MODELO DE SEGURIDAD - Gobierno en línea.

More documents

Recommendations

Info

INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA privacidad personal (Ley 1266 de 2008 -Habeas data). Esta política, se enfoca a la protección de la confidencialidad, integridad, disponibilidad y no repudiación de la información y servicios electrónicos que ofrecen las entidades públicas del orden nacional y territorial en cumplimiento del decreto 1151 de 2008. El representante legal de las entidades públicas y privadas que participan en la cadena de prestación de servicios para la Estrategia de Gobierno en Línea, es responsable por implementar los requerimientos de seguridad que se plantean en la política con el fin proteger la información y los activos que la procesan. El nivel de seguridad que cada entidad debe implementar para proteger la información y los servicios de la Estrategia de Gobierno en Línea, debe corresponder a un proceso de análisis y evaluación de riesgos. La gestión del riesgo es un requerimiento del Modelo SGSI. Este proceso se ha fortalecido en las entidades públicas como resultado de la implantación del sistema integrado de gestión y control MECI y del sistema de gestión de la calidad NTC GP 1000:2004 para las entidades públicas. El Modelo de gestión de seguridad de la información para la estrategia de Gobierno en Línea es complementario con los sistemas de calidad, control interno y desarrollo administrativo. Es posible, para una entidad, adaptar su(s) sistema(s) de gestión y control existente(s) para que cumplan con los requisitos de este modelo. En la implementación del modelo de seguridad, se debe tener especial cuidado en la identificación de los elementos comunes, para evitar que se dupliquen esfuerzos. 6.4. Políticas y Objetivos de Seguridad de la Información Las políticas de seguridad que se plantean en este documento, se basan en un análisis estratégico acorde con cada una de las fases de la Estrategia de Gobierno en Línea. Estas políticas representan directrices generales de alto nivel que deben ser adoptadas por todos los participantes en la cadena de prestación de servicios durante las fases de la evolución de la Estrategia de Gobierno en Línea. Para asegurar el cumplimiento de las políticas de seguridad para Gobierno en Línea, se establecieron objetivos de control asociados a cada política: 6.4.1. PS1 – Política de Control de Acceso Las entidades que provean servicios de Gobierno en Línea que requieran mayor nivel de seguridad como resultado de un análisis y evaluación del riesgo, deben implementar mecanismos y controles que aseguren un efectivo registro, identificación y autenticación de los clientes y usuarios de dichos servicios. Así mismo, deben implementar mecanismos y controles que aseguren el acceso bajo el principio del menor privilegio, necesario para realizar únicamente las labores que a cada cliente o usuario de dichos servicios corresponden. Igualmente, se deben implementar controles para realizar una efectiva administración de usuarios y derechos de acceso. Objetivos de Control: Página 54 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS1.1 Otorgar acceso a servicios que requieren mayor nivel de seguridad o que involucran medios de pago sólo para usuarios autorizados. Se requiere limitar el acceso solo para usuarios identificados y autenticados apropiadamente. PS1.2 Otorgar los mínimos privilegios de acceso a servicios que requieren mayor nivel de seguridad. Se requiere minimizar el daño potencial causado por usuarios autorizados lo cual implica establecer segregación de funciones para separar usuarios de los servicios y usuarios con roles administrativos. PS1.3 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentación de un token de acceso 15 expedido por un tercero en representación de la entidad de gobierno proveedora del servicio. Se debe fortalecer el control de acceso para las transacciones que requieran mayor nivel de seguridad. PS1.4 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentación de información que soporte la identidad del individuo que requiere el acceso y sus credenciales de autenticación. Se debe implementar la autenticación personal más allá de la posesión del token. PS1.5 Otorgar privilegios de acceso a servicios de Gobierno en Línea sólo cuando se satisfaga la verdadera identidad del usuario, es decir que el usuario sea quien realmente dice que es y no esté registrado bajo otra identidad con un acceso legítimo. Se debe prevenir la creación de múltiples identidades. Un usuario puede tener múltiples roles con respecto a los servicios de Gobierno en Línea pero solo puede poseer una única identidad. PS1.6 Otorgar acceso a los usuarios sobre los servicios y o activos necesarios para soportar el servicio específico requerido. Se deben fortalecer los controles de acceso a nivel de objeto o aplicación, de manera que un usuario legítimo, una vez otorgado el acceso, no pueda alterar datos no requeridos por el servicio solicitado. PS1.7 Implementar una administración efectiva de los derechos de acceso de usuarios y asignar dicha responsabilidad al personal apropiado (administradores de accesos). PS1.8 Implementar la vigencia de los derechos de acceso y su revocación, una vez finalice el período asignado, o haya pérdida de las credenciales, o se detecte uso indebido de los recursos por parte de los usuarios. Las credenciales de acceso y los tokens deben quedar inválidos ante eventos de revocación. 15 Token de acceso: es un medio físico que un usuario posee y/o controla y lo utiliza para autenticar su identidad. Página 55 de 207
Page 1 and 2:
ENTREGABLES 3, 4, 5 y 6: INFORME FI
Page 3 and 4: INFORME FINAL - MODELO DE SEGURIDAD
Page 21 and 22: 5.1. Introducción INFORME FINAL -
Page 49 and 50: 5.6.2. Mejora del SGSI: INFORME FIN
Page 53: 6.2. Objetivos del Sistema INFORME
Page 57 and 58: Objetivos de Control: INFORME FINAL
Page 59 and 60: Objetivos de Control: INFORME FINAL
Page 61 and 62: PS2 - Política de no repudiación
Page 65 and 66: PS6 - Política de disponibilidad d
Page 67 and 68: PS8 - Política de registro y audit
Page 105 and 106:
INFORME FINAL - MODELO DE SEGURIDAD
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
Page 113 and 114:
Page 115 and 116:
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
Page 151 and 152:
Page 153 and 154:
Page 155 and 156:
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
Page 165 and 166:
Page 167 and 168:
Page 169 and 170:
Page 171 and 172:
Page 173 and 174:
Page 175 and 176:
Page 177 and 178:
Page 179 and 180:
Page 181 and 182:
Page 183 and 184:
Page 185 and 186:
Page 187 and 188:
Page 189 and 190:
Page 191 and 192:
Page 193 and 194:
Page 195 and 196:
Page 197 and 198:
Page 199 and 200:
La documentación del Modelo SGSI d
Page 201 and 202:
Page 203 and 204:
Page 205 and 206:
Page 207:
show all

MODELO DE SEGURIDAD - Gobierno en línea.

Create successful ePaper yourself

Delete template?

Save as template?