RESOLUCION DE PRESIDENCIA DEL CONSEJO DIRECTIVO … · Organizaci6n y Funciones de la Presidencia...

RESOLUCION DE PRESIDENCIA DEL CONSEJO DIRECTIVO

W 38 -2012/CEPLAN/PCD

Lima , 03 OCT. 1011

CONSIDERANDO:

Que, de conformidad con los articulos 4 (numeral 4.8) y 49 del Reglamento de . Organizaci6n y Funciones de la Presidencia del Consejo de Ministros, aprobado por " Supremo N° 063-2007-PCM, la Presidencia del Consejo de Ministros actua

J:!!!'cOlmo ente rector del Sistema Nacional de Informatica, a traves de la Oficina Nacional ~'-'~' Gobierno Electr6nico e Informatica, la cual esta encargada de Implementar la

Politica Nacional de Gobierno Electr6nico e Informatica;

Que, por Resoluci6n de Presidencia de Consejo Directivo N° 043-2010-CEPLAN/PCD, se constituy6 el Comite de Seguridad de la Informaci6n del Centro Nacional de Planeamiento Estrategico;

Que, por Resoluci6n de Presidencia de Consejo Directivo N° 22-2012/CEPLAN/PCD, se modific6 la conformaci6n del arriba aludido Comite de Seguridad de Informaci6n;

Que , conforme al numeral 1 del articulo 2 de la acotada Resoluci6n de Presidencia de Consejo Directivo N° 043-201 O-CEPLAN/PCD, corresponde al Comite de Seguridad de la Informaci6n de CEPLAN evaluar y proponer para su aprobaci6n la politica en materia de seguridad de la informacion de la entidad ; /

Que , el aludido Comite de Seguridad de Informacion ha formulado una propuesta de Politica de Seguridad de Informaci6n para la Entidad , conforme a los alcances de la arriba referida Norma Tecnica Peruana NTP-ISOIIEC 17799.2007 ;

Que , por Informe N° 066-2012-CEPLAN/OGA, el Jefe de la Oficina General de Administraci6n , eleva a la Direcci6n Ejecutiva de CEPLAN, para su consideraci6n y

__ _ _____ _ J _____ _

oaiza Se lim ""''''''''aria Titular

~~~rfforiafiiO jlJt'A'iinlO Eslrategico

aprobacion , el documento que contiene la referida propuesta de Politica de Seguridad de Informacion ;

Que, la propuesta de "Politica de Seguridad de Informacion" esta contenida en un documento de veintinueve (29) paginas, comprendiendo los rubros siguientes: (1 ) Introduccion ; (2) Alcances ; (3) Terminologia; (4) Cumplimiento; (5) Dominios de la Norma; (6) Principios; (7) Politicas y (8) Modificaciones Principales por Version del Presente Documento; debidamente visados por los integrantes de la Comision de Seguridad de la Informacion de CEPLAN;

Que, con el visto bueno de la Direccion Ejecutiva , de la Oficina General de Administracion y de la Oficina de Asesoria Juridica de CEPLAN;

SE RESUELVE:

Articulo 1°._ Aprobar la Politica de Seguridad de la Informacion del Centro de Planeamiento Estrategico - CEPLAN, formulada por el Comite de Seguridad de Informacion; cuyo documento en veintinueve (29) paginas, forma parte integrante de la presente Resolucion , como Anexo.

Articulo 2'.- Encargar a la Oficina General de Admin istracion de CEPLAN la difusion al personal de la institucion de la Politica de Seguridad de Informacion

/<~"~" aprobada por el articulo precedente, con el objeto de su aplicacion ; asi como la ;;;~h--:" ; ,\,;publicacion de la presente Resolucion en el Portal Institucional del CEPLAN:

.~- \' ~ t ,'",r ·ceplan .gob.pe . \\ , '" .) ~. -- ~ ~'~>.J~'-;'i'

egistrese y comuniquese.

RIANO PAZ SOLDAN Pr •• ldonl,

Con'.Jo Dlrecllve> C.n~o Na . onal tit Plan.amlenlo Esiratlglco

£sir documento fue elabarado de acuerdo a 'Politico de Seguridad de 10 IlitaJmendaciones de 10 Politico" elaboradas a.tlnuacion es un protatipo de 10 esltruct.lfa l'8tica de Seguridad de 10 Informacion paltas correspondientes sola deber6n ser pt6tica. Todo cambio queda

"""blr ··" ... ""

~~~ Seguridad de la Informacion

"Politica de Seguridad de la Informa cion"

1. 2. 3. 4. 5. 6.

INTROOUCCI6N AlCANCES TERMINOLOGfA CUMPLIMIENTO DOMINIOS OE LA NORMA PRINCIPIOS 6.1 Proteccion de la Informacion

INOICE

6.2 Proteccion de los Recursos Tecnologicos 6 .3 Autorizacion de los Usuarios 6.4 Responsabilidad 6.5 Disponibilidad 6.6 Integridad 6.7 Confidenclalidad 6 .8 Confianza 6.9 Esfuerzo de Equlpo 6.10 Soporte Primario para la Seguridad de la Informacion 6 .11 Revisiones de Segurldad en Sistemas de Informacion 6.12 Propiedad de la Informacion

pOlfTICAS 7.1 Polftica de Segurldad 7.2 Seguridad Organlzacional

7.2.1 Responsable de Seguridad de la Informacion 7.2.2 Comite de Segurldad 7.2.3 Seguridad con Terceros 7.2.4 Acuerdos de Seguridad 7.2.5 Responsabllldad por la Informacion 7.2.6 Segregaclon de Funclones

7.3 Administracion de Actlvos de Informacion 7.3.1 Inventario de Actlvos 7.3.2 Clasificacion de la Informacion

7.4 Seguridad de Recursos Humanos 7.4.1 Responsabllldades de los Usuarios 7.4.2 Entrenamlento

7.5 Seguridad Ffslca V Amblental 7.5.1 Controles de Acceso Perimetral 7.5.2 Controles Ambientales 7.5.3 Mantenlmiento 7.5.4 Centro de Computo 7.5.5 Areas Restrlngldas

PoHtica de Seguridad de la Infomlaci6n Versi6n 1.0 - 31/05/2012 -

OGA

4 5 6 7 7 9 9 9 9 9 9 10 10 10 10 11 11 11

13 13 13 13 13 13 14 14 14 15 15 15 15 15 16 16 16 17 17 18 18

Pagin. 2 de 29

~m~ Seguridad de la Informacion

"Politica de Seguridad de la OGA

Informacion "

8.

7.6 Administracion de Comunicaciones y Operaciones 7.6.1 Documentacion Operativa 7.6.2 Control de Cambios 7.6.3 Uso de la Tecnologia 7.6.4 Acceso Remoto 7.6.5 Separacion de Ambientes 7.6.6 Capacidad y Desempeiio 7.6.7 Servicios de Red 7.6.8 Servlcios Web

19 19 19 19 20 20 20 20 21

7.6.9 Software 21 7.6.10 Computacion Movil 21 7.6.11 Backups 23 7.6.12 Control de Codigo Malicioso 24 7.6.13 Revision y Monitoreo de Logs 24 7.6.14 Responsabilidad Operativa 25 7.6.15 Telefonfa 25

7.7 Control de Accesos 25 7.7.1 Administracion de Usuarios 25 7.7.2 Contraseiias 26 7.7.3 Controles de Acceso de Red 26 7.7.4 Control de Acceso a Aplicaciones 27

7.8 Adquisicion, Desarrollo y Mantenimiento de Sistemas de Informacion 28 7.8.1 Requerimientos de Seguridad 28 7.8.2 Datos para Pruebas 28 7.8.3 Analisis de Vulnerabilidades 28 7.8.4 Administracion de Sistemas de Informacion 28 7.8.5 Cifrado 29

7.9 Administracion de Incidentes de Seguridad 29 7.9.1 Reporte de Incidentes y Eventos de Seguridad 29 7.9.2 Administracion de Incidentes de Seguridad 29

7.10 Administracion de la Continuidad del Negocio 30 7.10.1 Elaboracion del Plan de Continuidad del Negocio (BCP) 30 7.10.2 Mantenimiento del Plan de Continuidad del Negocio (BCP) 30

7.11 Cumplimiento 30 7.11.1 Proteccion Legal 30 7.11.2 Normatividad 30

Modificaciones Principales por Version del Presente Documento 31

Politica de Seguridad de Ia Informaci6 Pagina 3 de 29 Versi6n 1.0 - 31/05/2012

gpJ~ Seguddad de la Informacion

"PoHtica de Seguridad de la OGA

Informacion"

1. INTRODUCCION

La Polftica de Seguridad de la Informacion esta conform ada por un conjunro de

principios y/o lineamientos basados en la norma NTP-ISOjl£C 17799:2007, las ,cuales

identifican responsabilidacles y establecen objetivos para una proteccion adeouada y

consistente de los activos de informacion de la institucion, La implementacion de -e~ta

polftica busca reducir riesgos que accidental 0 intencionalmente divulguen, modifil1luen,

destruyan 0 utilicen los activos de informacion (en base a 10 que se defina en el alcance)

en contra de la institucion, AI mismo tiempo, estas polfticas habilitan a las aceas

responsables de la adminis!racion de la seguridad de la informacion a orientar y mejorar

la administ racion de seguridad de los activos de la informacion y proveer las bases ~ara

su monitoreo respectivQ en t oda la institucion,

EI Centro Nacional de Planeamiento Estrategico pretende mantener un esquema de

seguridad que permita garantizar la confidencialidad, integridad y disponibi lidad Cile S"5

activos de informacion.

Por tal motivo, es importante que todo el personal que forma parte del Centro N,aoional

de Planeamiento Estrategico conozea, colabore, participe en el cumplimiento de los

lineamientos, procedimientos yjo directivas estipuladas en la norma para ,Ia

implementacion y establecimiento de esta polftica.

2. ALCANCE:

Estas politicas estan orientadas a garantizar el uso apropiado de los dis-positi\!()s

tecnologicos, y de servidos como el Internet y Correo Electronico, brindanclG> a los

contratados pautas para la utilizacion apropiada de dichos recursos, permitiendo asf

minimizar los riesgos de una eventual perdida de activos de informacion sensiti""s par,a

el Centro Nacional de Planeamiento Estrategico,

La politica de seguridad de la informacion del Centro Nacional de Planeamiento

Estrategico es aplicada a todos los activos de informacion durante su cicio de vida,

PoHtica de Seguridad de la Informaci6n Versi6n LO - 31/05/2012

CEPI Ai? Seguridad de la Informacion OGA

Con", ",,'or.' ", rA,,,,, I'''~,~," "Politica de Seguridad de la Informacion"

Estas politicas estan orientadas a proteger los activos de informacion en todos los

ambientes en los cuales esta reside, y para asegurar los activos de informacion que se

encuentran en lugares externos (Ejemplo: sucursa les, proveedores de servicios, etc.),

estos son sometidos a controles equivalent'" para su proteccion.

Estas politicas son aplicadas a todos los contra tad os, consultores, contratistas,

temporales 0 terceras partes que acceden a los activos de informacion del Centro

Nacional de Planeamiento Estrategico, quienes estan sujetos a los mismos

requerimientos de seguridad, y tienen las mismas responsabilidades de seguridad de

informacion que todos los trabajadores de la institucion.

Todas estas personas estan obligadas a eontinuar protegiendo la informacion del Centro

Nacional de Planeamiento Estrategico, eumpliendo las politicas de seguridad despues de

terminar su re lacion con la entidad.

3. TERMINOLOGfA:

./ Activos de informaci6n: son los bienes intelectuales constituidos de la siguiente

manera:

• De informaci6n: Bases de datos, archivos, contratos y acuerdos, documentaei6n de sistema, informacion de investigacion, manuales de usuario, material de entrenamiento, procedimientos operaciona les 0 de soporte, planes de continuidad del negocio, registros de auditoria, e informacion de arch ivo.

• De Software: aplicaciones, de sistema, herramientas de desarrollo y utilidades. • Flsicos: equ ipos de computo, equipos de comunicaciones, medios removibles y

otros.

• Servicios: servicios computaciona les y de comunicacion, uti lidades generales, iluminacion especial, energ!a y aire acondicionado.

• Personas: incluyendo sus ca lificaciones, competencias y experiencia. • Intangibles: como reputacion e imagen de la institucion .

./ Seguridad de la Informacion: es la proteccion de la informacion de una amplia gama de

amenazas para asegurar la continuidad del negocio, minimizar el riesgo d el mismo y

maxi mizar el retorno de inversion y de oportunidades de negoeio .

./ Batch: Archivo magnetico que tiene almacenado una secuencia de comandos que al

ejecutarse reemp laza la opera cion de digitar los comandos en secueneia cada vez que se

requiere efectuar una operacion. Se utiliza para almacenar operaciones repetitivas.

Polftica de Seguridad de la Infom'laci6 Versi6n 1.0 - 31/05/2012

ragin. 5 de 29

CEPI (/> Seguridad de la Informacion

C'"" ''''iOMI ",P~ "Politica de Seguridad de la OGA

Informacion"

./ Cable-modem: Dispositivo de comun icacion que permite establecer una conexion a un

servicio de banda ancha que brinda un proveedor de servicios de Internet .

./ Firewall: Dispositivo tecnologico que tiene como funcion proteger la red interna de una

compafila de accesos no autorizados del exterior via Internet .

./ Modem: Dispositivo de comunicacion que permite establecer una conexion a traves de

la linea telefon ica .

./ Red privada virtual - VPN: Metodologia de conexion a traves de Internet que permite a

los usuarios conectarse a la red corporativa utilizando conexiones publicas, a traves de

canales seguros de comunicacion .

./ Script: Es un archivo que contiene una secuencia de comandos que se utiliza para

comunicarse en forma automatica entre dos aplicaciones .

./ Usuario: Persona que utiliza un dispositivo 0 un ordenador y realiza multiples

operaciones con distintos propositos.

4. CUMPLIMIENTO:

EI cumplimiento de est a politica es de caracter obligatorio. Ningun contratado

(contratista, proveedor, outsourcing) o practicante se encuentra exento del

cumplimiento de estas politicas. Si un individuo u organizacion viola las disposiciones

establecidos en el documento de Politicas de Seguridad de la Informacion, por

negligencia 0 intencionalmente, el Centro Nacional de Planeamiento Estrategico tomara

las medidas correspondientes, ta les como acciones disciplinarias, despido, acciones

legales, reclamo de compensacion por danos, u otras; segun 10 establecido en la Norma

Vigente.

DOMINIOS DE LA NORMA:

En base a 10 establecido en la norma NTP ISO/IEC 17799:2007, los dominies

pertenecientes a la norma, son los siguientes:

Politica de Seguridad: Constituye el presente documento, donde se estipulan las

politicas con respecto a la Seguridad de la Informacion para el Centro Nacional de

Planeamiento Estrategico.

Politica de Seguridad de la lruonl1aci6n Pe:\gina 6 de 29 Versi6n 1.0 - 31/05/2012

gpJ6! Seguridad de la Informacion


Informacion"

.r Seguridad Organizacional : Agrupa los temas de la administracion de la seguridad dentro

de la institucion. (Roles, compromisos, autori zaciones, acuerdos, manejo con terceros)

.r Administracion de Activos de Informacion: Se refiere al mantenimiento y proteccion

apropiados de tad as los activos de informacion .

.r Seguridad de Recursos Humanos: Se refiere a temas para asegurar que los contratados,

contratistas y t erceros entiendan sus responsabilidades y sean adecuados para los roles

que deberan desempenar para minimizar los riesgos que pueden ser ca usados par .estos

en algun momenta .

.r Seguridad Fisica y Ambiental: Se refiere a la prevencion de accesos fisicos no

autorizados (perimetros de seguridad), danos 0 interferencias en las insta laciones de la

institucion y a su informacion.

Administracion de comunicaciones y operaciones: Se refiere a asegurar correctamente

la operacion de las areas de procesamiento de informacion (actividades operativas y

concernientes a la plataforma tecnologica)

Control de Acceso: Control ffsico 0 logico de los accesos, areas de procesamiento y

procesos de negocio.

Adquisicion mantenimiento y desarrollo de sistemas de informacion: Se refiere al

aseguramiento de la inclusion de todos los controles de seguridad en los sistemas de

informacion (infraestructura, aplicaciones, servicios, etc.)

Administracion de Incidentes de Seguridad: Este punto permite que los eventos de

seguridad de la informacion y las debilidades asociadas con los sistemas de informacion,

sean comunicadas de tal manera que se tome una accion correctiva adecuada en el

momento indicado .

.r Administracion de la continuidad del negocio: Esta enfocado en reaccionar en contra

de interrupciones a las actividades del negocio y en proteger los servicios crit icos de

incidentes mayores 0 desastres .

.r Cumplimiento: Este punto se refiere a prevenir el incumplimiento total 0 parcial de

cualquier ley, estatuto, regu lacion u obligacion contractual de los requerimientoS de

seguridad.

Politica de Seguridad de la Informaci6n C Pagin. 7 de 29 Versi6n 1.0 - 31/05/2012

Seguridad de la Informacion

"Politica de Seguridad de la Informacion"

OGA

6. PRINCIPIOS:

Los siguientes principios basicos fundamentan el establecimiento e implantacion de las

Politicas de Seguridad de la Informacion elaboradas para el Centro Nacional de

Planeamiento Estrategico:

6.1 Proteccion de la Informacion:

6.2

Los activos de informacion seran protegidos con el nivel necesario en proporcion

a su valor y riesgo de perdida del negocio. La protecci6n debe acentuar la

confidencial idad, integridad y disponibilidad de los activos de informacion.

Proteccion de los Recursos Tecnologicos:

los recursos tecnologicos seran protegidos con el nivel necesario en proporcion a

su va lor y el riesgo de perdida del negocio. Dichos recursos deberan ser utilizados

exclusivamente para desarrollar las actividades laborales establecidas para los

contratados, contratistas y para los contratos de Outsourcing, y asi mismo su

utilizacion se han, en forma adecuada, con el maximo de eficiencia y con ejemplar

racionalidad.

6.3 Autorizacion de los Usuarios:

Todos los usuarios deberan ser identificados independientemente con permisos

de acceso espedficos de acuerdo a la informacion que manejen.

Los metodos de acceso de usuarios deben exigir un proceso robusto de

autenticacion, autorizacion apropiada y aud itoda confiable.

6.4 Responsabilidad:

Los usuarios y custodios de los activos de informacion del Centro Nacional de

Planeamiento Estrategico son responsables del uso apropiado, proteccion y

privacidad de estos activos.

Los sistemas informaticos del Centro Nacional de Planeamiento Estrategico

generaran y mantendran unas apropiadas pistas de auditoria para identificar

usuarios, y documentar los eventos relacionados con event os de seguridad.

Informaci6n Pagina 8 de

CEPI »r Seguridad de la Informacion

"Politica de Seguridad de la OGA Ce""" '""OM" P~1Ii,"!' Weg",

Informacion"

6.5 Disponibilidad:

Los activos de informaci6n deber,;n estar siempre dispon ibles para cumplir con 10

establecido en los objetivos de negocios del Centro Nacional de Planeamiento

Estrategico. Ademas, deberan tomarse las medidas adecuadas para asegurar el

respectivo tiempo de recuperaci6n de toda la informacion V el acceso por

personas autorizadas.

6.6 Integridad:

Los activos de informaci6n deberan estar adecuadamente protegidos para

asegurar su integridad V precision. Las medidas de validaci6n definidas permitiran

detectar la modificaci6n inapropiada, eliminaci6n 0 adulteraci6n de los activos de

informacion que se rea licen.

6.7 Confidencialidad:

Los activos de informacion deberan mantenerse protegidos para asegurar su

confidencialidad entre los usuarios autorizados para acceder a los mismos. En

todo momento deben mantenerse los esquemas de seguridad que prevengan la

divulgaci6n no autoriza da de informaci6n.

6.8 Confianza:

Los contratados V t erceros (Ejemplo: contratistas, outsourcing, proveedores de

servicios) deberan demostrar ca pacidad para reunir 0 exceder los requerimientos

de seguridad del Centro Naciona l de Planeamiento Estrah\gico, V justificar la

confianza en sus capacidades para asegurar los activos de informaci6n de la

institucion .

6.9 Esfuerzo de Equipo:

Para que este principio logre ser efectivo, la seguridad de la informaci6n debe ser

un esfuerzo de equipo don de deberan participa r de forma activa todos los

contratados que tengan interacci6n con la informaci6n v/o sistemas de

informaci6n que comprenda la instituci6n. Todos los contratados de la instituci6n

deberan cumplir con las poifticas de seguridad de la informaci6n V mas que eso,

desempefiar un pape l proactivo para su protecci6n V divulgaci6n de est as

poifticas.

Polftica de Seguridad de la Informaci6n VersiOn 1.0 - 31/05/2012

Pagin. 9 de 29



6.10 Soporte Prima rio para la Seguridad de la Informacion:

OGA

EI responsable de Seguridad de la Informacion debera facil itar la administracion y

desarrollo de iniciativas sobre aspectos de seguridad de la informacion.

Este responsable debera proveer direccion y experiencia tecnica para asegurar

que la informacion del Centro Nacional de Planeamiento Estrategico se encuentre

protegida apropiadamente. Esto debera incluir considerar la confidencialidad, la

integridad y la disponibilidad de la informacion y de los recursos informaticos que

la soportan.

6.11 Revisiones de Seguridad en Sistemas de Informacion:

Estas revisiones deberan ser efectuadas de manera peri6dica por el Centro

Nacional de Planeamiento Estrategico en base a un cronograma elaborado. Las

revisiones consistiran en realizar las pruebas necesarias para eva luar el

cumplimiento de los estandares de configu racion en las diferentes plataformas

tecnicas y/o insta laciones tecnologicas de informacion que esta institucion

disponga.

Esta labor debera ser realizada por el Responsable de Seguridad de la Informaci6n

o el responsable del Area de Tecnologias de la Informacion, segun el caso.

6.12 Propiedad de la Informacion:

La informacion que es soportada por la infraestructura de tecnologia informatica

del Centro Nacional de Planeamiento Estrategico pertenece a la entidad, a menos

que en una relaci6n contractual se establezca 10 contra rio. Sin embargo, la

facultad de otorgar acceso a la informacion es perteneciente al Responsable del

Area que genera dicha informacion.

La informacion propiedad del Centro Nacional de Planeamiento Estrategico sobre

el cua l tiene sus derechos, podra ser suministrada a los entes de control

pertinentes cuando estos 10 requieren, con previa autorizacion aprobada por las

directivas de la institucion para estos fines.

En caso de divulgacion no autorizada de la informacion de propiedad del Centro

Nacional de Planeamiento se realizaran las investigaciones

CEPI OGA Centro /i:',tional de IlEarnleolo



pertinentes para establecer sanciones, las mismas que serim eva luadas con el

Responsable 0 Jefe inmediato del usuario involucrado y el Comite de Seguridad

establecido.

7. POLfTICAS:

Las siguientes politicas en base a 10 estipulado en la norma NTP ISO/IEC 17799:2007, se

mencionan a continuaci6n:

7.1

7.2

Politica de Seguridad:

La Politica de Seguridad (expresada en este documento) especifica las pautas que

deben ser cumplidas por parte del Centro Nacional de Planeamiento Estrategico y

sus contratados y terceros, con el fin de asegurar un adecuado nivel de

confidencia lidad, integridad y disponibilidad en su informacion.

Seguridad Organizacional:

7.2.1 Responsable de Seguridad de la Informacion:

a) EI Centro Nacional de Planeamiento Estrategico mantendra dentro de su

institucion un Responsable de Seguridad de la Informacion, cuyas funciones

esta",n ca racterizadas y definidas segun la necesidad de la institucion.

7.2.2 Comite de Seguridad:

a) Se establece el Comite de Seguridad, como el ente dentro de la entidad para

atender los temas en materia de Seguridad de la Informacion que requieran de

una definicion 0 aprobacion. Adem.s este Comite debe conocer y aprobar los

planes de Seguridad de la Informaci6n.

b) EI Centro Nacional de Planeamiento Estrategico deber. cantar con un

Responsable de Seguridad de la Informacion que asuma las tareas y

responsabilidades que con lleva este ro l.

7.2.3 Seguridad con Terceros:

a) Todas las conexiones de terceros hacia la red interna del Centro Nacional

de Planeamienta Estrategico deben ser autorizadas, revisadas y

Polftica de Seguridad de la Informaci6n Pagina 11 de 29 Versi6n 1.0·31/05/2012

~~J~ Seguridad de la Informacion


Informacion"

monitoreadas por el Area de Informatica de la Oficina General de

Administracion, segun sus f-equerimientos.

b) Los contratos de desarrollo 0 mantenimiento de -Software que se suscriban

con terceros, deberan incluir el acuerdo para cumplir las politicas de

seguridad de la Informacion establecidas por la institucion.

c) Ademas, los contratos para los cuales se transfiere la responsabilidad por la

seguridad de la informacion a un tercero (outsourcing), deben dejar en

forma explicita el compromiso por parte de este, de la aplicaci6n de los

controles de seguridad necesarios en la medida en que Centro Nacional de

Planeamiento Estrategico Ie haya transferido dicha responsabilidad.

7.2.4 Acuerdos de Seguridad:

a) Todos los contratados, practicantes del Centro Nacional de Planeamiento

Estrategico y terceros que deban realizar labores dentro de la institucion,

sea por medios logicos 0 fisicos que involucren el manejo de informacion de

la entidad, deben conocer, entender, firmar y aceptar la correspondiente a

la clausula de confidencia lidad de la informacion que para su caso aplique.

7.2.5 Responsabilidad por la Informacion:

a) Cada conjunto de datos tendra un usuario duefio y responsable de los datos

que esta en produccion. Se entiende por duefio de la informacion, AI usuario

que trabaja con la informacion y al responsable de la informaci6n 0 director

del area donde esta se genera.

b) Es responsabi lidad del Area de Informatica de la Oficina General de

Administracion, mantener segura la informaci6n sistematizada de la

institucion.

7.2.6 Segregaci6n de Funclones:

a) EI Centro Nacional de Planeamiento Estrategico debe asegurar que los

procesos se desarrollen a traves de una correcta segregaci6n de funciones

que permita garantizar que la ejecucion, la revision, la autorizacion y el

Politica de Seguridad de la Informaci6 PAgina 12 de 29 Versi6n 1.0 - 31/05/2012


"Politic a de Seguridad de la Informacion"

7.3 Administraci6n de Activos de Informacion:

7.3.1 Inventario de Activos:

OGA

a) EI Centro Nacional de Planeamiento Estrategico mantendra todos sus

activos de informacion referenciados, inventariados y constant€mente

actual izara esta documentacion.

b) Toda adquisicion de cualquier naturaleza que haga la entidad en mat€ria de

hardware, software, servicios en temas informaticos e informacion debe

tener un control a traves del Area de Informatica de la Oficina Genera l de

Administracion.

c) Se debe realizar un control de todo hardwar€ y software que sea recibido,

en cuanto a su ubicacion y proteccion, desde que se adquieren 0 arriendan,

hasta su retiro de uso.

7.3.2 Clasificacion de la Informacion:

a) Cada activo de informacion propiedad del Centro Nacional de Planeamiento

Estrategico, debe estar asignado a un contratado dela entidad quien se

responsabilizara por los mismos.

b) Toda la informacion utilizada por el Centro Nacional de Planeamiento

Estrategico y sus contratados, debera ser clasificada y administrada de

acuerdo a los niveles establecidos por la entidad.

7.4 Seguridad de Recursos Humanos:

7.4.1 Responsabilidades de los Usuarios:

a) Todos los nuevas contratados del Centro Nacional de Planeamiento

Estrategico, que hayan aprobado los procesos de seleccion, deberan

conocer, entender y asumir sus responsabilidades con respecto a la

seguridad de la informacion, segun el rol a desempefiar. Igualmente es

responsabilidad de todo contratado vinculado a la entidad con anterioridad

a la elaboracion de este documento, conocer, entender y asumir sus

responsabilidades con respecto a la seguridad de la informacion, segun el

rol a desempefiar.

PoHtica de Seguridad de 1a lnforn Versi6n 1.0 - 31/05/2012

Pagin. 13 de 29

~mt.l! Seguridad de la Informacion


Informaci6n"

b) EI incumplimiento de alguna de las Polft icas 0 regu laciones est ipuladas en la

Gestion de Seguridad de la Informacion que conlleve a un incidente de

seguridad, impli ca ra un proceso disciplinario por parte de la entidad para

establecer la responsabilidad del usuario involucrado.

c) La terminacion del contrato de trabajo con el Centro Naciona l de

Planeamiento Estrategico implica el cumplimiento de los procesos de

entrega de activos de informacion y remoci6n de privilegios sobre la

plataforma tecnologica de la institucion.

d) lodes los usuarios deben conocer y dar cumplimiento a directivas de uso de

tecnologfa (Uso del correo electronico, usa de las impresoras, navegacion

en Internet, etc.) establecido por el Area de Informatica de la Olicina

General de Administracion.

7.4.2 Entrenamiento:

a) EI Centro Nacional de Planeamiento Estrategico entrenara a sus

trabajadores en los t emas de seguridad necesa rios para asegurar que no se

incumpla el esquema de seguridad debido a falta de capacitacion 0

desconocimiento de la norma.

7.5 Seguridad Fisica y Ambiental:

7.5.1 Controles de Acceso Perimetral:

a) lodos los contratados del Centro Nacional de Plan eamiento Estrategico

deberan portar constantemente en un lade visible, su carnet que 10

identifica como contratado de la institucion.

b) lodos los terceros que hagan su ingreso a las insta laciones de la entidad

deberan estar adecuadamente identificados, y anunciar su lIegada a traves

del personal de vigilancia de las insta laciones.

c) Cualquier elemento que entre 0 sa lga de la planta respectiva del edificio de

la institucion, debe ser anunciado al personal de vigilancia para que este

proceda a hacer el registro correspondiente.

Poiftica de Seguridad de la Informaci6n Versi6n 1.0 - 31/05/2012

Pagina 14 cte 29

OGA CEPI Cenll(} IMona! de P Ie~mlen!o J.L~1co



d) Las puertas de acceso a las areas de manipulacion 0 administracion de

informacion confidencia l 0 privada, deberan permanecer cerradas en todo

momento.

e) Para el ingreso 0 sa lida de cua lquier elemento, debera tramitarse el

formato de autorizacion que tiene establecida la institucion con el registro

completo de la informacion que all f se solicita.

f) Todas las personas que ingresen a las areas restringidas de la entidad,

deberan cumplir los controles establecidos para el acceso espedfico a

dichas areas.

7.5.2 Controles Ambientales:

a) EI Centro Nacional de Planeamiento Estrategico proporcionara el ambiente

adecuado para la conservacion de medios magneticos y equipos.

b) EI Centro Naciona l de Planeamiento Estrategico mantendra en condiciones

optimas la limpieza, la seguridad, el manten imiento y la funciona lidad de

cada uno de los elementos que forman parte del Centro de Computo de la

c)

institucion.

Todos los usuarios del Centro Nacional de Planeamiento Estrategico que

utilicen estaciones de trabajo para la realizacion de su labor, debe ran

acoger como practica permanente el bloqueo de la pantalla al ausentarse

de su puesto, asf como mantener en orden sus papeles de trabajo, siempre

pensando en la confidencialidad de la informacion.

d) Las estaciones de trabajo de los usuarios finales seran desactivadas

automaticamente si superan un tiempo de inactividad determinado en cada

caso, segun el nivel de riesgo que correspond a siendo necesario digitar

nuevamente la clave de acceso en el momento que requiera continuar con

la conexi6n.

7.5.3 Mantenimiento:

PoHtica de Seguridad de la Informae' Versi6n 1.0 - 31/05/2012

Pagina 15 de 29

cEPIiUV? Seguridad de la Informacion

"Politica de Seguridad de la OGA Gen1!o ftltional de rraHea:ni~() fMlJegico

Informacion"

a) EI Centro Nacional de Planeamiento Estrategico establecera esquemas de

mantenimiento para toda su plataforma tecnologica que debera ser cumplido

dentro de las fechas programadas.

b) Cuando un medio magnetico, propiedad del Centro Nacional de Planeamiento

Estrategico, termine su cicio de vida, debera ser destruido de acuerdo a las

exigencias del Area de Informatica de la Oficina General de Administracion.

c) AI disponer de un disco duro utilizado, ya sea para su entrega, reuti lizacion 0

puesta asignacion, debera pasar por un proceso adecuado de borrado

determinado por el Area de Informatica de la Oficina General de

Administracion.

7.5.4 Centro de Computo:

a) EI Area de Informatica de la Oficina General de Administracion debera

b)

establecer los mecanismos de seguridad necesarios para la correcta proteccion

del Centro de Computo (0 Centro de Datos), de manera que se mantenga la

confidencialidad y seguridad de la informacion que se procesa, as, como la

integridad de los equipos.

EI Centro Nacional de Planeamiento Estrategico mantendra las condiciones

fisicas y ambienta les optimas recomendadas para los Centros de Computo,

as' como controles automaticos para incendio y t emperatura. (Inundacion,

humedad, etc).

7.5.5 Areas Restringidas:

EI Centro Nacional de Planeamiento Estrategico clasificara sitios (areas) que por

su actividad, activ~s, manejo transaccional, etc, se deban manejar en forma

restringida teniendo los controles de acceso adecuados y registro de visitantes.

Se consideran dentro de estas por ejemplo: Centro de Computo y gabinete de

comunicaciones.



7.6 Administracion de Comunicaciones y Operaciones:

7.6.1 Documentacion Operativa:

OGA

a) Todos los procedimientos operativos del Centro Nacional de Planeamiento

Estrategico esta",n adecuadamente documentados, mantenidos y a

diSposici6n de los usuarios a quienes compete.

b) £s responsabilidad del Area de Informatica de la Oficina General de

Administracion, mantener debidamente actualizada toda la documentacion

referente a la plataforma tecnol6gica de la entidad.

7.6.2 Control de Cambios:

Cualquier cambio a la plataforma tecnologica del Centro Nacional de

Planeamiento Estrategico (a excepcion de las estaciones de trabajo) debe", ser

completamente documentado y controlado por el Area de Informatica de la

Oficina General de Administracion.

Cualquier cambio en la plataforma de las estaciones .de trabajo debera ser

autorizado por el Area de Informatica de la Oficina General de

Administracion.

Cualquier cambio realizado a las aplicaciones desarroliadas para la operacion

normal del Centro Nacional de Planeamiento Estrategico, debera ser

completamente documentada y sus versiones control ad as segtln los

requerimientos establecidos por el Area de Informatica de la Oficina General de

Administracion.

Todos los cambios en el ambiente de produccion deberan cefiirse a las

regu laciones establecidas para la adecuada puesta en produccion, por el

Area de Informatica de la Oficina General de Administracion.

7.6.3 Uso de la Tecnologfa:

a) EI Area de Informatica de la Oficina General de Administracion definira los

criterios de utilizaci6n de los servicios de tecnologfa y los estandares

adecuados para la optima administracion de los recursos.

PoHtica de Seguridad de la Informaci6 Versi6n 1.0 - 31/05/2012

Pagina 17 de 29

~J~ Seguridad de la Informacion


Informacion"

b) Los recursos informaticos del Centro Nacional de Planeamiento tstrategico

deben ser utilizados unicamente para propositos propios de la entidad. (Para

mayor referencia consultar directivas internas).

7.6.4 Acceso Remoto:

a) La entidad proporcionara tecnologias de acceso remoto a sus ·contratados,

previa eva luacion y autorizaci6n del area correspondiente. EI Area de

Informatica de la Oficina Genera l de Administracion garantiza ra un adecuado

esquema de seguridad para los mismos.

7.6.5 Separacion de Amblentes:

a) EI Centro Naciona l de Planeamiento Estrategico mantendra identificados,

controlados y aislados sus ambientes de prueba, desa rrol lo y produccion,

aplicando para cada uno los procedimientos espedficamente estipu lados

por la entidad, para su operacion 0 administracion.

7.6.6 Capacidad y Desempeiio:

a) La plataforma t ecnologica del Centro Nacional de Planeamiento Estrategico

sera continua mente monitoreada con el f in de establecer niveles de

capacidad y desempeiio, empleando las herramientas adecuadas y

manten iendo actualizada la debida documentacion.

7.6.7 Servicios de Red:

a) EI Centro Naciona l de Planeamiento Estrategico mantendra un con stante

monitoreo sobre la red interna, implementando las herramientas que Ie

permitan detecta r, prevenir y recuperarse de codigo malicioso encontrado en

su plataforma t ecnologica.

b) EI Centro Nacional de Planeamiento Estrategico se reserva el derecho de

examinar toda la informacion almacenada en, 0 transmitida por sus sistemas

de computo y de comunicaci6n, y debe informar a sus contratados que no

deben esperar privacidad asociada con la informacion que ell os almacenan 0

PoUtica de Seguridad de 1a Informaci Versi6n 1.0 - 31/05/2012

_~~, . Caric;s·CoalziaieiCm FedQtarlo Titular

iona! de Planeamienlo Estrateglco CI'!PI:Ar.J

PAgin. 18 de 29

~JAlI! Seguridad de la Informacion


Informacion"

c) La entidad mantendn\ actualizada y con la debida aprobacion del Area de

Informatica de la Oficina General de Administracion, una Iista de las categorias

de acceso NO permitido .para la navegacion en Internet. En todas las ocasiones

los intereses, el buen nombre y la seguridad de la entidad deben ser

protegidos por los contratados y terceros (ejemplo: contratista, proveedor,

outsourcing) que laboran para la entidad.

7.6.8 Servicios Web:

a) La entidad vigilan' el cumplimiento de los compromisos de seguridad de la

pagina www.ceplan.gob.pe.

7.6.9 Software:

a) La entidad efectuara constantes revisiones al cumplimiento de las normas

en materia de propiedad intelectual. Los contratados 0 terceros tienen

PROHIBIDO insta lar 0 utilizar software 0 productos sin licencias autorizadas

por la entidad. Se excepttlan de esta politica los productos de software con

licencia de libre utilizacion 0 que sean soportados con certificado de

propiedad de Iicencia de terceros. En todo caso, cua lquier instalacion de

software debe ser solicitada y obtenida a traves del Area de Informati ca de

la Oficina General de Administracion.

7.6.10 Computacion Movil:

a) Los equ ipos de computo (sin importar su propietario) utilizados fuera del

Centro Nacional de Planeamiento Estrategico y en funciones propias de la

entidad, deben ser exclusivamente utilizados para brindar apoyo a las

actividades de la entidad y deben ser sujetos a un grado equivalente de

proteccion igua l al de los equ ipos que se encuentran dentro de las

instalaciones del Centro Nacional de Planeamiento Estrategico. Se deben

aplicar las siguientes pautas:

• Los equipos portatiles asignados a los contratados deben atender

todas las recomendaciones de seguridad y adiciona lmente el

contratado' debera seguir las instrucciones dadas por el Area de

PoHtica de Seguridad de la Informaci6 Versi6n 1.0 - 31/05/2012

·~W· tN: ••• ~-.. ---- ----t;. oOlza S ' , .1

cratarlo . \"--~iltO'liiaiCcIQn a! de PIMezmi61i1O rslr.1I§l'1kc

cr:p1.rdtt

Pagina 19 de 29



OGA

Informatica de la Oficina General de Administracion para su

utilizacion.

• Las computa doras persona les, para conectarse a la red de la

instituci6n, previamente debe pasar por una verificacion y

autorizacion por parte del Area de Informatica de la Oficina General

de Administracion.

• Durante los viajes, los equipos (y medios) no se deben dejar

desatendidos en lugares ptlblicos.

• Los portati les son vu lnerables al robo, perdida 0 acceso no

autorizado durante los viajes. Se les deben proporcionar una forma

apropiada de proteccion al acceso ·(Ejemplo: Contraseiias de

encendido, encriptacion, etc. ) con el fin de prevenir acceso no

autoriza do.

• Las instrucciones del fabricante concernientes a la protecci6n del

equipo se deben seguir en todo momento (Ejemplo: para protegerse

contra la exposicion de campos electromagneticos muy fuertes).

b) La utilizacion de elementos removibles de almacenamiento (Cintas con copias

de respa ldo, DVD's, memorias USB, CD's re-escribibles, discos duros portati les,

etc.) por parte de los usuarios, debenl cumplir los lineamientos estrictamente

establecidos por el Area de Informatica de la Oficina General de

Administraci6n mediante pautas recomendadas por parte del Responsable de

Seguridad de la Informaci6n. La administracion (custodia, reutili zacion y

destrucci6n) adecuada de estos elementos, tanto para su conservacion como

la dest ruccion cuando fuera necesario, esta ra determinada por los

procedimientos establecidos en el Area de Informatica de la Oficina General de

Administracion.

c) EI ingreso y/o salida de los equipos de computo y elementos removibles de

almacenamiento (Cintas con copias de respa ldo, DVD's, memorias USB, CD's

reescribibles, discos duros portatiles, etc. ), que 51 pertenecen al Centro

Nacional de Planeamiento Estrategico, debera ser previamente autorizado por

el Area de Informatica de la Oficina General de Administraci6n y registrado por

y el Personal de Seguridad.

r

c."c ii, iiiS'· C;;';lza· ~ioj;"ni··· Fed:lt~rlo Titula r

Cenlro Nacion.1 ~. ~1"nanmi,nI9 .,lral!glco .:.r,:p~~N

Pogina 20 de 29

cEPIli? Seguridad de la Informacion

"Politica de Seguridad de la OGA Ge,,", t",;,~t " pAnl'"' B,iIoQ;;, Informacion"

d) En el caso de los equipos m6viles de comunicacion, es de responsabilidad

directa del usuario al cual se Ie ha asignado el equipo. En caso de perdida 0

robo tendra que reponer el equipo.

7.6.11.Backups!

a) Toda la informaci6n del Cent ro Nacional de Planeamiento Estrategica debe

ser respaldada por medio de capias de seguridad siguiendo el

procedimiento adecuado segun el componente fisica que se disponga. Esto

incluye la informacion en las estaciones de trabajo de los usuarios.

b) Es responsabilidad de cada contratado de la entidad ubicar en una unidad

de red la informacion referida unicamente al Centro Nacional de

Pl aneamiento Estrategico que requiera ser respa ldada por el Area de

Informatica de la Oficina General de Administracion.

c)

d)

Ningun tipo de informaci6n referida al Centro Nacional de Pl aneamiento

Estrategico puede ser almacenada en forma exclusiva en los discos duros de

las estaciones de trabajo. Para estos cas os, es responsabilidad de cada

usuario rep licar la informacion en los directorios publicas que residen en los

servidores.

Es responsabi lidad del Centro Nacional de Planeamiento Estrategico, definir

los periodos de retenci6n y la frecuencia de los Backup's que garanticen la

cantinuidad del negocio y la consulta historica de su informacion.

e) Es responsabilidad del Area de Informatica de la Oficina General de

Admin istracion el mantenimiento adecuado de las versiones de las

aplicaciones en el medio de almacenamiento utilizado en su momento que

Ie permita atender requerimientos lega les 0 internos.

f) Toda restauracion de datos en produccion debe ser autorizada por el Area

de Informatica de la Oficina Genera l de Administracion.

g) Es responsabilidad del Area de Informatica de la Oficina General de

Administracion garantizar a la entidad que se estan recagiendo en forma

adecuada los backup's de informacion que garant icen la continuidad de los

servicios de la plataforma tecnologica.

PoHtica de Seguridad de la Informaci6 Pagina 21 de 29 Versi6n 1.0·31/05/2012



Informacion"

h) Es responsabilidad de cada departamento y contratados mantener

depurada la informacion de sus archivos publicos y buzones de correo

electronico, como mejor practica para la optimizacion de uso de los

recursos que entrega la entidad a sus contratados.

7.6.12.Control de Codigo MalicJoso:

a) EI Centro Nacional de Planeamiento 8;trategico contara permanentemente

con un sistema efectivo de antivirus que sera administrado bajo la

responsabilidad del Area de Informatica de la OficinaGenerai de

Administracion .

b) Los usuarios deberan cump lir con las mejores pnlcticas establecidas por el

Centro Nacional de Planeamiento Estrategico con respecto al uso del

Ant ivirus.

c)

d)

Es responsabilidad de cada contratado 0 tercero, revisar que todos los

med ios magneti cos extrafbles sean chequeados con un antivirus provisto

por la entidad antes de procesa rlos en los computadores personales 0

servidores de la entidad.

Es responsabilidad del Area de Informatica de la Oficina General de

Administraci6n, mantener en buen funcionamiento los sistemas que Ie

permitan prevenir, detectar y corregir ingresos 0 intentos de ingresos no

autorizados.

7.6.13.Revision y Monltoreo de Logs:

a) EI Centro Nacional de Pl aneamiento Estrategico realizara un monitoreo

permanente de la red a traves de los diferentes logs establecidos y

configurados a conveniencia del negocio. Estos logs seran revisados y

analizados de acuerdo a las tareas programadas dentro del Area de

Informatica de la Oficina Genera l de Administracion.

7.6.14.Responsabilidad Operatlva:

a) Dentro del personal del Area de Informatica de la Oficina General de

Administraci6n debe existir un responsable de la seguridad de los backup's.

Politica de Seguridad de Ja Versi6n 1.0 - 31/05/2012

Pagina 22 de 29

CEPI J7? Seguridad de la Informacion OGA

een" ,..,,"", de ,An'''rlo bJ~" "Politica de Seguridad de la Informacion"

b) EI Centro Naciona l de Planeamiento Estrategico, a traves del Ar€a de

Informatica de la Oficina General de Admin istracion se responsabilizara de la

s€guridad de la informacion en los equ ipos c€ntrales de computo, quien

adoptara las mejores practicas en materia de control de acceso a la

informacion de acuerdo a la tecnologia usada.

c) EI Centro Nacional de Planeamiento Estrategico, a traves del Area de

Informatica de la Oficina General de Administracion, asegurara la mejor

seleccion (tecn ica) de los proveedores de servicios, para los elementos y

equipos que forman parte del centro de-computo.

7.6.15 Telefonia:

a) La entidad contara con el servicio telefonico nacional, internacional y de

celulares, con 10 cua l autorizara de manera particular a los contratados que 10

requieran.

7.7 Control de Accesos:

7.7.1 Administraci6n de Usuarios:

a) Esta prohibido intentar ingresar a los servicios de computo y comunicaciones

con la cuen!a de otro contratado.

b) EI Area de Informatica de la Oficina Genera l de Administracion del Centro

Nacional de Planeamiento Estrategico definira el esquema de usuarios para la

administracion y uso de cada plataforma tecnologica, util izando los cr iterios de

minimo riesgo e impacto para la entidad.

c) EI nivel de acceso debe ser definido por funciones especificas dentro de cada

ap licaci6n y para cada contratado.

d) Cada contratado tendra un cod igo unico de identificacion ante el sistema y

sera responsable de todo registro a su nombre.

e) La creacion, eliminaci6n y revision de privi legios de los usuarios de la red y las

apl icaciones del Centro Nacional de Planeamiento Estrategico deberan ser

regularmente revisados segun las actividades programadas del Area de

Informatica de la Oficina Genera l de Admin istracion.

PoHtica de Seguridad de la lnforma . n Versi6n 1.0· 31/05/2012

Pagin. 23 de 29

~~ Seguridad de la Informacion


Informacion"

f) EI Centro Nacional de Planeamiento Estrategico cl asificara las cuentas de

usuario de acuerdo a los niveles de acceso autorizados requeridos para la

operacion 0 administracion de los sistemas de la entidad.

g) EI Area de Recursos Humanos deberan enviar mensual mente al Area de

Informatica de la Oficina General de Administracion, la lista actual izada de

altas, bajas, vacaciones, incapacidades, Ikencias, etc. de todos los contratados

del Centro Nacional de Planeamiento Estrategico, a fin de lIevar un <:ontrol de

las cuentas de usuario correspondientes.

7.7.2 Contrasenas:

a) Cada contratado debe tener asociada una contrasena que <:umpla con las

caracteristicas de contrasenas seguras. No esta permi tido que terceros

accedan a los servicios con la cuenta y password de un contratado de la

entidad.

b) EI Centro Nacional de Planeamiento Estrategico mantendra definido para

todos sus sistemas de informacion un esquema de construccion de

contra sen as fuertes que debe ser cumplida por todos los contratados de ·Ia

entidad.

c)

d)

Las contrasenas deberan permanecer enmascaradas en todos los medios

tecnol6gicos en los cuales son digitadas.

Es responsabilidad di recta de cada contratado el velar por la

confidencialidad y buen uso de su contrasena.

e) No se deben almacenar contrasenas en formato legible en archivos tipo

"batch", scripts de logon automaticos, macros de software, teclas de

funcion de terminales, computadores sin control de acceso, archivos de

t exto 0 en sitios donde personas no autorizadas puedan descubrirlos y

utiliza rlos. Bajo responsabi lidad del usuario.

7.7.3 Controles de Acceso de Red:

a) Ningun contratado del Area de Informatica de la Oficina General de

Administracion tendra acceso a los datos en produccion, en modalidad

diferente a la de consulta, a excepcion del Administrador de la Base de Datos.

Polltica de Seguridad de I. 1m Pagin. 24 de 29 Versi6n 1.0 - 31/05/2012



Informacion"

7.8 Adquisici6n, Desarrollo y Mantenimiento de Sistemas de Informaci6n :

7.8.1 Requerimientos de Seguridad:

a) Las nuevas aplicaciones que se pondran en operacion en la entidad deben

cumplir los requerimientos de seguridad minimos establecidos para asegurar

confidencialidad, integridad y disponibilidad en la informaci6n que manejan.

b) EI Area de Informatica de la Oficina Genera l de Administracion es responsable

de mantener a disposicion de la entidad la infraestructura tecnologica mas

conveniente de acuerdo a sus requerimientos y 10 que ofrece el mercado y de

acuerdo a la disponibilidad presupuestal de la Entidad.

7.8.2 Datos para Pruebas:

a) EI Centro Nacional de Planeamiento Estrategico mantendra por separado sus

ambientes de producci6n, desarrollo y pruebas, y en cada uno de ellos

mantendra los elementos que se consideren adecuados con el fin de mitigar los

riesgos. Esto se dara dentro de la coyuntura logistica y presupuestal de la

Entidad.

b) Es responsabilidad del Area de Informatica de la Oficina General de

Administraci6n asegurar que los datos dispuestos para la realizaci6n de pruebas

y desarrollo cuentan con la debida proteccion para minimizar los riesgos con

respecto a la confidencialidad.

7.8.3 Analisis de Vulnerabilidades:

a) Es responsabilidad del Area de Informatica de la Oficina General de Administraci6n

mantener un esquema de pruebas de vulnerabilidad a los componentes de la red

dependiendo del analisis de riesgos.

7.8.4 Administracion de Sistemas de Informacion:

a) EI Centro Nacional de Planeamiento Estrategico debera cumplir el esquema

general de cicio de vida de los proyectos, de acuerdo a la metodologra basad a

en la NTP ISO/IEC 12207 (Norma para los Procesos del Cicio de Vida del

Software), que para efecto el Area de Informatica de la Oficina General de

Polftica de Seguridad de 1a Informa . n Versi6n 1.0 - 31/05/2012

PAgina 26 de 29



Informacion"

7.9

Administracion debe", elaborar, esto aplica tanto para mantenimiento de

aplicaciones en produccion, como para desarrollos nuevos.

7.8.5 Cifrado:

a) En los medios y tran~misiones electronicas que el Centro Nacional de Planeamiento

Estrategico determine, se deberan mantener esquemas de cifrado que cumplan los

requerimientos espedficos establecidos para tal fin. Para esto creara una politica

espedfica que regule el uso de dicho esquema.

Administracion de Incidentes de Seguridad:

7.9.1 Reporte de Incidentes y Eventos de Seguridad:

a) Todos los usuarios del Centro Nacional de Planeamiento Estrategico deben

reportar cualquier incidente de seguridad que detecten al Responsable de

Seguridad de la Informacion 10 antes posible.

b) Las fallas que se detectan en las aplicaciones de la entidad se consideran un

incidente de seguridad porque afectan la disponibilidad de la informacion y

deben ser tratados como incidentes de seguridad de la informacion.

7.9.2 Administracion de Incldentes de Seguridad:

a) EI Responsable de Seguridad de la Informacion debe rea lizar el debido

estudio y seguimiento de todos los incidentes de seguridad, valiendose de

la asistencia de todos los usuarios involucrados cuando este 10 requiera.

b) Es responsabilidad del Responsable de Seguridad de la Informacion

mantener actualizadas las estadisticas de mantenimientos de emergenci a,

clasificadas en t ecnicas y de usuario, siendo est as reportadas

mensual mente al responsable del Area de Informatica de la Oficina General

de Administracion.

c) Es responsabilidad del Area de Informatica de la Oficina General de

Admin istracion divulgar las estadisticas de mantenimientos de emergencia,

clasifica dos en t ecn icas y de usuario a las instancias que determine la

entidad.

----cP--.-- arii;S'"Loaiza-i3eiCrii-·· _____ 1.-~....:::-f'edat3rlo Titular

Centro N"lon&1 de Planeaml.nte "@I'II' ol&o ,Q1:o:~"'~'"

Pc\gina 27 de 29



7.10 Administracion de la Continuidad del Negocio:

7.10.1 Elaboracion del Plan de Continuidad del Negocio (BCP):

OGA

a) EI Comite de Seguridad de la Informacion propondra un Plan de

Continuidad del Negocio que atienda los requerimientos de Seguridad de la

Informacion en el negocio segun el analisis de riesgos determinado para ta l

fin, el cual debera estar catalogado por niveles (1,2,3) de acuerdo con el

grado de contingencia que se deba atender, por ejemplo:

• Grado 1: cont ingencias menores que se atienden con el persona l

dentro de las insta laciones.

• Grado 2: que no se permita el ingreso al edificio.

• Grado 3: por desastre.

7.10.2Mantenimiento del Plan de Continuidad del Negocio (BCP):

a) La institucion realizara pruebas periodicas V mantenimiento al Plan de

Continuidad del negocio por 10 menos 1 vez en el ano.

b) La ent idad contara con un contrato de custodia externa de la informacion, como

parte del plan de contingencia.

7.11 Cumplimiento:

7.11.1 Proteccion Legal:

a) EI Centro Nacional de Planeamiento Estrategico conserva el derecho de retirar

de los sistemas de informacion cualquier material que pueda ser

considerado ofensivo 0 potencial mente ilegal.

7.11.2Normatividad:

a) Es responsabilidad del dueno de la informacion, definir los periodos de

retencion V la frecuencia de los Backup's que garanticen el cumplimiento lega l V

los pro pi os.

b) Las politicas de seguridad de informacion del Centro Nacional de Planeamiento

Estrategico fueron disenadas para ajustarse 0 exceder, sin contravenir, las

medidas de proteccion establecidas en las leves V regulaciones; si algun

contratado vlo tercero del Centro Nacional de Planeamiento Estrategico

Polftica de Seguridad de la lnforma '5n Pagina 28 de 29 Versi6n 1.0 - 31/05/2012

Fe aria Titu lar "-_~~~"'. nal de Planeamiento Estrateglco \ CEPLAN

~J~ Seguridad de la Informacion


Informacion"

considera que alguna politica de seguridad de informacion esta en conflicto con

las leyes y regulaciones existentes, 10 debe reportar en forma inmediata al

Responsable de Seguridad de la Informacion de la entidad.

8. Modificaciones Prlneipales por Version del Presente Documento:

1 ·;~er~iO~ i' I'~)' 'i~' Autor

0.1 OGA

Polftica de Seguridad de la Info Versi6n 1.0 - 31/05/2012

"I ,,~echa ,'" I,· ' ~be~cripeion d~ ~e'(ision

30-05-201 2 Version Inieial

ragin. 29 de 29

RESOLUCION DE PRESIDENCIA DEL CONSEJO DIRECTIVO … · Organizaci6n y Funciones de la Presidencia...

Documents

Transcript of RESOLUCION DE PRESIDENCIA DEL CONSEJO DIRECTIVO … · Organizaci6n y Funciones de la Presidencia...