Seguridad Informatica

Manual de Políticas y Estándares de Seguridad Informática

1.- DISPOSICIONES GENERALES

1.1 ÁMBITO DE APLICACIÓN Y FINES

1.2 FRECUENCIA DE EVALUACIÓN DE LAS POLÍTICAS

1.3 BENEFICIOS

2.- POLÍTICAS Y ESTÁNDARES DE SEGURIDAD DEL PERSONAL

2.1.1 USUARIOS NUEVOS

2.1.2 RETIRO DE USUARIOS

2.1.3 OBLIGACIONES DE LOS USUARIOS

2.2 CAPACITACIÓN EN SEGURIDAD INFORMÁTICA

2.3 MEDIDAS DISCIPLINARIAS

3.- POLÍTICAS Y ESTÁNDARES DE SEGURIDAD FÍSICA Y AMBIENTAL

3.1 RESGUARDO Y PROTECCIÓN DE LA INFORMACIÓN

3.2 CONTROLES DE ACCESO FÍSICO

3.3 SEGURIDAD EN ÁREAS DE TRABAJO

3.4 PROTECCIÓN Y UBICACIÓN DE LOS EQUIPOS

3.5 MANTENIMIENTO PREVENTIVO Y CORRECTIVO DE EQUIPO

3.6 PÉRDIDA DE EQUIPO

3.7 USO DE DISPOSITIVOS ESPECIALES

4.- POLÍTICAS Y ESTÁNDARES DE SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO

4.1 USO DE MEDIOS DE ALMACENAMIENTO

4.2 INSTALACIÓN DE SOFTWARE

4.3 IDENTIFICACIÓN DEL INCIDENTE

4.4 ADMINISTRACIÓN DE LA CONFIGURACIÓN

4.5 SEGURIDAD PARA LA RED

4.6 USO DEL CORREO ELECTRÓNICO

4.7 CONTROLES CONTRA CÓDIGO MALICIOSO

4.8 INTERNET

5.- POLÍTICAS Y ESTÁNDARES DE CONTROLES DE ACCESO LÓGICO

5.1 CONTROLES DE ACCESO LÓGICO

5.2 ADMINISTRACIÓN DE PRIVILEGIOS

5.3 EQUIPO DESATENDIDO

5.4 ADMINISTRACIÓN Y USO DE CONTRASEÑA

5.5 CONTROL DE ACCESOS REMOTOS

6.- POLÍTICAS Y ESTÁNDARES DE CUMPLIMIENTO DE SEGURIDAD INFORMÁTICA

6.1 DERECHOS DE PROPIEDAD INTELECTUAL

6.2 REVISIONES DEL CUMPLIMIENTO

6.3 VIOLACIONES DE SEGURIDAD INFORMÁTICA

Manual de Políticas y Estándares de Seguridad Informática

Introducción

La base para que cualquier organización pueda operar de una forma confiable en materia de Seguridad Informática comienza con la definición de las políticas y estándares.

Este documento se encuentra estructurado en cinco políticas generales de seguridad para usuarios de informática, con sus respectivos estándares que consideran los siguientes puntos:

• Seguridad de Personal.

• Seguridad Física y Ambiental.

• Administración de Operaciones de Cómputo.

• Controles de Acceso Lógico.

• Cumplimiento.

1.- Disposiciones Generales

1.1 Ámbito de aplicación y Fines

Las políticas y estándares de Seguridad Informática tienen por objeto establecer medidas técnicas y de organización de las tecnologías de información y de las personas que interactúan haciendo uso de los servicios informáticos que proporciona el Instituto Colombiano de Derecho Tributario contribuyendo con la función informática a la mejora y complimiento de metas institucionales.

Asegurara: Mayor integridad, confidencialidad y confiabilidad de la información generada por el Instituto Colombiano de Derecho Tributario.

Minimiza: los riesgos en el uso de las tecnologías de información.

1.2 Frecuencia de Evaluación de las Políticas

Las políticas tendrán una revisión semestral para efectuar, actualizaciones, adecuaciones y/ó modificaciones basadas en la experiencia.

1.3 Beneficios

Las políticas y estándares de seguridad informática establecidas dentro de este documento son la base para la protección de los activos tecnológicos e información del Instituto Colombiano de Derecho Tributario.

2.- POLÍTICAS Y ESTÁNDARES DE SEGURIDAD DEL PERSONAL

Política

Todo usuario de bienes y servicios informáticos al ingresar como funcionario del Instituto Colombiano de Derecho Tributario acepta las condiciones de confidencialidad, del uso adecuado de los recursos informáticos y de información del ICDT y del buen manejo de los mismos para garantizar la integridad de los datos, así como el estricto apego al Manual de Políticas y Estándares de Seguridad Informática para Usuarios.

Los usuarios deberán cumplir con lo establecido en el Manual de Políticas y Estándares de Seguridad Informática para Usuarios.

2.1.1 Usuarios Nuevos

Todo el personal nuevo del Instituto Colombiano de Derecho Tributario, deberá ser notificado al área de Sistemas para asignar los derechos correspondientes (Registro de Entrada y Salida, Equipo de cómputo, Derechos en servidor, Intranet y Extranet) o en caso de baja retirar los derechos

2.1.2 Retiro de usuarios

El área administrativa, estará encargada de avisar al área de sistemas, las novedades de desvinculación de funcionarios al Instituto Colombiano de Derecho Tributario, con el fin de que el funcionario haga entrega de usuarios de acceso lógico y equipos de cómputo asignados a su cargo. En caso de existir un reemplazo, se hará el re direccionamiento de las cuentas al usuario encargado con nueva contraseña.

2.1.3 Obligaciones de los usuarios

Es responsabilidad de los usuarios de bienes y servicios informáticos cumplir las Políticas y Estándares de Seguridad Informática para Usuarios del presente Manual.

2.2 Capacitación en seguridad informática

Todo empleado del Instituto Colombiano de Derecho Tributario de nuevo ingreso deberá contar con la inducción sobre el “Manual de Políticas y Estándares de Seguridad Informática para Usuarios”, donde se den a conocer las obligaciones para los usuarios y las sanciones que pueden existir en caso de incumplimiento.

2.3 Medidas disciplinarias

Se consideran violaciones graves el robo, daño, divulgación de información reservada o confidencial del Instituto Colombiano de derecho Tributario.

3.- POLÍTICAS Y ESTÁNDARES DE SEGURIDAD FÍSICA Y AMBIENTAL

Política

Los mecanismos de control de acceso físico para el personal y terceros deben permitir el acceso a las instalaciones y áreas restringidas del Instituto Colombiano de Derecho Tributario sólo a personas autorizadas para la salvaguarda de los equipos de cómputo y de comunicaciones.

3.1 Resguardo y protección de la información

3.1.1 Los usuarios deberán reportar de forma inmediata al área de Sistemas cuando detecten que existan riesgos reales o potenciales para equipos de cómputo o comunicaciones, como pueden ser fugas de agua, cortos eléctricos, incendios, entre otros.

3.1.2 Los usuarios tienen la obligación de proteger las unidades de almacenamiento, ya sean fijas o extraíbles, que se encuentren bajo su administración, aun cuando no se utilicen y contengan información reservada o confidencial.

3.1.3 Es responsabilidad de los usuarios evitar en todo momento la fuga de la información del Instituto Colombiano de derecho Tributario que se encuentre almacenada en los equipos de cómputo personal que tenga asignados. En caso de requerir copia de información, se debe solicitar al área de sistemas con la aprobación de la Dirección Ejecutiva.

3.2 Controles de acceso físico

3.2.1 Cualquier persona que tenga acceso a las instalaciones del Instituto Colombiano de Derecho Tributario, deberá registrar al momento de su entrada el equipo de cómputo en recepción.

3.2.2 Los equipos de escritorio, portátiles, y cualquier activo de tecnología de información, podrá salir de las instalaciones del Instituto Colombiano de derecho Tributario únicamente con la autorización de salida firmada por la Dirección Ejecutiva y el área de Sistemas.

3.3 Seguridad en áreas de trabajo

3.3.1 El Centro de Cómputo del Instituto Colombiano de Derecho Tributario es área restringida, por lo que sólo el personal autorizado, podrá acceder a él. El acceso debe ser justificado y registrado en el formato

3.4 Protección y ubicación de los equipos

3.4.1 Los usuarios no deben mover o reubicar los equipos de cómputo o de telecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorización del Área de Sistemas, en caso de requerir este servicio deberá solicitarlo.

3.4.2 El área de Sistemas será la encargada de asignar al usuario como responsable de los activos informáticos que se le asignen y de conservarlos en la ubicación autorizada.

3.4.3 El equipo de cómputo asignado, deberá ser para uso exclusivo de las funciones del Instituto Colombiano de Derecho Tributario.

3.4.4 Será responsabilidad del usuario solicitar la capacitación necesaria para el manejo de las herramientas informáticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para aprovechar al máximo las mismas.

3.4.5 Es responsabilidad de los usuarios almacenar su información únicamente en la partición de disco duro D:\ en la carpeta llamada “Información ICDT” ya que las otras están destinadas para archivos de programa y sistema operativo.

3.4.6 Mientras se opera el equipo de cómputo, no se deberán consumir alimentos o ingerir líquidos.

3.4.7 Se debe evitar

...