“POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA POLICÍA NACIONAL” 1. 5. 4. 2. j. De la misma forma se revisan cuando se presenten situaciones como: cambios organizacionales . Enlaces a diferentes fuentes de referencia, herramientas, recursos y controles relacionados con los sistemas de gestión de seguridad de la información.Referencias para la selección de los controles en la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) en base a ISO/IEC 27001. Los activos de información se traducen en dispositivos tecnológicos, archivos, bases de datos, documentación física, personas, sistemas de información, entre otros. ��������Ʊ6��a���Y�=�^do���>�%;Ⱦf߲ü����K�E"�=��;�c6-�O�e*Z���G�[q��X�AyV����#�"k0��l)��]�g#ٟ�����Q��Vh#��N�w��Pǩר;Ԡ�T�R�ԃ�W�?�C���7��w����T�z�����T��r0�|6��`Ŭ��g��j�gkd��2��� Om� GESTIÓN DE CAPACIDAD. endobj
La aprobación y establecimiento de la Política de Seguridad de la Información, cuyos objetivos están alineados con las directrices estratégicas de la Institución. El procedimiento 1DT-PR-0017 Desarrollar Sistemas de Información, para la adquisición de productos contempla características de seguridad y realiza un proceso formal de pruebas, que hace parte del proceso de evaluación de las ofertas. Retroalimentar sobre el desempeño de la Seguridad de la Información (no conformidades, acciones correctivas, seguimiento y resultados de medición, auditorías) 9. ARTÍCULO 6. Cumplir con la Ley 23 de 1982. Así mismo se verifica que los niveles de carga no superen los establecidos por las normas. Errores humanos. 8. 4. El aporte de cada uno de los funcionarios al sistema desde su cargo o rol. GESTIÓN DE LAS VULNERABILIDADES TÉCNICAS. Permitir que personas ajenas a la Policía Nacional, ingresen sin previa autorización a las áreas restringidas o donde se procese información sensible para la Institución. La norma ISO/IEC 27001 proporciona los requisitos para el establecimiento, implementación mantenimiento y mejora continua de un sistema de gestión de seguridad de la información (SGSI), el cual debería ser una decisión estratégica para una organización, y desplegar todas sus capacidades para promover el crecimiento y la consolidación de una propuesta de valor. La definición de los indicadores del SGSI se describe en el documento 1DS-GU-0013 Guía de Herramientas de Seguimiento y Medición en la Policía Nacional, en donde se establece: 1. Para la seguridad de instalaciones, se deben contemplar los siguientes aspectos: 1. Los centros de cómputo deben cumplir ciertos estándares con el fin de garantizar los controles de acceso físico, los materiales de paredes, pisos y techos, el suministro de alimentación eléctrica y las condiciones medioambientales adecuadas. Auditoría, trazabilidad y respaldo de archivos de logs. Es responsabilidad del funcionario garantizar el adecuado uso del medio móvil asignado, conectándolo siempre a redes confiables, que no sean de acceso público para evitar que se contagien de cualquier amenaza pertinente a estos dispositivos (virus, troyanos, malware). La Policía Nacional cuenta con un control de dominio, que no permite la instalación de software y cambios de configuración del sistema, por lo tanto, los usuarios finales no deben tener privilegios de usuario administrador excepto los técnicos de Telemática a nivel país, quienes hacen uso de usuario administrador para configurar los equipos de cómputo de su unidad; por tanto, es deber de los usuarios finales informar oportunamente cuando su usuario permita instalar programas o hacer cambios de configuración. 11. endobj
Cuando el equipo se encuentra en óptimas condiciones y puede ser asignado a otro funcionario, se realiza borrado seguro de la información, en el momento en que los dispositivos cumplen el ciclo vida y se va a realizar disposición final se efectúa destrucción física del dispositivo de almacenamiento, estas acciones se encuentra descritas en el procedimiento 1DT-PR-0020 Borrado Seguro de la Información. El proceso de Direccionamiento Tecnológico de la Policía Nacional, realiza pruebas a los sistemas antes de su salida a producción teniendo en cuenta lo siguiente: 1. 5. 3. EQUIPOS SIN SUPERVISIÓN DE LOS USUARIOS. _________________________ del ___________________ HOJA N° 13 DE 40. Actualización del documento de Preguntas Frecuentes de la Normativa sobre Liquidez del Manual del Sistema de Información. Todos los funcionarios, personal que tenga vínculo directo con la Institución, propietario o custodio de activos de información, debe informar al dueño del activo o al grupo de Telemática, falencias en el tratamiento de la información con el fin de adoptar las acciones pertinentes para su protección. Identificar los riesgos de Seguridad de la Información (incluyendo las fases de identificación y evaluación del riesgo relacionados con la pérdida de confidencialidad, integridad y disponibilidad de la información). Guías de clasificación de la información. 4. El protocolo para la revisión contempla: 1. Ley 1581/2012- Decreto Reglamentario 1377/2013. REGISTRO, SUMINISTRO DE ACCESO Y CANCELACIÓN DE USUARIO. Quien tiene personal externo bajo su supervisión informa de manera inmediata a la Oficina de Telemática y/o grupo de telemática de la unidad o quien haga sus veces la terminación del contrato, con el fin de realizar los trámites de cancelación de derechos de acceso sobre los recursos tecnológicos, sistemas de información y acceso físico a las instalaciones. El personal externo o contratista diligenciará el formato 1DT-FR-0016 Declaración de Confidencialidad y Compromiso con la Seguridad de la Información Contratistas o Terceros y este hará parte integral del contrato o acuerdo de cooperación que debe reposar junto con las hojas de vida en las oficinas de Talento Humano de cada unidad. Determinar los controles preventivos. - La información confidencial deberá ser destruida o devuelta a la unidad de inteligencia que entregó el documento en 6 horas. Conectar computadores portátiles u otros dispositivos electrónicos personales a la red de datos de la Policía Nacional. Evaluar y dar trámite a las conductas contrarias que afectan la política de Seguridad de la Información de la Policía. Los equipos de cómputo deben quedar apagados al finalizar la jornada laboral o cuando una ausencia temporal supere dos (2) horas. Los usuarios por defecto o de fábrica de los equipos de cómputo deben ser deshabitados y el acceso a estos se debe realizar mediante el uso de usuario y contraseña. %����
Por tanto, todos los desarrollos de Sistemas de Información para uso de la Institución deben estar integrados al IPD (Sistema de Identificación Policial Digital). Cambios normativos. Otorgar privilegios de acceso a los activos de información a funcionarios o terceros no autorizados. REVISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 4. 4. ARTÍCULO 2. Las instalaciones de cableado se deben realizar siguiendo la arquitectura de los edificios, debidamente protegidos con canaleta en caso de realizarlas al interior, o con tubo metálico en caso de instalación tipo intemperie ARTÍCULO 9. 1 SEGURIDAD DE LOS RECURSOS HUMANOS ARTÍCULO 1. Las unidades de Policía cuentan con los grupos de emergencia, brigadistas, planes de evacuación los cuales deben ser socializados como mínimo una vez en el semestre. Valida que el nuevo sistema no afecta a los recursos actuales de producción. Es todo programa o aplicación que permite a un sistema o computadora realizar tareas específicas. 9. ALEXANDER PADILLA SANCHEZ “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA POLICÍA NACIONAL” • • • • • • • • • • Controles de las redes. ARTÍCULO 11. c. Uso de servicios disponibles en internet que permitan establecer una conexión o intercambios no autorizados. _________________________ del ___________________ HOJA N° 32 DE 40. Igualmente deberá hacer el tratamiento adecuado correspondiente a su clasificación y corrección de inconsistencias detectadas dentro de la matriz de riesgos. Que en atención a los preceptos normativos sobre el Sistema de Gestión de Seguridad de la Información, se hace necesario derogar la Resolución 03049 del 24 de Agosto de 2012 “Manual del Sistema de Gestión de Seguridad de la Información para la Policía Nacional”, y expedir nuevos lineamientos enfocados a la preservación de los activos de información, que permitan a la vez la consulta de los deberes institucionales y orientación a los funcionarios en el uso de las buenas prácticas para alcanzar los estándares de calidad, seguridad y ciclo de vida de la información, con el objeto de lograr mayor eficiencia, eficacia, efectividad y calidad de los activos de información, mediante las prácticas que se deben utilizar dentro de la Institución a través de la elaboración y aplicación de pautas para el desempeño de sus funciones y alcance de los objetivos en la prestación del servicio de Policía. Política de uso de los servicios de mensajería. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 239 0 R /Group<>/Tabs/S>>
1 0 obj
3. 7. ANÁLISIS Y ESPECIFICACIÓN DE REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN. Los ambientes de pruebas tienen la misma estructura del ambiente de producción. 4. Usar servicios de internet en los equipos de la Institución, diferente al provisto por el proceso de Direccionamiento Tecnológico o autorizado por este. Gabinete destinado a alojar equipamiento electrónico, informático y de comunicaciones. El suministro de energía está de acuerdo con las especificaciones del fabricante o proveedor de cada equipo. Los elementos metálicos que forman parte de los cableados estructurados están conectados al sistema de tierras del edificio. Carrera 68 # 64C - 75 Bogotá, Colombia. 5. 6. ARTÍCULO 16. Aplica: SI o No. La alta gerencia de cada unidad en donde se tiene implementado un Sistema de Seguridad de la Información ha de comunicar la importancia del cumplimiento de los controles establecidos para la protección de los activos de información. En las especificaciones técnicas para contratos de mantenimiento o garantía se contempla el suministro de nuevos discos sin realizar la entrega del disco dañado. Revisado y Aprobado por: Nombre: Oscar Javier Asprilla Cruz La adecuada identificación de riesgos sobre la información permitirá a la Institución tomar decisiones y priorizar las acciones sobre los mismos, enfocándose en requerimientos de seguridad de la información (inversión, priorización de necesidades, etc.). 2. d. Datos sensibles. 8. Son sistemas que reaccionan rápidamente para reducir el impacto y la posibilidad que un incendio se propague a otras zonas, contando con algunas de las siguientes características: detección temprana de humo, extinción mediante gas, monitoreo y alarmas contra incendios y sistemas rociadores para zonas comunes. RELACIONES CON PROVEEDORES. 9. Sobreescritura, desmagnetización y destrucción física de medios de almacenamiento. DE Debe contar con el respectivo control de acceso y filtrado web. 9. SERVICIOS PÚBLICOS DE SOPORTE. EXCEPCIONES. POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS. Hardware. Order a Manual Para El Diseno E Implementacion de Un Sistema de Informacion Para La Seguridad Alimentaria today from WHSmith. No visualizar contraseñas en la pantalla cuando se está ingresando. TECNOLOGÍAS DE LA INFORMACIÓN Código ENTREGA, SERVICIO Y SOPORTE DE TI A01-SO-02-UI.MAN01 GESTIÓN DE LOS SERVICIOS DE SEGURIDAD Versión No. Jefe Grupo Talento Humano. Para garantizar la total confidencialidad en el sistema de información, se aplican cuatro métodos que son relevantes para cualquier formato de información: Restricción o cierre completo del acceso a . GESTIÓN DE AUTENTICACIÓN USUARIOS Y CONTRASEÑAS. 2. 6 SEGURIDAD DE LAS OPERACIONES ARTÍCULO 1. Las claves criptográficas son protegidas contra modificación, destrucción, copia o divulgación no autorizada, así mismo, las claves criptográficas raíz de la infraestructura de llave pública Institucional, estarán protegidas en caja fuerte. PROTECCIÓN DE DATOS DE PRUEBA. El uso de equipos institucionales, para uso fuera de las instalaciones policiales, está restringido a equipos portátiles y móviles. En las unidades de Policía se deberá seguir las siguientes directrices para la aplicación de los controles de entrada, así: 1. REGISTROS DEL ADMINISTRADOR Y DEL OPERADOR. SEPARACIÓN DE LOS AMBIENTES DE DESARROLLO, PRUEBAS Y PRODUCCIÓN. Instrucciones para el envío de formularios. MANTENIMIENTO DE EQUIPOS. g. Secretaría General: Asesora en materia legal los aspectos pertinentes a Seguridad de la Información. El primer paso es recopilar toda la información en un inventario, que denominamos registro de activos. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 227 0 R /Group<>/Tabs/S>>
3. CONTROL DE ACCESO A CÓDIGOS FUENTE DE PROGRAMAS. 14 0 obj
Copias de respaldo de la versión anterior del Sistema de Información. La Oficina de Telemática solo autoriza el uso de software producido por ella misma, o software autorizado o suministrado al mismo por su titular, conforme a los términos y condiciones acordadas y lo dispuesto por la normatividad vigente. Las instalaciones eléctricas para sistemas de comunicaciones están debidamente aisladas y protegidas contra eventos relacionados con humedad, filtraciones de agua y agentes químicos que lo puedan deteriorar o causar fallas. Entre los más comunes encontraríamos ataques de denegación de servicio (DDoS), ataques con malware para encriptación de la información o robo de datos, ya sea por suplantación de identidad o por acceso ilícito mediante otras técnicas. Los planes de continuidad de negocio y recuperación de desastres contemplan las acciones que han de emprenderse ante una falla de la UPS. CUMPLIMIENTO CON LAS POLÍTICAS Y NORMAS DE SEGURIDAD. La Institución estableció un compromiso de confidencialidad mediante el formato 1DT-FR-0015 declaración de confidencialidad y compromiso con la seguridad de la información servidor público, el cual debe ser suscrito por todos los funcionarios o personal que tienen un vínculo laboral o contractual con la Policía Nacional, el cual es parte de su hoja de vida, junto con el acta de posesión y/o contrato. endobj
Actualizar el plan de recuperación de desastres con los cambios realizados, de ser necesario. 2. Jefe Planeación. 10. _________________________ del ___________________ HOJA N° 33 DE 40. i. El Comité de Seguridad de la Información será el responsable de realizar las revisiones de la política del SGSI y lo hará al menos una vez al año o cuando ocurran cambios en el entorno organizacional, marco legal o ambiente técnico. Antivirus. La Estructura del Manual del Sistema de Gestión de Seguridad de la Información; estará compuesto por los siguientes capítulos y anexos, así: CAPÍTULO I GENERALIDADES ARTÍCULO 3. f. Los funcionarios solo tendrán acceso a datos y recursos tecnológicos asignados, y serán responsables disciplinaria, administrativa y legalmente de la divulgación de información no autorizada. Antecedentes. 3. d. Dirección de Incorporación: Tiene como función seleccionar el talento humano de planta de tal manera que se certifique que el aspirante posee competencias que cumplan con el perfil del cargo al cual se postula de acuerdo al protocolo de selección del Talento Humano para la Policía Nacional. ARTÍCULO 2. ARTÍCULO 8. Este reconocimiento es aplicable a cualquier propiedad que se considere de naturaleza intelectual y merecedora de protección, incluyendo las invenciones científicas y tecnológicas, las producciones literarias o artísticas, las marcas y los identificadores, los dibujos y modelos industriales y las indicaciones geográficas. endobj
Llevar un control de versiones. INFORMACIÓN PÚBLICA CLASIFICADA. ROLES Y RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓN. MINISTERIO DE DEFENSA NACIONAL POLICÍA NACIONAL 2. Es aquel producto de inteligencia y contrainteligencia que tiene un receptor autorizado por ley, solo para su conocimiento directo y uso exclusivo. Todos los funcionarios de planta, prestación de servicios o cualquier otro tipo de vinculación con la Institución, deben diligenciar los formatos 1DT-FR-0015 Declaración de Confidencialidad y Compromiso con la Seguridad de la Información Servidor Público. 2. El uso de utilitarios licenciados del sistema está restringido a usuarios administradores. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 213 0 R /Group<>/Tabs/S>>
Partes externas. Para las auditorías al Sistema de Gestión de Seguridad de la Información SGSI se debe validar si las actividades de gestión y cumplimiento se encuentran en los siguientes ítems: 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. Todos los miembros de la Policía Nacional deberán velar por el cumplimiento de normas de derechos de autor y derechos conexos. ARTÍCULO 2. Actuar como punto de contacto especializado para la coordinación de la gestión de los incidentes con . 3. Este producto solo podrá ser empleado como referencia para tomar decisiones dentro de su órbita funcional. Política de software no autorizado. “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA POLICÍA NACIONAL” b. c. d. e. f. g. Transmisión de información sensible al interior de la Policía Nacional y fuera de ella. endobj
3. _________________________ del ___________________ HOJA N° 34 DE 40. Planificación del proceso de cambio. Jefe Centro Protección de Datos, CPD (donde este creado) o su delegado. 3. 2. Declaración de alto nivel de objetivos, directrices y compromiso de la Administración General de la Comunidad Autónoma del País Vasco y sus Organismos Realizar análisis de vulnerabilidades semestralmente. COMITÉ DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA POLICÍA NACIONAL: El Comité del Sistema de Gestión de Seguridad de la Información de la Policía Nacional planea, orienta, gestiona los recursos, implementa y realiza seguimiento del SGSI, realizando actividades de análisis de riesgos, implementación de controles con el fin de evitar la materialización de acciones que afecten los pilares de seguridad de la información (confidencialidad, integridad, disponibilidad), así mismo la realización de acuerdos de niveles de servicio entre las unidades certificadas y la Oficina de Telemática. Realizar cualquier otra acción que contravenga disposiciones constitucionales, legales o institucionales. Antes de permitir el acceso o la entrega de información a un tercero, se debe realizar una evaluación del riesgo, por parte del propietario del activo de información, con el fin de establecer la viabilidad de permitir el acceso a la información, para salvaguardar la confidencialidad, integridad y disponibilidad de la información. 44 0 obj
Análisis del índice delincuencial. 2. DISPOSICIÓN DE LOS MEDIOS DE SOPORTE. 10 0 obj
_________________________ del ___________________ HOJA N° 39 DE 40. b. Secreto. La responsabilidad ante el Sistema de Gestión de Seguridad de la Información es velar por la protección de la información a la cual se tiene acceso en cumplimiento de sus funciones. Esto es necesario para garantizar que los usuarios que tengan acceso a las redes y a sus servicios, no comprometan la seguridad de los mismos. Los registros de auditoría de los Sistemas de Información están consolidados en ambientes separados a los transaccionales, para las unidades que poseen servicios no administrados por la Oficina de Telemática, implementan su correlacionador de eventos y propenden por los registros (logs) del sistema. Permitir la instalación de las modificaciones, previa validación de pruebas de aceptación unitarias, de prueba, de calidad y de usuario final. Para conocer el estado de implementación de los controles y su evolución en el tiempo, se aplicará la escala de madurez de acuerdo a los objetivos de control para la información y tecnologías relacionadas de la guía COBIT v4.1. Las tablas de auditoría y archivos de logs usados para auditar los Sistemas de Información, están separados de los ambientes transaccionales, estos pueden ser verificados por el analista de continuidad de la información cuando se requiera por la autoridad competente o dentro de proceso administrativo, disciplinario o penal, así mismo pueden ser accedidos por personal del Área de Control Interno quienes realizan verificaciones sobre estos. 2. endobj
3. Evaluar el impacto de asumir el cambio por personal de la Institución. SSL (Secure Socket Layer). x��Y�n�8��;�(k��"���k;Y/�8��.E����ФM��}�>����}�R�,[���F��(��3��|ߌ������vu��^����W��o�����Ӈ��O������a�|��0\��������f���
z;����0�H� E�$5�=����_��~o�J#��{����G`-o�=���H+,�@��X*����E���{�ُ�~�}��h�[�7#�/��\a.��8a�pD�j;�����Q�v�U�Z��LǩJ�R��O�A�̏�O��Y�@�����hv����b�Dc����6�Lyr��s?��t@i���qH���xp��)��s�(�X(�`75_lǗ�P]6L���9�;�~��@$w��]�ܱ�Ӡc����t Un sistema de control automático es cuando un elemento llamado controlador reemplaza al operario humano. B. FACTORES INTERNOS: Para el Sistema de Gestión de Seguridad de la Información es importante tener en cuenta, algunos conceptos contemplados en el marco estratégico institucional, así: Misión Visión Mega Políticas institucionales: 1. 2. El Sistema de Gestión de Seguridad de la Información de la Policía Nacional será revisado para su actualización anualmente y/o extraordinariamente cuando sea necesario atendiendo las necesidades de mejora continua. Registrar todos los programas fuente en uso, indicando nombre del programa, programador, responsable que autorizó el cambio, versión, fecha de última modificación, fecha del último ejecutable, estado (modificación, desarrollo).
Alineaciones De Alianza Atlético Contra Universitario, Enzo Stranger Things 4 Actor, Cineplanet Celebra Tu Cumpleaños, Seco De Carne A La Norteña Con Yuca, El Romero Es Angiosperma O Gimnosperma, Malla Curricular Nutrición Y Dietética Carrion, Segundo Mandamiento Para Niños, Rodillera Para Ligamentos Laterales, Logística Internacional Conclusión,
Alineaciones De Alianza Atlético Contra Universitario, Enzo Stranger Things 4 Actor, Cineplanet Celebra Tu Cumpleaños, Seco De Carne A La Norteña Con Yuca, El Romero Es Angiosperma O Gimnosperma, Malla Curricular Nutrición Y Dietética Carrion, Segundo Mandamiento Para Niños, Rodillera Para Ligamentos Laterales, Logística Internacional Conclusión,