsable de Seguridad Informática de la Dirección Provincial de Educación y el Asesor de Informática.

Las pruebas que realizará el Responsable de Seguridad Informática serán:

Chequeará las tareas funcionales que debe efectuar cada cual de acuerdo a su responsabilidad.

Realizará inspecciones, efectuando pruebas en las que traten de violentar las medidas de seguridad.

La frecuencia de las pruebas en ambas direcciones dependerá del dominio de cada implicado de sus responsabilidades, en el primer caso, y de la detección o no de huecos en la seguridad, en el segundo.

El Responsable de Seguridad Informática cada vez que realiza una inspección anotará los resultados en el Registro de Auditorías e Inspecciones, que aparece en el Anexo

REGISTROS.

TITULO: REGISTRO DE ENTRADA DE SOFTWARE.

1.- OBJETIVO: Definir formato y forma de llenar este Registro.

2.- ALCANCE: Todos los nuevos software que se adquieran por la Dirección Provincial de Educación



5.- ANEXOS:

MODELO 1.- REGISTRO DE ENTRADA DE SOFTWARE. No. Consecutivo Nombre del Software Tipo de Software Tipo de Soporte y Cantidad Documentación Procedencia Suministrador (Organización y/o

Persona) Fecha de Entrada Versión Fecha de Baja Observaciones

6.- RESPONSABILIDADES: El Responsable de Seguridad Informática será el encargado de mantener actualizado el Registro.

7.- DESARROLLO:

En la medida que se vayan adquiriendo los software, tendrá que anotar todos los datos que se solicitan en el modelo.

TITULO: LIBRO DE INCIDENCIAS.


2.- ALCANCE: Todas la tecnologías.



5.- ANEXOS:

MODELO 2.- LIBRO DE INCIDENCIAS No. de Inventario del Equipo Fecha Hora Observaciones

Nombre y firma

(Todas constituyen columnas, en una hoja apaisada).


7.- DESARROLLO: En este libro se anotarán todos los hechos relevantes que ocurran en las tecnologías, como son roturas, traslados de equipos, detección de virus, anomalías en el sistema operativo, etc. Para ello utilizará la columna de Observaciones.

TITULO: REGISTRO DE CONTROL DE TRANSMISIONES.





5.- ANEXOS:

MODELO 3.- REGISTRO DE CONTROL DE TRANSMISION. Inventario del equipo Personas autorizadas Nombre de la Red Protocolo de transmisión Vía de comunicación que utiliza Observaciones



7.- DESARROLLO: El objetivo es tener un control sobre las transmisiones efectuadas y sus características, así como registrar en la columna Observaciones cualquier eventualidad o hecho relevante.

TITULO. REGISTRO DE SOPORTES MAGNÉTICOS.





5.- ANEXOS:

MODELO 4.-REGISTRO DE SOPORTES MAGNÉTICOS No. Consecutivo en el registro Contenido fundamental del soporte Trabajo para el que se destina Grado de clasificación de la

información Nivel de acceso del soporte Fecha y hora de entrada Fecha y hora de baja Observaciones



7.- DESARROLLO: Se Deberá tener controlado los soportes que se utilizan para las tecnologías y solamente estos son los autorizados a utilizarse, debiendo asentar todos los datos que solicita el registro definido en anexos.

TITULO. REGISTRO DE ENTREGA/RECEPCIÓN DE SOPORTES MAGNÉTICOS.


2.- ALCANCE: Todas las tecnologías.



5.- ANEXOS:

MODELO 5.-REGISTRO DE ENTREGA / RECEPCIÓN DE SOPORTES MAGNÉTICOS. No. del soporte magnético Contenido fundamental del soporte Entrega: Nombre y firma de quién entrega el soporte Nombre y firma de quién recibe el soporte

Objetivo de utilización del soporte Conservación de la relación interna Fecha y hora de entrega Recepción Nombre y firma de quién devuelve el soporte Nombre y firma de quién recibe el soporte Resultado de la comprobación contra la

relación interna Resultado de la revisión contra virus Fecha y hora de recepción



7.- DESARROLLO: Este Registro se aplica para la entrega y o recepción de soportes magnéticos que se utilizarán en las tecnologías. Recoge los datos básicos de las personas que entregan y reciben los soportes, así como la fecha y hora. Es importante la revisión del soporte para ala detección de virus informáticos cuando el mismo es devuelto al responsable de Seguridad Informática.

TITULO. REGISTRO DE SALVAS.


2.- ALCANCE: Todas la tecnologías



5.- ANEXOS:

MODELO 6.- REGISTRO DE SALVAS.Nombre de la Salva o Software originalNivelPeriodicidadCiclo de retenciónSoporteResponsableLugar de conservaciónObservaciones


6.- RESPONSABILIDADES: El de Seguridad Informática será el encargado de mantener actualizado el Registro.

7.- DESARROLLO: En este control se prevé la conservación de todas la aplicaciones y datos necesarios para el normal funcionamiento de las tecnologías. Estas copias se guardarán en estantes apropiados en el propio local, hasta tanto de concluya los trabajos de construcción del local de la bóveda de seguridad.

TITULO. REGISTRO DE CONTROL DE TIEMPO DE MAQUINA.




4.- DEFINICIONES: No procede

5.- ANEXOS:



6.- RESPONSABILIDADES: El de Seguridad Informática será el encargado de mantener actualizado el Registro.

7.- DESARROLLO: Todas las sesiones de trabajo deben ser registradas con el nombre del operador, trabajo que realizó, fecha hora de inicio y fin. También este registro servirá para asentar las personas que están autorizadas de forma eventual a trabajar en estas tecnologías, en cuyo caso se anotará nombre, trabajo a realizar, fecha, hora de inicio y hora de fin, aclarando en Observaciones esta variante con la firma del que autoriza.

TITULO: LIBRO DE CONTROL DE VISITAS.





5.- ANEXOS:

MODELO 8.-LIBRO DE CONTROL DE VISITAS Pase No. Fetch Nombre y Apellidos Centro de Trabajo Hora Entrada Hora Salida Dependencia Visitada. Autorizado Por

Carné No.


6.- RESPONSABILIDADES: El Responsable de Protección Física será el encargado de mantener actualizado este Registro en coordinación con las recepcionistas.

7.- DESARROLLO: Este libro se encuentra en la recepción de la la Dirección Provincial de Educación y recogerá los datos de las personas que no son trabajadores de el centro y que estén autorizadas a entrar al local donde están las tecnologías, Informáticas debiendo aclarase esto en la columna Dependencia Visitada.

TITULO: REGISTRO DE INFORME DE AUDITORIAS E INSPECCIONES.





5.- ANEXOS:

MODELO 9.-REGISTRO DE INFORME DE AUDITORIAS E INSPECCIONES. Número de Equipo Auditores o Inspectores Violaciones cometidas

Evaluación final Plan de Acción

Medida a Ejecutar Fecha de cumplimiento Responsable


6.- RESPONSABILIDADES: El Responsable de Seguridad Informática de la la Dirección Provincial de Educación será el encargado de mantener actualizado el Registro cuando se trate de Inspecciones, correspondiéndole a los auditores cuando de auditoria se trate.

7.- DESARROLLO:

Existirá un registro único, en manos del Responsable de Seguridad Informática de la la Dirección Provincial de Educación donde cada vez que realice una prueba de inspección anotará la fecha, las personas que participan de la inspección (de creerse necesario invitar alguna persona para ello).

En la columna Violaciones Cometidas, escribirá lo más detalladamente posible los problemas encontrados durante el desarrollo de la inspección o la auditoria.

En las columnas siguientes sólo consignará datos de haber encontrado algún problema. Ellas son:

Plan de Medidas: Aquí enumerará las medidas que considera oportunas para eliminar la situación detectada. Tratará de no ser general, sino todo lo contrario: en caso de que existan varias personas afectadas, dirá qué tiene que hacer cada cual.

Responsables del cumplimiento: Mencionará las personas responsables de cumplir con la medida.

Fecha de cumplimiento: Se refiere a la fecha tope en que el problema tiene que ser resuelto.

8.4 PROGRAMA DE SEGURIDAD INFORMÁTICA

Este Plan se pondrá de inmediato en ejecución una vez aprobado por las instancias competentes. El director de la Dirección Provincial de Educación emitirá una Resolución poniendo en vigor este Plan.

En el plan, a mediano plazo, se incluye la construcción de la bóveda de seguridad escuela.

También se prevé la adquisición de un sistema de detección contra intrusos, que se dedicará al local donde estarán las tecnologías Informáticas.

Dado en Matanzas, a los 4 días del mes de junio de 2001.

AÑO DE LA REVOLUCIÓN VICTORIOSA EN EL NUEVO MILENIO.

Manual Procedimientos Bueno

Documents

Transcript of Manual Procedimientos Bueno