Resolución número 9025 de 2012, por la cual se modifica la Resolución 13829 de diciembre 12 de 2011, adicionando nuevas Políticas Informáticas
| Emisor | Varios - Registraduría Nacional del Estado Civil |
| Número de Boletín | 48617 |
El Registrador Nacional del Estado Civil, en ejercicio de sus atribuciones constitucionales establecidas en el artículo 26, numeral 1, artículo 25 del Decreto 1010 y
CONSIDERANDO:
Que la Registraduría Nacional del Estado Civil a través de la Gerencia de Informática, debe adoptar los mecanismos que le permitan el resguardo, confidencialidad, confiabilidad y oportunidad de su información, para lo cual diseñará, e implementará, los aplicativos necesarios. Igualmente, tendrá como función administrar y controlar todos los accesos y privilegios a los sistemas implementados y futuros, siendo esta dependencia la responsable de definir y supervisar el cumplimiento de las políticas de seguridad informática que todo el personal de la Registraduría Nacional del Estado Civil y contratistas deben cumplir.
Que las Políticas de Seguridad Informática son objeto de actualizacióny para su elaboración metodológica se tuvo en cuenta cada uno de los 11 dominios, con sus respectivos objetivos de control, los cuales se encuentran identificados en el estándar ISO/IEC 27001 de 2005.
Que las Políticas de Seguridad de la Información establecidas para la Registraduría Nacional del Estado Civil se convierten en las reglas y procedimientos que regulan la forma de prevenir, proteger y manejar los riesgos a daños de los recursos y servicios informáticos de la entidad, asimismo, establecen un canal formal de actuación del personal interno y externo, en relación con los recursos y servicios informáticos de la Registraduría Nacional del Estado Civil,
RESUELVE:
Los requisitos de seguridad de la información y de todos los activos, son prioridad para la Registraduría Nacional del Estado Civil, y por lo tanto es responsabilidad y compromiso del Nivel Directivo, compartido con los funcionarios para garantizar el continuo cumplimiento de las políticas definidas en este documento.
OBJETIVO
El objetivo de este documento es definir las Políticas de Seguridad de la Información que serán adoptadas por la Registraduría Nacional del Estado Civil, con el fin de regular la Gestión de la Seguridad de la Información al interior de la entidad. Así mismo, informar al mayor nivel de detalle a los usuarios, directivos, funcionarios y contratistas las normas y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la Registraduría Nacional del Estado Civil. Adicionalmente, permitir establecer el alcance de las responsabilidades del nivel directivo, con la participación del personal de planta, supernumerarias, provisionales, contratistas, y terceros en cuanto a la utilización y mantenimiento confidencial e íntegro de la información de la Registraduría Nacional del Estado Civil.
ALCANCE
Las Políticas de Seguridad de la Información cubren los aspectos de privacidad, acceso, autenticación, mantenimiento y divulgación de los recursos y servicios informáticos, que conllevan a establecer guías y controles que deben ser cumplidos por los directivos, funcionarios, contratistas y terceros, que laboren o tengan relación con la Registraduría Nacional del Estado Civil, para alcanzar un adecuado nivel de protección en cuanto a confidencialidad, integridad y disponibilidad de la información.
Este documento debe ser de conocimiento de todos los funcionarios de la Registraduría Nacional del Estado Civil y así mismo, se exigirá su cumplimiento en los procesos de contratación de la entidad, y su lectura debe ser requisito antes de realizar cualquier proceso de contratación, incluyendo la contratación de servicios.
La Alta Dirección de la Registraduría Nacional del Estado Civil será responsable de facilitar los recursos humanos, técnicos, financieros y demás necesarios para llevar a cabo la implantación de estas políticas.
MARCO TEÓRICO (Norma ISO/IEC 27001)
ISO/IEC 27001 es la única norma internacional auditable que define los requisitos necesarios para establecer, implementar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI); la norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. El SGSI permite evaluar cuáles son los riesgos a los que se expone la información relevante e importante para las organizaciones, la cual es fundamental para el normal proceder de sus funciones y a su vez implementar los controles adecuados y necesarios para mantener la confidencialidad, integridad y disponibilidad de los activos de información identificados dentro de la operación de la organización.
La norma ISO/IEC 27001 contiene una serie de controles divididos en once (11) dominios, así:
-
Política de Seguridad: Se estipulan las políticas con respecto a la seguridad de la información para la Registraduría Nacional del Estado Civil.
-
Organización de la Seguridad de la información: Agrupa los temas de administración de la seguridad dentro de la organización (roles, compromisos, autorizaciones, acuerdos, manejo con terceros).
-
Gestión de Activos: Habla del mantenimiento y protección apropiados de todos los activos de información.
-
Seguridad de los Recursos Humanos: Temas para asegurar que empleados, contratistas y terceros entiendan sus responsabilidades y sean adecuados para los roles a desempeñar minimizando los riesgos relacionados con personal.
-
Seguridad Física yAmbiental: Hace referencia a prevenir accesos físicos no autorizados (perímetro), daños o interferencias a las instalaciones de la organización y a su información.
-
Gestión de comunicaciones y operaciones: En este dominio se busca asegurar la correcta y segura operación de las áreas de procesamiento de información (actividades operativas y concernientes a la plataforma tecnológica).
-
Control de Acceso: Control físico o lógico de los accesos, áreas de procesamiento y procesos de negocio.
-
Adquisición, desarrollo y mantenimiento de sistemas de información: Asegurar la inclusión de todos los controles de seguridad en los sistemas de información (infraestructura, aplicaciones, servicios, etc.).
-
Gestión de Incidentes de Seguridad de la información: Permitir que los eventos de seguridad de la información y las debilidades asociadas con los sistemas de información, son comunicadas de tal manera que se tome una acción correctiva adecuada en el momento indicado.
-
Gestión de la continuidad del negocio: Enfocado en reaccionar en contra de interrupciones a las actividades del negocio y en proteger procesos de negocio críticos de los efectos de fallas mayores en los sistemas de información ante desastres, y asegurar que se solucionen a tiempo.
-
Cumplimiento: Busca prevenir el incumplimiento total o parcial de cualquier ley, estatuto, regulación u obligación contractual de los requerimientos de seguridad.
MARCO LEGAL
Con el objeto de mitigar los riesgos relacionados con la autenticidad, la integridad, la disponibilidad, el no repudio, la confidencialidad y la trazabilidad, se tiene que cualquier incidente que viole el marco normativo legal vigente en Colombia, en materia de políticas de seguridad informática, estará sujeto a lo establecido en las siguientes disposiciones legales:
Ley 527 de agosto 18 de 1999, por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.
Ley 1273 de enero 5 de 2009, por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado -denominado "de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.
PRINCIPIOS DE SEGURIDAD DE LA INFORMACIÓN
Los siguientes principios básicos fundamentan las políticas de seguridad de la información para la infraestructura tecnológica y de información de la Registraduría Nacional del Estado Civil:
Disponibilidad
Los activos de información deben estar disponibles para soportar los objetivos de negocios de la Registraduría Nacional del Estado Civil. Deben tomarse medidas adecuadas para asegurar el tiempo de recuperación de toda la información y el acceso por personas autorizadas.
Integridad
Los activos de información deben estar adecuadamente protegidos para asegurar su exactitud y totalidad. Las medidas de validación definidas permitirán detectar la modificación inapropiada, eliminación o adulteración de los activos de información.
Confidencialidad
La información considerada de Reserva Legal, de la Registraduría Nacional del Estado Civil, no podrá ser revelada y será utilizada exclusivamente para el cumplimiento de la misión de la institución.
VIGENCIA Y ACTUALIZACIÓN
Este documento de Políticas de seguridad de la información estará vigente a partir de su expedición y deberá tenerse en cuenta en cada uno de los contratos que la Registraduría Nacional del Estado Civil realice con funcionarios, contratistas, o terceros.
La actualización de este documento es responsabilidad de la Gerencia de Informática y debe contar con el asesoramiento y aprobación del Comité de Seguridad.
Para su actualización se tendrán en cuenta entre otros factores los siguientes:
· Actualización y/o cambios en los sistemas de información de la entidad.
· Nuevas políticas de contratación de recursos humanos y de servicios.
· Análisis de riesgos, incidentes de seguridad y vulnerabilidades detectadas.
· Cambios dentro de la infraestructura organizacional o tecnológica.
· Cambios en los procesos, en los objetivos del sistema, o en la normatividad que afecten las políticas de seguridad.
TÉRMINOS Y DEFINICIONES
Activo: Recurso del sistema de información o...
Para continuar leyendo
Solicita tu prueba