MODELO DE SEGURIDAD - Gobierno en línea.

More documents

Recommendations

Info

INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 5.6.1.1.2. Funciones del Grupo Técnico de Apoyo Fase Planear Ciclo PHVA: • Plantear las políticas y controles que componen el Modelo de Seguridad de la información • Coordinar tareas al interior del grupo relacionadas con acuerdos de cooperación con diferentes entidades. • Proveer el soporte técnico para asesorar adecuadamente a la Comisión. A NIVEL DE LAS ENTIDADES DESTINATARIAS –SGSI (ver ilustración 8): Funciones Fase Planear Ciclo PHVA: 1. Obtener Soporte de la Alta Dirección: El apoyo de la Alta Dirección – Gerencia de la entidad es vital para el éxito de la implementación del sistema SGSI. 2. Establecimiento del SGSI: La alta dirección debe definir el alcance y límites del SGSI en términos de la estrategia de Gobierno en Línea: procesos de negocio, áreas, servicios. No es necesario que el SGSI abarque toda la organización, puede empezar por un proceso o área y avanzar paulatinamente cubriendo mas procesos o áreas. 3. Realizar un inventario de activos: La organización debe realizar un levantamiento de información orientado a los activos que soportan los procesos de negocio que componen el alcance del SGSI, es decir, que activos soportan los sistemas de información y aplicaciones, que a su vez, soportan los procesos de negocio de la entidad. La herramienta de Autoevaluación 11 , presenta un formulario de ingreso de información para que el responsable por parte de la entidad, identifique los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios. Adicionalmente, calificará el grado de criticidad o importancia de cada activo en relación con el apoyo al modelo de seguridad de la información para la Estrategia de Gobierno en Línea. Esta calificación la 11 Ver mayor información de la herramienta de auto-evaluación en el documento: “Entregable 7 –Sistema Autoevaluación”. Página 40 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA realizará la entidad en la herramienta seleccionando en un rango de 1 a 5 donde 1 es una criticidad muy baja, 2 criticidad baja, 3 criticidad media, 4 criticidad alta y 5 criticidad muy alta. 4. Realizar la evaluación del riesgo en seguridad: Una vez el levantamiento de información de los activos parte del alcance del SGSI está realizado, se debe hacer la evaluación del riesgo asociado a dichos activos, especificando las áreas de preocupación, amenazas, vulnerabilidades, escenarios de riesgo, probabilidad de ocurrencia de la amenaza e impacto si llega a materializarse la amenaza a los activos que soportan los sistemas de información, aplicaciones y en consecuencia, los procesos de negocio o áreas parte del alcance. La entidad puede hacer uso de cualquier metodología de gestión, evaluación y análisis del riesgo que considere conveniente, no hay necesidad de usar una específica, lo importante es que tenga los elementos recomendados en la norma ISO27001. Como parte de la presente consultoría, se entrega un documento con la metodología de evaluación del riesgo propuesta. Ver documento “Entregable 4 - Anexo 2: Metodología de gestión del riesgo”. De igual forma, existen metodologías de gestión del riesgo recomendadas como la AS/NZ4360, la ISO27005:2008 y la SP800-30 (del instituto NIST http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf). 5.a. Preparar y elaborar la Declaración de Aplicabilidad (o en sus términos en inglés: Statement of Agreement –SOA): Cada entidad, según su naturaleza, y objetivos de negocio, seleccionará cuales de los dominios y objetivos de control de las normas ISO27001/27002 aplican y no aplican para su entidad. Para los seleccionados como “No Aplica”, la entidad deberá justificar detalladamente la exclusión; además, deberá tener en cuenta: • Los objetivos de control y controles seleccionados y los motivos para su elección; • Los objetivos de control y controles que actualmente ya están implantados; • La exclusión de cualquier objetivo de control y controles deberán estar justificados apropiadamente. El modelo de Seguridad para la Estrategia de Gobierno en Línea, propone un listado de políticas, objetivos de control y controles, producto de un análisis detallado de las normas internacionales recomendadas como la (ISO27001/27002, CobIT, NIST, AS/NZ4360) 12 y que en un mayor grado, apoyan los objetivos de la Estrategia de Gobierno en Línea. Ver numeral 6.5. de este documento para mayor información. Por medio de la Herramienta de Auto-evaluación, el usuario designado por cada entidad revisará los dominios y objetivos de control propuestos en la interfaz de la herramienta para que luego de un análisis interno con la Alta Dirección de su Entidad, seleccione cuales aplica y cuáles no. Para los que excluya, deberá digitar y adjuntar (la herramienta podrá permitir ingresar anexos) toda la 12 Para mayor información ver numeral 3.5.2. de este documento. Página 41 de 207
Page 1 and 2: ENTREGABLES 3, 4, 5 y 6: INFORME FI
Page 3 and 4: INFORME FINAL - MODELO DE SEGURIDAD
Page 21 and 22: 5.1. Introducción INFORME FINAL -
Page 39: INFORME FINAL - MODELO DE SEGURIDAD
Page 49 and 50: 5.6.2. Mejora del SGSI: INFORME FIN
Page 53 and 54: 6.2. Objetivos del Sistema INFORME
Page 57 and 58: Objetivos de Control: INFORME FINAL
Page 59 and 60: Objetivos de Control: INFORME FINAL
Page 61 and 62: PS2 - Política de no repudiación
Page 65 and 66: PS6 - Política de disponibilidad d
Page 67 and 68: PS8 - Política de registro y audit
Page 91 and 92:
INFORME FINAL - MODELO DE SEGURIDAD
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
Page 113 and 114:
Page 115 and 116:
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
Page 151 and 152:
Page 153 and 154:
Page 155 and 156:
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
Page 165 and 166:
Page 167 and 168:
Page 169 and 170:
Page 171 and 172:
Page 173 and 174:
Page 175 and 176:
Page 177 and 178:
Page 179 and 180:
Page 181 and 182:
Page 183 and 184:
Page 185 and 186:
Page 187 and 188:
Page 189 and 190:
Page 191 and 192:
Page 193 and 194:
Page 195 and 196:
Page 197 and 198:
Page 199 and 200:
La documentación del Modelo SGSI d
Page 201 and 202:
Page 203 and 204:
Page 205 and 206:
Page 207:
show all

MODELO DE SEGURIDAD - Gobierno en línea.

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?