Manual del Sistema de Gestión de Seguridad de la Información PDF

MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Resolución Número 08310 del 28 de diciembre 000110 de 2016 Manual del Sistema de Gestión de Seguridad de la Información POLICÍA NACIONAL DE COLOMBIA MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Resolución Número 08310 del 28 de diciembre de 2016 2 Manual del Sistema de Gestión de Seguridad de la Información CONTENIDO TÍTULO 1 GENERALIDADES ARTÍCULO 1° ALCANCE.................................................................................... 14 ARTÍCULO 2° ESTRUCTURA DEL MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, S.G.S.I.......................................... 14 ARTÍCULO 3° ALCANCE DEL MANUAL....................................................... 14 ARTÍCULO 4° ALCANCE DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN, S.G.S.I........................................................................... 14 ARTÍCULO 5° LIDERAZGO Y COMPROMISO............................................. 17 TÍTULO 1I POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ARTÍCULO 6° POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN....... 20 ARTÍCULO 7° OBJETIVOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN........................................................................................ 20 ARTÍCULO 8° REVISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN...................................................................................................... 20 3 Manual del Sistema de Gestión de Seguridad de la Información TÍTULO 1II ORGANIZACIÓN DE SEGURIDAD DE LA INFORMACIÓN ARTÍCULO 9° ROLES Y RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓN............................................................................................... 24 ARTÍCULO 10°. SEPARACIÓN DE DEBERES................................................. 28 ARTÍCULO 11°. CONTACTO CON LAS AUTORIDADES........................ 28 ARTÍCULO 12°. CONTACTO CON GRUPOS DE INTERÉS ESPECIAL. 28 ARTÍCULO 13°. SEGURIDAD DE LA INFORMACIÓN EN GESTIÓN DE PROYECTOS........................................................................................................... 29 ARTÍCULO 14°. PLANIFICACIÓN.................................................................... 29 ARTÍCULO 15°. RECURSOS............................................................................... 30 ARTÍCULO 16°. CONOCIMIENTO.................................................................. 31 ARTÍCULO 17°. COMUNICACIÓN................................................................. 31 ARTÍCULO 18°. INFORMACIÓN DOCUMENTADA.................................. 31 ARTÍCULO 19°. EVALUACIÓN DEL DESEMPEÑO...................................... 32 ARTÍCULO 20°. AUDITORÍA INTERNA......................................................... 32 ARTÍCULO 21°. REVISIÓN POR LA DIRECCIÓN........................................ 33 ARTÍCULO 22°. NO CONFORMIDADES Y ACCIONES CORRECTIVAS. 34 ARTÍCULO 23°. EXCEPCIONES........................................................................ 34 ARTÍCULO 24°. TÉRMINOS Y DEFINICIONES............................................. 35 ARTÍCULO 25°. APLICACIÓN EN PROGRAMAS DE FORMACIÓN...... 40 ARTÍCULO 26°. OBLIGATORIEDAD............................................................... 41 ARTÍCULO 27°. REVISIÓN Y ACTUALIZACIÓN......................................... 41 ARTÍCULO 28°. VIGENCIA................................................................................. 41 4 Manual del Sistema de Gestión de Seguridad de la Información ANEXO 1 SEGURIDAD DE LOS RECURSOS HUMANOS ARTÍCULO 1°. SELECCIÓN................................................................................ 44 ARTÍCULO 2°. TÉRMINOS Y CONDICIONES DEL EMPLEO.................... 44 ARTÍCULO 3°. TOMA DE CONCIENCIA, EDUCACIÓN Y FORMACIÓN EN LA SEGURIDAD DE LA INFORMACIÓN................................................. 44 ARTÍCULO 4°. TERMINACIÓN O CAMBIO DE RESPONSABILIDADES DE EMPLEO..................................................................................................................... 44 ARTÍCULO 5°. RESPONSABILIDADES DE LOS USUARIOS....................... 45 ANEXO 1I GESTIÓN DE ACTIVOS ARTÍCULO 1°. INVENTARIO DE ACTIVOS................................................... 50 ARTÍCULO 2°. CLASIFICACIÓN DE LA INFORMACIÓN......................... 50 ARTÍCULO 3°. DOCUMENTOS DE INTELIGENCIA Y CONTRAINTELIGENCIA:.................................................................................... 52 ARTÍCULO 4°. NIVELES DE CLASIFICACIÓN DE LA INFORMACIÓN DE INTELIGENCIA Y CONTRAINTELIGENCIA.................................................. 52 ARTÍCULO 5°. SEGURIDAD Y RESTRICCIONES EN LA DIFUSIÓN DE PRODUCTOS E INFORMACIÓN DE INTELIGENCIA Y CONTRAINTELIGENCIA..................................................................................... 53 ARTÍCULO 6°. ETIQUETADO DE LA INFORMACIÓN Y MANEJO DE ACTIVOS.................................................................................................................. 54 5 Manual del Sistema de Gestión de Seguridad de la Información ARTÍCULO 7°. GESTIÓN DE MEDIOS DE SOPORTE REMOVIBLES....... 54 ARTÍCULO 8°. DISPOSICIÓN DE LOS MEDIOS DE SOPORTE 54 ARTÍCULO 9°. TRANSFERENCIA DE MEDIOS DE SOPORTE FÍSICO... 55 ANEXO III CONTROL DE ACCESO ARTÍCULO 1°. CONTROL DE ACCESO........................................................ 58 ARTÍCULO 2°. ACCESO A REDES Y A SERVICIOS EN RED..................... 58 ARTÍCULO 3°. CONTROL DE CAMINO FORZADO................................. 59 ARTÍCULO 4°. REGISTRO, SUMINISTRO DE ACCESO Y CANCELACIÓN DE USUARIO........................................................................................................... 59 ARTÍCULO 5°. GESTIÓN DE DERECHOS DE ACCESO PRIVILEGIADO. 60 ARTÍCULO 6°. GESTIÓN DE AUTENTICACIÓN USUARIOS Y CONTRASEÑAS..................................................................................................... 60 ARTÍCULO 7°. REVISIÓN, CANCELACIÓN O ELIMINACIÓN DE LOS DERECHOS DE ACCESO DE USUARIOS....................................................... 61 ARTÍCULO 8°. RESTRICCIÓN DE ACCESO A INFORMACIÓN............. 61 ARTÍCULO 9°. CONEXIÓN SEGURA.............................................................. 61 ARTÍCULO 10°. USO DE PROGRAMAS UTILITARIOS PRIVILEGIADOS. 62 ARTÍCULO 11°. CONTROL DE ACCESO A CÓDIGOS FUENTE DE PROGRAMAS.......................................................................................................... 62 ARTÍCULO 12°. POLÍTICA DISPOSITIVOS MÓVILES Y TELETRABAJO. 62 ARTÍCULO 13°. CONTROL DE CONEXIONES DE LAS REDES INALAMBRICAS...................................................................................................... 63 6 Manual del Sistema de Gestión de Seguridad de la Información ARTÍCULO 14°. USO ADECUADO DE LA PLATAFORMA TECNOLÓGICA..................................................................................................... 63 ANEXO IV CONTROL CRIPTOGRÁFICOS ARTÍCULO 1°. POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS................................................................................................ 68 ARTÍCULO 2°. GESTIÓN DE CLAVES............................................................. 68 ANEXO V SEGURIDAD FÍSICA Y DEL ENTORNO ARTÍCULO 1°. PERÍMETRO DE SEGURIDAD FÍSICA.................................. 72 ARTÍCULO 2°. CONTROLES FÍSICOS DE ENTRADA................................ 72 ARTÍCULO 3°. PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y AMBIENTALES......................................................................................................... 73 ARTÍCULO 4°. TRABAJO EN ÁREAS SEGURAS............................................ 73 ARTÍCULO 5°. ÁREAS DE DESPACHO Y CARGA....................................... 73 ARTÍCULO 6°. UBICACIÓN Y PROTECCIÓN DE LOS EQUIPOS.......... 73 ARTÍCULO 7°. SERVICIOS PÚBLICOS DE SOPORTE.................................. 74 ARTÍCULO 8°. SEGURIDAD DEL CABLEADO.............................................. 75 ARTÍCULO 9°. MANTENIMIENTO DE EQUIPOS......................................... 75 ARTÍCULO 10°. RETIRO DE ACTIVOS........................................................... 76 7 Manual del Sistema de Gestión de Seguridad de la Información ARTÍCULO 11°. SEGURIDAD DE EQUIPOS Y ACTIVOS FUERA DEL PREDIO..................................................................................................................... 76 ARTÍCULO 12°. DISPOSICIÓN SEGURA O REUTILIZACIÓN DE EQUIPOS.................................................................................................................. 77 ARTÍCULO 13. EQUIPOS SIN SUPERVISIÓN DE LOS USUARIOS........... 77 ARTÍCULO 14. POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA. 77 ANEXO VI SEGURIDAD EN LAS OPERACIONES ARTÍCULO 1°. PROTOCOLO DE OPERACIÓN DOCUMENTADO..... 82 ARTÍCULO 2°. GESTIÓN DE CAMBIOS.......................................................... 82 ARTÍCULO 3°. GESTIÓN DE CAPACIDAD................................................... 82 ARTÍCULO 4°. SEPARACIÓN DE LOS AMBIENTES DE DESARROLLO, PRUEBAS Y PRODUCCIÓN................................................................................ 83 ARTÍCULO 5°. CONTROLES CONTRA CÓDIGOS MALICIOSOS......... 83 ARTÍCULO 6°. COPIAS DE RESPALDO DE LA INFORMACIÓN............. 84 ARTÍCULO 7°. REGISTRO DE EVENTOS........................................................ 84 ARTÍCULO 8°. PROTECCIÓN DE LA INFORMACIÓN DE REGISTRO. 85 ARTÍCULO 9°. REGISTROS DEL ADMINISTRADOR Y DEL OPERADOR. 85 ARTÍCULO 10°. SINCRONIZACIÓN DE RELOJES....................................... 85 ARTÍCULO 11°. INSTALACIÓN DE SOFTWARE EN SISTEMAS OPERATIVOS........................................................................................................... 85 ARTÍCULO 12°. ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS. 85 8 Manual del Sistema de Gestión de Seguridad de la Información ARTÍCULO 13°. GESTIÓN DE LAS VULNERABILIDADES TÉCNICAS... 86 ARTÍCULO 14°. RESTRICCIONES SOBRE LA INSTALACIÓN DE SOFTWARE.............................................................................................................. 86 ARTÍCULO 15°. CONTROLES SOBRE AUDITORÍAS DE SISTEMAS DE INFORMACIÓN...................................................................................................... 86 ANEXO VII SEGURIDAD DE LAS COMUNICACIONES ARTÍCULO 1°. CONTROLES DE REDES......................................................... 90 ARTÍCULO 2°. SEGURIDAD DE LOS SERVICIOS DE RED........................ 90 ARTÍCULO 3°. POLÍTICAS Y PROTOCOLOS DE TRANSFERENCIA DE INFORMACIÓN...................................................................................................... 90 ARTÍCULO 4°. ACUERDOS SOBRE TRANSFERENCIA DE INFORMACIÓN...................................................................................................... 90 ARTÍCULO 5°. MENSAJES ELECTRÓNICOS.................................................. 91 ARTÍCULO 6°. COMPROMISO CON LA CONFIDENCIALIDAD O NO DIVULGACIÓN...................................................................................................... 91 ARTÍCULO 7°. COMPROMISO DE RESERVA................................................ 91 ANEXO VIII ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS 9 Manual del Sistema de Gestión de Seguridad de la Información ARTÍCULO 1°. ANÁLISIS Y ESPECIFICACIÓN DE REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN............................................................... 96 ARTÍCULO 2°. SEGURIDAD DE SERVICIOS DE LAS APLICACIONES EN REDES PÚBLICAS................................................................................................... 96 ARTÍCULO 3°. PROTECCIÓN DE TRANSACCIONES DE LOS SERVICIOS DE LAS APLICACIONES....................................................................................... 96 ARTÍCULO 4°. POLÍTICA DE DESARROLLO SEGURO.............................. 96 ARTÍCULO 5°. CONTROL DE CAMBIOS EN SISTEMAS............................ 97 ARTÍCULO 6°. REVISIÓN TÉCNICA DE APLICACIONES DESPUÉS DE CAMBIOS EN LA PLATAFORMA DE OPERACIONES................................. 97 ARTÍCULO 7°. RESTRICCIONES SOBRE CAMBIOS EN LOS PAQUETES DE SOFTWARE....................................................................................................... 98 ARTÍCULO 8°. DESARROLLO CONTRATADO EXTERNAMENTE........ 98 ARTÍCULO 10°. PROTECCIÓN DE DATOS DE PRUEBA.......................... 99 ANEXO IX RELACIONES CON TERCEROS ARTÍCULO 1°. RELACIONES CON PROVEEDORES.................................102 ANEXO X GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN ARTÍCULO 1°. GESTIÓN DE INCIDENTES..................................................106 10 Manual del Sistema de Gestión de Seguridad de la Información ANEXO XI CONTINUIDAD DE LA INFORMACIÓN ARTÍCULO 1°. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO...................................110 ANEXO XII CUMPLIMIENTO ARTÍCULO 1. DERECHOS DE PROPIEDAD INTELECTUAL...................114 ARTÍCULO 2°. PROTECCIÓN DE LOS REGISTROS.................................114 ARTÍCULO 3°. REGLAMENTOS CRIPTOGRÁFICOS................................115 ARTÍCULO 4°. REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIÓN....................................................................................................115 ARTÍCULO 5°. CUMPLIMIENTO CON LAS POLÍTICAS Y NORMAS DE SEGURIDAD..........................................................................................................115 ARTÍCULO 6°. REVISIÓN DEL CUMPLIMIENTO TÉCNICO...................117 11 Manual del Sistema de Gestión de Seguridad de la Información TÍTULO 1 GENERALIDADES 12 Manual del Sistema de Gestión de Seguridad de la Información 13 Manual del Sistema de Gestión de Seguridad de la Información ARTÍCULO 1° ALCANCE Expedir el Manual del Sistema de Gestión de Seguridad de la Información para la Policía Nacional. ARTÍCULO 2° ESTRUCTURA DEL MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, S.G.S.I. La Estructura del Manual del Sistema de Gestión de Seguridad de la Información; estará compuesto por capítulos y anexos. ARTÍCULO 3o ALCANCE DEL MANUAL El presente Manual es de cumplimiento para los funcionarios de la Policía Nacional y personal externo que le proporcione algún bien o servicio; quienes están obligados a adoptar los parámetros aquí descritos y los controles adicionales que pueden implementar las diferentes unidades de acuerdo a su misionalidad. ARTÍCULO 4° ALCANCE DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN, S.G.S.I. Las Unidades de Policía que se certifiquen e implementen el Sistema de Gestión de Seguridad de la Información, deberán definir los límites del alcance y la aplicabilidad de acuerdo a la Norma ISO 27001:2013, identificando los siguientes requisitos: 1. CONTEXTO DE LA ORGANIZACIÓN: Determinar factores internos y externos que pueden afectar la capacidad funcional de la Institución para lograr los objetivos definidos en cumplimiento de los resultados previstos en el Sistema de Gestión de la Seguridad de la Información. A. FACTORES EXTERNOS: Se deben identificar los siguientes elementos del contexto externo: − Avances tecnológicos accesibles. − Cambios de políticas. − Cambios normativos. − Exigencias de la comunidad de Seguridad de la Información. B. FACTORES INTERNOS: Para el Sistema de Gestión de Seguridad de la Información es importante tener en cuenta, algunos conceptos contemplados en el marco estratégico institucional, así: − Misión. − Visión. − Mega. 1. Políticas institucionales: 1. Políticas Institucionales Misionales. 14 Manual del Sistema de Gestión de Seguridad de la Información − Servicio de Policía. − Unidad Institucional. − Integridad Policial. − Gestión humana y calidad de vida óptima. − Educación e Innovación Policial. − Comunicaciones Efectivas. − Buen Uso de los Recursos. 2. Políticas Institucionales de Sistemas de Gestión. 2. Principios y valores éticos institucionales. 2. COMPRENSION DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS: Son aquellos factores que configuran la razón de ser de las diferentes unidades de la Policía Nacional; es decir, sectores sociales o clientes hacia los que la Institución focaliza sus esfuerzos y pretende atender de forma eficiente, por lo tanto cada unidad de acuerdo a su misionalidad debe identificar los clientes (partes interesadas) que impactan con su función, y que con las actividades que realizan deben tener en cuenta el cumplimiento de las políticas del Sistema de Gestión de Seguridad de la Información. GRUPOS SOCIALES OBJETIVO O CLIENTES Población General Gremios, asociaciones y sector productivo Organizada COMUNIDAD Medios de comunicación Policías de otros países Internacional Organismos multilaterales Ejecutiva Ramas del poder Judicial público ESTADO Legislativa Órganos de Control Órganos de Control Personal Activo COMUNIDAD Usuarios POLICIAL Personal en uso de buen retiro y pensionados 3. PARTES INTERESADAS: están definidas como: A. COMUNIDAD: Grupo social, colombianos y extranjeros que se encuentren en el territorio nacional a quienes la Policía Nacional brinda servicios de protección. 15 Manual del Sistema de Gestión de Seguridad de la Información La relación que existe entre la Policía Nacional y la comunidad, es la de crear condiciones necesarias para la convivencia y la seguridad, así mismo la de garantizar la integridad policial, la transparencia y la veeduría social. B. ESTADO: La relación de la Policía Nacional y el Estado se fundamenta con el principio constitucional de garantizar la seguridad de todos los habitantes del territorio nacional, por lo tanto, el compromiso de la Institución es respetar y promover el Estado Social de Derecho, cumpliendo todos los requisitos legales, contractuales y regulatorios que sean de aplicación para la Seguridad de la Información. Cumplimiento normativo: - Ley 80 del 28/10/1993 “Estatuto general de contratación de la administración pública” - Ley 87 del 29/11/1993 “Control interno en los organismos del estado” - Ley 527 del 18/08/1999 “Comercio electrónico” - Ley 594 del 14/07/2000 “Ley General de archivo” - Ley 599 del 24/07/2000 “Código penal colombiano” - Ley 603 de 2000 “Control de Legalidad del Software” - Ley 734 del 05/02/2002 “Código Disciplinario Único” - Ley 962 de 2005 “Simplificación y Racionalización de Trámite. Atributos de seguridad en la información electrónica de entidades públicas;” - Ley 1015 del 07/02/2006 “Régimen Disciplinario para la Policía Nacional” - Ley 1150 de 2007 “Seguridad de la información electrónica en contratación en línea” - Ley 1266 del 31/12/2008 “Por lo cual se dictan disposiciones generales del habeas data y se regula el manejo de la información” - Ley 1273 del 05/01/2009 “Protección de la información y de los datos” - Ley 1341 de 2009 “Tecnologías de la Información y aplicación de seguridad” - Ley 1480 de 2011 “Protección al consumidor por medios electrónicos. Seguridad en transacciones electrónicas”. - Ley 1581 del 17/10/2012 “Por la cual se dictan disposiciones generales para la protección datos personales” y su decreto reglamentario 1377 del 27 de junio de 2013. - Ley 1621 del 17/04/2013 “Inteligencia y Contrainteligencia” - Ley 1712 del 06/03/2014 “Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones”. - Decreto Ley 019 de 2012 “Racionalización de trámites a través de medios electrónicos. Criterio de seguridad”. - Decreto 103 del 20/01/2015 “por el cual se reglamenta parcialmente la Ley 1712 de 2014 y se dictan otras disposiciones” - Decreto 1070 de 2015 del 26/05/2015 “por el cual se expide el Decreto Único Reglamentario del Sector Administrativo de Defensa” - Manual para la implementación de la estrategia de gobierno en línea en las entidades del orden nacional de la República de Colombia. - Documento CONPES 3854 11/04/2016 “Política Nacional de Seguridad Digital” - Norma técnica Colombiana NTC-ISO/IEC 27000. - Metodología para análisis y evaluación de riesgos de la Policía Nacional. 16 Manual del Sistema de Gestión de Seguridad de la Información - Directiva 18 del 19/06/2014 Ministerio de Defensa Nacional “Políticas de Seguridad de la Información para el Sector Defensa” Así mismo se dará cumplimiento a las nuevas Leyes, Decretos y Normas emitidas por las autoridades competentes que involucren a las entidades públicas relacionadas con Seguridad de la Información y protección de datos. C. COMUNIDAD POLICIAL: Los funcionarios de la Policía Nacional son todos aquellos quienes con su talento, compromiso, responsabilidad y liderazgo garantizan el orden público de la nación. La responsabilidad ante el Sistema de Gestión de Seguridad de la Información es velar por la protección de la información a la cual se tiene acceso en cumplimiento de sus funciones. 4. INTERFACES Y DEPENDENCIAS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN: Cada unidad de Policía debe identificar las dependencias que desarrollan actividades que interactúan con otras organizaciones y unidades de Policía, con el fin de dar aplicabilidad al SGSI en la protección de los activos de información. ARTÍCULO 5o LIDERAZGO Y COMPROMISO La Policía Nacional demuestra su apoyo y compromiso con la protección de la información institucional a través de: 1. La aprobación y establecimiento de la Política de Seguridad de la Información, cuyos objetivos están alineados con las directrices estratégicas de la Institución. 2. La disposición de los recursos necesarios para la adecuada operación del Sistema de Gestión de Seguridad de la Información. 3. El aseguramiento del cumplimiento de los objetivos definidos para la Gestión de Seguridad de la Información. 4. La alta gerencia de cada unidad en donde se tiene implementado un Sistema de Seguridad de la Información ha de comunicar la importancia del cumplimiento de los controles establecidos para la protección de los activos de información. 5. Los lineamientos institucionales que apoyan al personal que soporta la gestión de Seguridad de la Información dentro de la Institución. 6. La mejora continua. 17 Manual del Sistema de Gestión de Seguridad de la Información TÍTULO 1I POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 18 Manual del Sistema de Gestión de Seguridad de la Información 19 Manual del Sistema de Gestión de Seguridad de la Información ARTÍCULO 6o POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN La Policía Nacional de Colombia se compromete a salvaguardar sus activos de información con el fin de protegerlos de las amenazas que se ciernen sobre ellos, a través de la implementación de un Sistema de Gestión de Seguridad de la Información que permita la adecuada gestión del riesgo, la generación de estrategias de seguridad basada en las mejores prácticas y controles, el cumplimiento de los requisitos legales, la oportuna gestión de los incidentes, y el compromiso Institucional de mejora continua. ARTÍCULO 7o OBJETIVOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. Con el fin de minimizar la materialización del riesgo frente a los activos de información de la Policía Nacional se han establecido los siguientes objetivos del SGSI, así: - Crear una cultura de Seguridad de la Información en cada unidad Policial mediante sensibilizaciones y capacitaciones en cuanto a las mejores prácticas para evitar la materialización de riesgos asociados al SGSI. - Identificar mediante una adecuada evaluación del riesgo, el valor de la información, así como las vulnerabilidades y las amenazas a las que está expuestas. - Dar un tratamiento efectivo a los incidentes de seguridad, con el fin de identificar sus causas y realizar las acciones correctivas. - Implementar y mantener el Sistema de Gestión de Seguridad de la Información promoviendo la mejora continua. ARTÍCULO 8o REVISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN El Comité de Seguridad de la Información será el responsable de realizar las revisiones de la política del SGSI y lo hará al menos una vez al año o cuando ocurran cambios en el entorno organizacional, marco legal o ambiente técnico. 20 Manual del Sistema de Gestión de Seguridad de la Información 21 Manual del Sistema de Gestión de Seguridad de la Información TÍTULO III ORGANIZACIÓN DE SEGURIDAD DE LA INFORMACIÓN 22 Manual del Sistema de Gestión de Seguridad de la Información 23 Manual del Sistema de Gestión de Seguridad de la Información ARTÍCULO 9o ROLES Y RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓN. La Policía Nacional, con el fin de realizar un adecuado aseguramiento de la administración del Sistema de Gestión de Seguridad de la Información (S.G.S.I.), define los siguientes roles de quienes deben apoyar y cumplir esta política, así: 1. COMITÉ DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA POLICÍA NACIONAL. El Comité del Sistema de Gestión de Seguridad de la Información de la Policía Nacional planea, orienta, gestiona los recursos, implementa y realiza seguimiento del S.G.S.I., realizando actividades de análisis de riesgos, implementación de controles con el fin de evitar la materialización de acciones que afecten los pilares de seguridad de la información (confidencialidad, integridad, disponibilidad), así mismo la realización de acuerdos de niveles de servicio entre las unidades certificadas y la Oficina de Telemática. 1.1 INTEGRANTES COMITÉ DEL S.G.S.I. - Jefe del Grupo del Equipo de Respuesta a Incidentes de Seguridad Informática “CSIRT - PONAL” o quien haga sus veces. - Jefe de Centro de Protección de Datos “C.P.D.” o encargados del Sistema de Gestión de Seguridad de la Información (S.G.S.I.) de cada Dirección. - Jefe Grupo Direccionamiento Institucional de la Oficina de Planeación (Encargado de Sistema de Gestión de Calidad (S.G.C.)). - Invitados. 1.2 FUNCIONES COMITÉ DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA POLICÍA NACIONAL. − Liderar y definir las actividades tendientes al fortalecimiento y mejora continua de la Seguridad de la Información en las unidades certificadas. − Promover el cumplimiento, por parte del personal de la unidad, de las políticas de Seguridad de la Información Institucional − Definir, evaluar e implementar en la unidad los controles preventivos alineados a la ISO27001:2013 y el Manual de Seguridad de la Información de la Institución. − Evaluar y dar trámite a las conductas contrarias que afectan la política de Seguridad de la Información de la Policía. − Verificar y aprobar el inventario de los activos de información. 24 Manual del Sistema de Gestión de Seguridad de la Información − Realizar seguimiento a los acuerdos de nivel de servicios entre la Oficina de Telemática y las unidades certificadas. − Gestionar los riesgos de Seguridad de la Información de la unidad a través del seguimiento al tratamiento de riesgo institucional que afecte la Seguridad de la Información − Resolver las controversias y conflictos entre la entidad de certificación (PKI, Infraestructura de llave publica de la Policía Nacional) y sus suscriptores, cuya función será resolver cualquier controversia o diferencia que pudiera surgir entre la PKI-PONAL y sus suscriptores, en relación con la interpretación y/o aplicación de la Declaración de Prácticas de Certificación Digital – DPC, que no pueda ser resuelta, dentro de los treinta (30) días calendario siguientes al momento en que dicha controversia o diferencia haya sido planteada. − 1.3 PERIODICIDAD DE CONVOCATORIA. El Comité del Sistema de Gestión de Seguridad de la Información de la Policía Nacional es presidido y convocado por el Jefe Grupo Seguridad de la Información o quien haga sus veces, deberá reunirse semestralmente o cuando se requiera extraordinariamente. 2. COMITÉ INTERNO DE SEGURIDAD DE LA INFORMACIÓN. Es el Comité Interno de Seguridad de la Información conformado en las unidades de Policía, en el cual se planea, orienta, gestiona los recursos, implementa y realiza seguimiento del SGSI, realizando actividades de concientización sobre las mejores prácticas, gestión de activos de información, gestión del riesgo y atención de los incidentes de seguridad con el fin de garantizar el fortalecimiento de la política de seguridad de la información. 2.1 INTEGRANTES COMITÉ INTERNO DEL S.G.S.I. DIRECCIONES, OFICINAS ASESORAS, ESCUELAS: − Director o Subdirector. − Jefe Planeación. − Jefe Administrativo. − Jefe Comunicaciones Estratégicas (COEST). − Jefe Grupo Telemática. − Jefe Centro Protección de Datos, C.P.D (donde este creado) o su delegado. − Jefe Seguridad e Instalaciones. − Jefe Grupo Talento Humano. − Jefe Gestión Documental. − Analista de Seguridad de la Información. − Asesor Jurídico. 25 Manual del Sistema de Gestión de Seguridad de la Información DEPARTAMENTOS Y METROPOLITANAS: − Comandante o Subcomandante. − Jefe Planeación. − Jefe Administrativo. − Jefe Comunicaciones Estratégicas (COEST). − Jefe Grupo Telemática. − Jefe Seguridad de Instalaciones o Comandante de Guardia. − Jefe Grupo Talento Humano. − Jefe Gestión Documental. − Asesor Jurídico. − Analista de Seguridad de la Información. − Jefe Seccional de Investigación Criminal, SIJIN. − Jefe Seccional de Inteligencia Policial, SIPOL. En las reuniones del Comité Interno de Seguridad de la Información en caso de no asistir el titular deberá hacerlo su delegado. 2.2 FUNCIONES DEL COMITÉ INTERNO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. − Liderar y definir las actividades tendientes al fortalecimiento y mejora continua de la Seguridad de la Información en la unidad. − Promover el cumplimiento, por parte del personal de la unidad, de las políticas de Seguridad de la Información Institucional. − Desplegar las políticas de Seguridad de la Información definidas por el Comité de Seguridad de la Información de la Policía Nacional. − Definir, evaluar e implementar en la unidad los controles preventivos alineados a la ISO27001:2013 y el Manual de Seguridad de la Información de la Institución. − Divulgar y realizar campañas pedagógicas a los funcionarios y contratistas de la unidad sobre las mejores prácticas en la gestión de activos de información. − Evaluar y dar trámite a las conductas contrarias que afectan la política de Seguridad de la Información de la Policía. − Verificar y aprobar el inventario de los activos de información realizado por el analista de seguridad de la información de la unidad o quien haga sus veces. − Resolver las controversias y conflictos entre la entidad de certificación (PKI, Infraestructura de llave publica de la Policía Nacional) y sus suscriptores, cuya función será resolver cualquier controversia o diferencia que pudiera surgir entre la PKI-PONAL y sus suscriptores, en relación con la interpretación y/o aplicación de la Declaración de Prácticas de Certificación Digital – DPC, que no pueda ser resuelta, dentro de los treinta (30) días calendario siguientes al momento en que dicha controversia o diferencia haya sido planteada. 26 Manual del Sistema de Gestión de Seguridad de la Información 2.3 PERIODICIDAD DE CONVOCATORIA. El Comité de Seguridad de la Información es presidido y convocado por el señor Director o Subdirector, Comandante o Subcomandante según sea el caso, deberá reunirse trimestralmente o cuando se requiera extraordinariamente. 3. RESPONSABILIDADES INDIVIDUALES. Los roles y responsabilidades de quienes deben apoyar y cumplir la Política de Seguridad de la Información los cuales son responsables de la implementación del Sistema de Gestión de Seguridad de la Información, verificando la efectividad y eficiencia del Sistema acorde con los objetivos de la Policía Nacional, tomando las acciones correctivas que hubiese lugar, serán los siguientes: a. OFICINA DE TELEMÁTICA. Administra las herramientas tecnológicas de la Policía Nacional que son gestionadas desde el Nivel Central, así mismo efectúa las tareas de desarrollo y mantenimiento de Sistemas de Información, siguiendo una metodología de ciclo de vida, la cual debe contemplar medidas de seguridad. b. GRUPO DE SEGURIDAD DE LA INFORMACIÓN: La Oficina de Telemática lidera el desarrollo, implementación, mantenimiento y actualización del Sistema de Gestión de Seguridad de la Información. c. PROPIETARIOS DE LOS ACTIVOS DE INFORMACIÓN: Son todos aquellos funcionarios que identifican, elaboran, clasifican y gestionan el riesgo de los activos de información de acuerdo al grado de sensibilidad de la misma. d. DIRECCIÓN DE INCORPORACIÓN: Tiene como función seleccionar el talento humano de planta de tal manera que se certifique que el aspirante posee competencias que cumplan con el perfil del cargo al cual se postula de acuerdo al protocolo de selección del Talento Humano para la Policía Nacional. e. INSPECCIÓN GENERAL: Investiga las conductas contrarias que afectan la Política de Seguridad de la Información. f. ÁREA DE CONTROL INTERNO: Revisa y verifica el cumplimiento de la presente Resolución, a través de las auditorias programadas a las unidades, así mismo a aquellas que cuenten con un Sistema de Seguridad de la Información. Parágrafo: Para las unidades que no cuentan con un Sistema de Seguridad de Información, el Área de Control Interno revisará y verificará el cumplimiento de los controles transversales, así: − Seguridad del cableado. − Mantenimiento de los equipos. − Seguridad de los equipos fuera de las instalaciones. − Destrucción o reutilización segura de equipos. − Normas de escritorios y pantallas limpias. 27 Manual del Sistema de Gestión de Seguridad de la Información − Retiro de bienes de las instalaciones. − Suministro de energía. − Seguridad de los equipos. − Controles de las redes. − Seguridad de los servicios de red. − Manejo de los medios de almacenamiento. − Mensajería electrónica. − Responsabilidad de los usuarios − Identificación y autenticación de usuarios. − Sensibilización y concienciación a funcionarios y terceros. − Atención de incidentes de seguridad de la información. − Disponibilidad de canales de comunicaciones. − Antivirus. g. SECRETARÍA GENERAL: Asesora en materia legal los aspectos pertinentes a Seguridad de la Información. h. EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA “CSIRT PONAL.” (Computer Security Incident Response Team): Atiende e investiga los incidentes de Seguridad de la Información Institucional y propende por el restablecimiento del servicio en caso de verse afectado. i. CENTRO CIBERNÉTICO POLICIAL, (C.C.P.): Investiga los incidentes que se sospechan constituyen un delito, a través del control y liderazgo de la Dirección de Investigación Criminal e Interpol (DIJIN). j. FUNCIONARIOS: Todo el personal que labora o realiza actividades para la Policía Nacional, son responsables por el cumplimiento de la presente resolución y es deber informar cualquier incidente de Seguridad de la Información que se tenga conocimiento. ARTÍCULO 10°. SEPARACIÓN DE DEBERES. En los cargos donde se realicen labores sensibles o sean identificados como perceptivos a corrupción, se debe realizar la separación de tareas entre distintos funcionarios o contratistas con el fin de reducir el mal uso de los sistemas e informaciones deliberadas o acciones por negligencia. ARTÍCULO 11°. CONTACTO CON LAS AUTORIDADES. Las diferentes unidades de la Policía Nacional, realizan un listado de contacto con las autoridades la cual debe incluir a las empresas de servicios públicos, servicios de emergencia, proveedores de electricidad, salud y seguridad. ARTÍCULO 12°. CONTACTO CON GRUPOS DE INTERÉS ESPECIAL. 28 Manual del Sistema de Gestión de Seguridad de la Información El Equipo de Respuesta a Incidentes de Seguridad Informática “CSIRT-PONAL”, será el encargado de mantener las membrecías con grupos o foros de interés especial como un medio para: − Obtener el conocimiento sobre las mejores prácticas y permanecer actualizado con la información sobre seguridad informática pertinente. − Recibir advertencias tempranas de las alertas, avisos y actualizaciones acerca de ataques y vulnerabilidades. − Compartir e intercambiar información acerca de nuevas tecnologías, productos, amenazas o vulnerabilidades. − Brindar los enlaces adecuados cuando se trata de incidentes que afectan la Seguridad de la Información. − Emitir los respectivos boletines con el fin de mantener al día al personal de la Policía Nacional sobre los incidentes de Seguridad Informática y de esta manera difundir las recomendaciones para adoptar las mejores prácticas. ARTÍCULO 13°. SEGURIDAD DE LA INFORMACIÓN EN GESTIÓN DE PROYECTOS. Cada vez que la Policía Nacional planee, desarrolle, ejecute e implemente nuevos proyectos de adquisición o mejora de recursos tecnológicos, físicos o de cualquier índole, hace el estudio de conveniencia y oportunidad en el cual deberá considerar los riesgos jurídicos y operativos del proyecto, así como realizar la inclusión de cláusulas de firma de acuerdos de confidencialidad y estudios de confiabilidad. La adquisición de nuevos recursos y servicios tecnológicos de Información y comunicaciones, así como software y hardware asociado, serán autorizados únicamente por el proceso de Direccionamiento Tecnológico de la Policía Nacional de Colombia. ARTÍCULO 14°. PLANIFICACIÓN. La Policía Nacional se basa en los aspectos determinados en el contexto de la organización y una acertada gestión de los riesgos asociados a la información, lo cual permite determinar el impacto para la Institución y sus procesos en caso que se produzca una situación de pérdida de confidencialidad, integridad o disponibilidad en la información. La adecuada identificación de riesgos sobre la información permitirá a la Institución tomar decisiones y priorizar las acciones sobre los mismos, enfocándose en requerimientos de seguridad de la información (inversión, priorización de necesidades, etc.). La metodología de riesgos definida por la Policía Nacional para el Sistema de Gestión de Seguridad de la Información incluye: 1. Criterios de aceptación y evaluación de riesgos. 2. Identificar los riesgos de Seguridad de la Información (incluyendo las fases de identificación y evaluación del riesgo relacionados con la pérdida de confidencialidad, integridad y disponibilidad de la información). 3. Definición de los responsables de la información como dueños del riesgo. 29 Manual del Sistema de Gestión de Seguridad de la Información 4. Categorización del impacto, probabilidad de ocurrencia y las consecuencias potenciales sobre la Institución si se materializaran. 5. Definición de tratamiento de riesgos de seguridad de la información y la aprobación de los mismos por parte del dueño del riesgo. Una vez concluido el análisis de riesgos y generados los planes de tratamiento tal como lo describe la metodología de riesgos de la Policía Nacional, se debe generar o actualizar (según sea el caso) la declaración de aplicabilidad de la unidad, en la que se incluyan los controles necesarios y la justificación de las inclusiones, ya sea que se implementen o no, y la justificación para las exclusiones de los controles conforme al anexo A de la Norma Técnica de Calidad ISO/IEC 27001:2013. Esta declaración de aplicabilidad debe contener como mínimo la siguiente información: − Numeral y Control de la norma. − Nombre del control. − Responsable. − Descripción − Razón para la selección y/o justificación para la exclusión. − Tipo de control: automático o manual. − Aplica: SI o No. − Formato o procedimiento asociado. − Cómo se aplica. Antes de definir la Declaración de Aplicabilidad, es importante que cada unidad realice las siguientes actividades, con el fin de determinar los activos de información a proteger. 1. Levantamiento e inventario de activos de información (de acuerdo a la guía 1DT- GU-0011 identificación y valoración de activos de información). 2. Realización análisis de riesgos. 3. Realización de planes de tratamiento de riesgo. 4. Implementación controles. ARTÍCULO 15°. RECURSOS. La Policía Nacional, consciente de la importancia de la seguridad de la información, prevé los recursos de acuerdo a la disponibilidad presupuestal para el establecimiento, implementación, mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la Información a través de la inclusión en el Plan Anual de Necesidades, dentro del cual se consideran los requerimientos necesarios para la implementación de controles técnicos- administrativos. 30 Manual del Sistema de Gestión de Seguridad de la Información ARTÍCULO 16°. CONOCIMIENTO. El Sistema de Gestión de la Seguridad de la Información de la Policía Nacional, define y mantiene programas de formación, planes de sensibilización y toma de conciencia a través de los Grupos de Telemática. El plan de sensibilización se revisará, definirá y ejecutará de acuerdo con las necesidades y en coordinación con los demás sistemas de gestión de la Institución. Estas actividades de definición estarán coordinadas entre el Grupo de Seguridad de la Información de la Oficina de Telemática y las áreas encargadas de la generación de competencias en el talento humano y en el manejo de la cultura y la gestión del cambio organizacional. Dentro de la sensibilización se deberán incluir como mínimo los siguientes temas: − Normatividad, incluyendo la Política de Seguridad de la Información de la Institución. − La importancia y los beneficios del Sistema de Gestión de Seguridad de la Información. − El aporte de cada uno de los funcionarios al sistema desde su cargo o rol. − Las implicaciones de la no conformidad con los requisitos descritos en la norma ISO 27001:2013 para el Sistema de Gestión de Seguridad de la Información. ARTÍCULO 17°. COMUNICACIÓN. La Policía Nacional cuenta con la Oficina Asesora de Comunicaciones Estratégicas (COEST), a través de la cual se socializan y difunden los diferentes componentes del Sistema, entre ellos el Manual del Sistema de Gestión de Seguridad de la Información, las políticas, los protocolos, guías que lo soportan y los elementos necesarios para la sensibilización de los funcionarios de la Policía Nacional. Por lo tanto, se debe realizar las coordinaciones necesarias con los responsables de COEST para la comunicación de los temas relacionados con el Sistema de Gestión de Seguridad de la Información. ARTÍCULO 18°. INFORMACIÓN DOCUMENTADA. Todas las decisiones y acciones en cuanto al Sistema de Gestión de Seguridad de la Información estarán documentadas. Para ello se llevará registro de las decisiones tomadas por la Dirección de cada unidad y de los demás documentos que representen un registro para el S.G.S.I. (reportes de incidentes, valoraciones de eficacia de los controles, actas, entre otros). En cuanto a los documentos relacionados con el S.G.S.I., también deben estar protegidos y disponibles en sus últimas versiones. Para dar cumplimiento a lo anterior, se debe considerar lo siguiente: 1. CREACIÓN Y ACTUALIZACIÓN DE DOCUMENTOS: Se realiza de acuerdo con las tablas de retención documental (TRD) definidas para cada una de las Direcciones y Oficinas Asesoras (dando cumplimiento a la Ley 594 de 2000 Ley general de archivo), liderado por el área de Archivo de la Secretaría General. 31 Manual del Sistema de Gestión de Seguridad de la Información Dentro de las TRD se describe el código, nombre y tiempo de retención de la información definida por los productores de la información. 2. CONTROL DE LA INFORMACIÓN DOCUMENTADA: El control de la información recibida y enviada por la Institución es administrado por la aplicación de Gestión de Contenidos Policiales (GECOP), a través de la cual se tiene una clasificación inicial de la información que incluye un nivel básico de confidencialidad. ARTÍCULO 19°. EVALUACIÓN DEL DESEMPEÑO. La Policía Nacional ha definido dentro del alcance la medición de indicadores, la evaluación del desempeño de la Seguridad de la Información y la eficacia del Sistema de Gestión de Seguridad de la Información. La definición de los indicadores del SGSI se describe en el documento 1DS-GU-0013 Guía de Herramientas de Seguimiento y Medición en la Policía Nacional, en donde se establece: 1. Las acciones, procesos y controles de Seguridad de la Información a las que se debe hacer seguimiento. 2. Los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para asegurar la mejora continua. 3. Cuando se deben llevar a cabo el seguimiento y la medición. 4. Quién debe llevar a cabo el seguimiento y la medición. 5. Cuando se deben analizar y evaluar los resultados del seguimiento y de la medición. 6. Quién debe analizar y evaluar estos resultados. ARTÍCULO 20°. AUDITORÍA INTERNA. Para el monitoreo del Sistema de Gestión de Seguridad de la Información, se incluyó los lineamientos de Seguridad de la Información dentro del alcance del procedimiento de auditorías internas. Este procedimiento se encuentra documentado en el documento 1CI- GU-0002 guía para realizar auditorías internas, en esta se relaciona el desarrollo y la ejecución del programa de auditorías, estableciendo las responsabilidades de las unidades sujeto de auditoría y se establecen los parámetros para que las unidades auditadas elaboren y ejecuten el Plan de Mejoramiento Interno por procesos en la Policía Nacional. Para las auditorías al Sistema de Gestión de Seguridad de la Información S.G.S.I. se debe validar si las actividades de gestión y cumplimiento se encuentran en los siguientes ítems: 1. Son conforme con: a. Los propios requisitos de la Institución. b. Los requisitos de la Norma ISO 27001:2013. 2. Está implementado y su mantenimiento se realiza eficazmente. 32 Manual del Sistema de Gestión de Seguridad de la Información ARTÍCULO 21°. REVISIÓN POR LA DIRECCIÓN. La Dirección General de la Policía Nacional deberá revisar el Sistema de Gestión de Seguridad de la Información como mínimo una vez cada año, para ratificar su conveniencia, adecuación y eficacia siguiendo la guía de revisión por la Dirección. La revisión de Seguridad de la Información debe: 1. Identificar cambios en los niveles de riesgo, nuevas amenazas y vulnerabilidades. 2. Identificar cambios en la Institución. 3. Identificar cambios en la Legislación. 4. Revisar el estado del sistema y su implementación. 5. Analizar el cumplimiento de los objetivos de seguridad. 6. Analizar la efectividad de los controles implementados (evolución del estado de la seguridad). 7. Establecer acciones preventivas, correctivas y de mejora. 8. Retroalimentar sobre el desempeño de la Seguridad de la Información (no conformidades, acciones correctivas, seguimiento y resultados de medición, auditorías) 9. Disponer de los registros que evidencien las revisiones. 10. Identificar y solicitar la implementación de oportunidades de mejora continua. Para conocer el estado de implementación de los controles y su evolución en el tiempo, se aplicará la escala de madurez de acuerdo a los objetivos de control para la información y tecnologías relacionadas de la guía COBIT v4.1. Como resultado de esta revisión se establecen las decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad del cambio del Sistema de Gestión de Seguridad de la Información. Escala de Madurez Nivel de % de Descripción Implementación Cumplimiento Los procesos han sido llevados al nivel de mejores prácticas, con base en los resultados de la mejora continua. Gestionado 100% Es posible hacer seguimiento y medir el cumplimiento de los protocolos, así como tomar acciones correctivas o preventivas cuando se detectan fallas y hacer seguimiento dichas acciones. Es posible hacer seguimiento y medir el cumplimiento Medible 80% de los protocolos, aunque no es constante que se tomen acciones correctivas o preventivas. Los procesos se encuentran totalmente documentados pero la responsabilidad del Definido 60% cumplimiento recae en cada individuo y es poco probable que se detecten desviaciones a los estándares establecidos. 33 Manual del Sistema de Gestión de Seguridad de la Información Nivel de % de Descripción Implementación Cumplimiento Los procesos se han desarrollado hasta un punto en el cual protocolos similares son utilizados por Repetible 40% personas diferentes para llevar a cabo la misma tarea, aun cuando estos no se encuentran totalmente documentados. Se ha identificado una situación que debe ser tratada y se han implementado acciones aun cuando no hay Inicial 20% directivas o procesos documentados relacionados con dichas acciones. Carencia total de procesos relacionados con el SGSI. Inexistente 0% La organización no ha identificado una situación que debe ser tratada. ARTÍCULO 22°. NO CONFORMIDADES Y ACCIONES CORRECTIVAS. De acuerdo con lo establecido en el Manual del Sistema de Gestión Integral de la Policía Nacional se han definido los siguientes procedimientos: − PROCEDIMIENTO ACCIÓN CORRECTIVA Y PROCEDIMIENTO ACCIÓN PREVENTIVA: se encuentra documentado con el código 1MC-PR-0005 “Ejecutar acción correctiva, preventiva y corrección” en donde se establece la metodología para la identificación y tratamiento de las oportunidades de mejoramiento que surgen en el desarrollo del Sistema. Así mismo las acciones correctivas deben ser aprobadas por los dueños de proceso de acuerdo a los efectos de las no conformidades encontradas. Adicionalmente los registros generados por esta gestión deben ser almacenados por el Grupo de Seguridad de la Información quienes son los encargados de realizar el seguimiento y hacer la medición correspondiente de su efectividad. El Sistema de Gestión de Seguridad de la Información de la Policía Nacional será revisado para su actualización anualmente y/o extraordinariamente cuando sea necesario atendiendo las necesidades de mejora continua. ARTÍCULO 23°. EXCEPCIONES. Las excepciones son exclusiones permanentes o transitorias a los controles descritos en este documento que obligan a la aceptación de riesgos inherentes a dicha exclusión, por lo que se debe guardar registro que contenga como mínimo fecha de solicitud, solicitante, nombre del control excluido, persona que autoriza, tiempo de la exclusión, a quien aplica la exclusión, dependencia y justificación. 34 Manual del Sistema de Gestión de Seguridad de la Información La autorización de una exclusión será responsabilidad del dueño del proceso. ARTÍCULO 24°. TÉRMINOS Y DEFINICIONES. Para dar claridad a los términos utilizados en el presente manual se enuncian las siguientes definiciones: ACTIVO DE INFORMACIÓN. De acuerdo con la norma ISO 27001:2013, un activo de información es cualquier cosa que tenga valor para la organización y en consecuencia deba ser protegido. No obstante, este concepto es bastante amplio, y debe ser limitado por una serie de consideraciones, así: − El impacto que para la Institución supone la pérdida de confidencialidad, integridad o disponibilidad de cada activo. − El tipo de información que maneja en términos de su sensibilidad y criticidad y sus productores y consumidores. − Los activos de información se traducen en dispositivos tecnológicos, archivos, bases de datos, documentación física, personas, sistemas de información, entre otros. ACUERDOS DE CONFIDENCIALIDAD. Son documentos en los que los funcionarios de la Policía Nacional o los provistos por terceras partes manifiestan su voluntad de mantener la confidencialidad de la información de la Institución, comprometiéndose a no divulgar, usar o explotar la información confidencial a la que tengan acceso en virtud de la labor que desarrollan. ACUERDOS DE INTERCAMBIO DE INFORMACIÓN. Son documentos constituidos entre la Policía Nacional y entidades externas de origen nacional o extranjero en donde se concretan las condiciones del intercambio de información, los compromisos de los terceros de mantener la confidencialidad y la integridad de la información a la que tengan acceso, las vigencias y las limitaciones a dichos acuerdos. ACUERDOS DE NIVELES DE SERVICIO ANS (SERVICE LEVEL AGREEMENT -SLA). Es un protocolo plasmado normalmente en un documento de carácter legal, por lo general un contrato; por el que una organización que presta un servicio a otra se compromete a prestar el mismo bajo unas determinadas condiciones y con unas prestaciones mínimas. ANÁLISIS DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN. Proceso sistemático de identificación de fuentes, estimación de impactos, probabilidades y comparación de dichas variables contra criterios de evaluación para determinar las consecuencias potenciales de pérdida de Confidencialidad, Integridad y Disponibilidad de la información. APN (ACCESS POINT NAME). Es el nombre de un punto de acceso para GPRS que permite la conexión a internet desde un dispositivo móvil celular. ARQUITECTURA DE SOFTWARE. Es un conjunto de patrones y abstracciones coherentes que proporcionan el marco de referencia necesario para guiar la construcción del software para un sistema de información. Estas guías indican la estructura, funcionamiento e interacción entre las partes del software. 35 Manual del Sistema de Gestión de Seguridad de la Información AUTENTICACIÓN. Es el protocolo de comprobación de la identidad de un usuario o recurso tecnológico al tratar de acceder a un recurso de procesamiento o sistema de información. BORRADO SEGURO DE INFORMACIÓN. Sobreescritura, desmagnetización y destrucción física de medios de almacenamiento. CAPACITY PLANNING. Es el proceso para determinar la capacidad de los recursos de la plataforma tecnológica que necesita la Institución para satisfacer las necesidades de procesamiento de dichos recursos de forma eficiente y con un rendimiento adecuado. CENTROS DE CABLEADO. Son habitaciones donde se deberán instalar los dispositivos de comunicación y la mayoría de los cables. Los Centros de cableado deben cumplir requisitos de acceso físico, materiales de paredes, pisos y techos, suministro de alimentación eléctrica y condiciones de temperatura y humedad. CENTROS DE PROCESAMIENTO. Son zonas específicas para el almacenamiento de múltiples computadores para un fin específico, los cuales se encuentran conectados entre sí a través de una red de datos. Los centros de cómputo deben cumplir ciertos estándares con el fin de garantizar los controles de acceso físico, los materiales de paredes, pisos y techos, el suministro de alimentación eléctrica y las condiciones medioambientales adecuadas. CIFRADO. Es la transformación de los datos mediante el uso de la criptografía para producir datos ininteligibles (cifrados) y asegurar su confidencialidad. El cifrado es una técnica muy útil para prevenir la fuga de información, el monitoreo no autorizado e incluso el acceso no autorizado a los repositorios de información de la Institución. CONFIDENCIALIDAD. Es la garantía que la información no está disponible o divulgada a personas, entidades o procesos no autorizados. CONTROVERSIA. Inconformidad presentada por el usuario de PKI-PONAL durante la generación, renovación o cancelación del certificado digital. CRIPTOGRAFÍA. Es la disciplina que agrupa a los principios, medios y métodos para la transformación de datos con el fin de ocultar el contenido de su información, establecer su autenticidad, prevenir su modificación no detectada, prevenir su repudio, y/o prevenir su uso no autorizado. DERECHOS DE AUTOR. Es un conjunto de normas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores por el solo hecho de la creación de una obra literaria, artística o científica, tanto publicada o que todavía no se haya publicado. DHCP (DYNAMIC HOST CONFIGURATION PROTOCOL). Es un protocolo de configuración dinámica de host que permite a los clientes de una red de datos, obtener sus parámetros de configuración automáticamente. 36 Manual del Sistema de Gestión de Seguridad de la Información DISPONIBILIDAD. Es la garantía de que los usuarios autorizados tienen acceso a la información y a los activos asociados cuando lo requieren. DISPOSITIVOS DE ALMACENAMIENTO. Materiales físicos donde se almacenan datos. DOCUMENTOS DE ACEPTACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. Son documentos en los que los funcionarios de la Policía Nacional o provistos por terceras partes aceptan acatar la Política de Seguridad de la Información y se acogen a las sanciones establecidas por el incumplimiento de dicha política. GUÍAS DE CLASIFICACIÓN DE LA INFORMACIÓN. Directrices para catalogar la información de la Institución y hacer una distinción entre la información que es crítica y aquella que lo es menos o no lo es, y de acuerdo con esto, establecer diferencias entre las medidas de seguridad a aplicar para preservar los criterios de confidencialidad, integridad y disponibilidad de la información. HACKING ÉTICO (ETHICAL HACKING). Es el conjunto de actividades para ingresar a las redes de datos y voz de la Institución con el objeto de lograr un alto grado de penetración en los sistemas, de forma controlada, sin ninguna intensión maliciosa, ni delictiva y sin generar daños en los sistemas o redes, con el propósito de mostrar el nivel efectivo de riesgo a lo cual está expuesta la información, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad. HARDWARE. Cualquier componente físico tecnológico, que trabaja o interactúa de algún modo con el computador, incluye elementos internos como disco duro, CD-ROM, y también hace referencia al cableado, circuitos, gabinete, etc. e incluso a elementos externos como impresora, mouse, teclado, monitor y demás periféricos. IP (INTERNET PROTOCOL). Es una dirección o etiqueta numérica que identifica, de manera lógica y jerárquica, a una interfaz (elemento de comunicación/conexión) de un dispositivo dentro de una red que utilice el protocolo IP. INCIDENTE DE SEGURIDAD. Es un evento adverso, confirmado o bajo sospecha, que afecta a un sistema de información, a una red, o inminente amenaza de violación de la Política de Seguridad de la Información. INTEGRIDAD. Es la protección de la exactitud y estado completo de los activos. ISO/IEC/11801. Estándar Internacional que especifica sistemas de cableado para telecomunicación de multipropósito, cableado estructurado que es utilizable para un amplio rango de aplicaciones (análogas y de telefonía ISDN, varios estándares de comunicación de datos, construcción de sistemas de control, automatización de fabricación). Cubre tanto cableado de cobre balanceado como cableado de fibra óptica. El estándar fue diseñado para uso comercial que puede consistir en uno o múltiples edificios en un campus. ISO/IEC/18028. Estándar internacional que especifica una arquitectura de seguridad de red. 37 Manual del Sistema de Gestión de Seguridad de la Información LICENCIA DE SOFTWARE. Es un contrato en donde se especifican todas las normas y cláusulas que rigen el uso de un determinado producto de software, teniendo en cuenta aspectos como: alcances de uso, instalación, reproducción y copia de estos productos. LOG’S. Registro o datos de quién, qué, cuándo, dónde y por qué un evento ocurre para un dispositivo o sistema en particular. MAC (MEDIA ACCESS CONTROL): Es un identificador de 48 bits (3 bloques hexadecimales) que corresponde de forma única a una tarjeta o dispositivo de red. Es la identificación única de cualquier dispositivo físico que hace parte de la una red de datos. PERFILES DE USUARIO. Son grupos que concentran varios usuarios con similares necesidades de autorizaciones idénticas sobre los recursos tecnológicos o los sistemas de información a los cuales se les conceden acceso de acuerdo con las funciones realizadas. Las modificaciones sobre un perfil de usuario afectan a todos los usuarios que se encuentran dentro del mismo grupo. PLAN DE RECUPERACIÓN ANTE DESASTRES. Es un conjunto de protocolos de recuperación de la plataforma tecnológica de la Institución y cubre aspectos como los datos, el hardware y el software crítico, para que la Policía Nacional pueda restablecer sus operaciones en caso de un desastre natural o causado por humanos en forma rápida, eficiente y con el menor costo y pérdidas posibles. El Plan también debe incluir las consideraciones necesarias para enfrentarse a la pérdida inesperada o repentina de personal crítico. PROPIETARIO DE ACTIVOS DE INFORMACIÓN. Funcionario, unidad organizacional que tiene responsabilidad aprobada del alto mando por el control de la producción, el desarrollo, el mantenimiento, el uso y la seguridad de los activos. PROGRAMA DE CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN. Es un conjunto de estrategias que busca que todos los funcionarios de la Policía Nacional y el personal provisto por terceras partes interioricen y adopten la política, normas, procedimientos y guías existentes al interior de la Institución dentro de sus actividades diarias. PROPIEDAD INTELECTUAL. Es el reconocimiento de un derecho particular en favor de un autor u otros titulares de derechos, sobre las obras del intelecto humano. Este reconocimiento es aplicable a cualquier propiedad que se considere de naturaleza intelectual y merecedora de protección, incluyendo las invenciones científicas y tecnológicas, las producciones literarias o artísticas, las marcas y los identificadores, los dibujos y modelos industriales y las indicaciones geográficas. RACK. Gabinete destinado a alojar equipamiento electrónico, informático y de comunicaciones. Las medidas de las dimensiones están estandarizadas para que sea compatible con equipamiento de cualquier fabricante. 38 Manual del Sistema de Gestión de Seguridad de la Información REASIGNACIÓN DE DERECHOS DE ACCESO. Es la modificación de los privilegios con que cuenta un funcionario sobre recursos tecnológicos, la red de datos o los sistemas de información de la Institución por cambio de sus funciones. RECURSOS TECNOLÓGICOS. Son aquellos componentes de hardware y software tales como: servidores de aplicaciones y de servicios de red, estaciones de trabajo, equipos portátiles, dispositivos de comunicaciones y de seguridad, equipos de radio, servicios de red de datos y bases de datos, entre otros, los cuales tienen como finalidad apoyar las tareas administrativas necesarias para el buen funcionamiento y la optimización del trabajo al interior de la Institución. RED LAN (LOCAL AREA NETWORK) RED DE ÁREA LOCAL. Es una red que conecta los equipos de cómputo en un área relativamente pequeña y predeterminada (como una habitación, un edificio, o un conjunto de edificios). REGISTROS DE AUDITORÍA. Son archivos donde son registrados los eventos que se han identificado en los sistemas de información y redes de datos de la Institución. Dichos eventos pueden ser, entre otros, identificación de usuarios, eventos y acciones ejecutadas, terminales o ubicaciones, intentos de acceso exitosos y fallidos, cambios a la configuración, uso de utilidades y fallas de los sistemas. REMOCIÓN DE DERECHOS DE ACCESO. Es el bloqueo o la eliminación de los privilegios o de la cuenta de usuario de la cual dispone un funcionario sobre un recurso informático o la red de datos de la Institución. REQUERIMIENTOS DE NUEVAS FUNCIONALIDADES, SERVICIOS O MODIFICACIONES. Contienen la definición de necesidades y la generación de especificaciones correctas que describan con claridad, en forma consistente y compacta, el comportamiento esperado de las funcionalidades o modificaciones sobre los sistemas de información. RESPALDO. Copia de seguridad o back up de información, realizada con el fin de utilizarse para restaurar la original después de una eventual pérdida de datos. RETIE. Reglamento Técnico de Instalaciones Eléctricas. SISTEMA DE INFORMACIÓN. Es un conjunto organizado de datos, operaciones y transacciones que interactúan para el almacenamiento y procesamiento de la información que, a su vez, requiere la interacción de uno o más activos de información para efectuar sus tareas. Un sistema de información es todo componente de software ya sea de origen interno, es decir desarrollado por la Policía Nacional o de origen externo, ya sea adquirido por la Institución como un producto estándar de mercado o desarrollado para las necesidades de ésta. SISTEMAS DE CONTROL AMBIENTAL. Son sistemas que utilizan la climatización, un proceso de tratamiento del aire que permite modificar ciertas características del mismo, fundamentalmente humedad y temperatura y, de manera adicional, también permite controlar su pureza y su movimiento. 39 Manual del Sistema de Gestión de Seguridad de la Información SISTEMAS DE DETECCIÓN Y EXTINCIÓN DE INCENDIOS. Son sistemas que reaccionan rápidamente para reducir el impacto y la posibilidad que un incendio se propague a otras zonas, contando con algunas de las siguientes características: detección temprana de humo, extinción mediante gas, monitoreo y alarmas contra incendios y sistemas rociadores para zonas comunes. SOFTWARE. Es todo programa o aplicación que permite a un sistema o computadora realizar tareas específicas. SOFTWARE MALICIOSO. Es una variedad de software o programas de códigos hostiles e intrusivos que tienen como objeto infiltrarse o dañar los recursos tecnológicos, sistemas operativos, redes de datos o sistemas de información. PARTES EXTERNAS. Personas o entidades que brindan servicios a la Policía Nacional o que interactúan de alguna manera con la información de esta. SSL (SECURE SOCKET LAYER). Es un protocolo que cifra los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico. TERCERIZACIÓN. Proveerse de un servicio o producto de un tercero. TIC’S. Tecnologías de la Información y las Comunicaciones. UPS. Suministro redundante de energía interrumpible, dispositivo que permite suministrar energía a los equipos electrónicos que están conectados a él después de un apagado durante un tiempo prudencial, con el fin de realizar un apagado seguro de estos. VIRTUALIZACIÓN. Capacidad de abstracción que se puede hacer de los ambientes físicos, permitiendo en un mismo hardware poner a correr varios ambientes de tal manera que cada uno de estos pueda operar de manera aislada y puedan ver los mismos dispositivos de almacenamiento, de procesamiento y de red como si se tratara de dispositivos físicos independientes. VPN (VIRTUAL PRIVATE NETWORK) RED PRIVADA VIRTUAL. Es una tecnología que permite la extensión de una red pública como Internet a un espacio de red local. VULNERABILIDADES. Son las debilidades, huecos de seguridad o flaquezas inherentes a los activos de información que pueden ser explotadas por factores externos y no controlables por la Institución (amenazas), las cuales se constituyen en fuentes de riesgo. WEB SERVICES. Permite la comunicación entre aplicaciones o componentes de aplicaciones de forma estándar a través de protocolos comunes (como http) y de manera independiente al lenguaje de programación, plataforma de implantación, formato de presentación o sistema operativo. Un Web Services es un contenedor que encapsula funciones específicas y hace que estas funciones puedan ser utilizadas en otros servidores. ARTÍCULO 25°. APLICACIÓN EN PROGRAMAS DE FORMACIÓN. 40 Manual del Sistema de Gestión de Seguridad de la Información La Dirección Nacional de Escuelas en coordinación con la Oficina de Telemática, implementarán actividades pedagógicas para la enseñanza del Manual del Sistema de Gestión de Seguridad de la Información para la Policía Nacional, a través de los programas de formación, actualización, entrenamiento y capacitación del Sistema Educativo Policial. ARTÍCULO 26°. OBLIGATORIEDAD. El presente manual, será de obligatorio cumplimiento para todos los usuarios externos e internos de la Policía Nacional en aras de preservar el Sistema de Gestión de Seguridad de la Información. ARTÍCULO 27°. REVISIÓN Y ACTUALIZACIÓN. El Comité de Seguridad de la Información de la Policía Nacional será el encargado de revisar, actualizar y publicar las modificaciones a los anexos al presente manual donde se describen las buenas prácticas y controles a implementar en la Policía Nacional de acuerdo a la norma técnica ISO 27002:2013. ARTÍCULO 28°. VIGENCIA. La presente Resolución rige a partir de la fecha de su expedición y deroga las disposiciones que le sean contrarias, en especial la Resolución 03049 del 24 de agosto de 2012. PUBLÍQUESE Y CÚMPLASE Dada en Bogotá, D. C. Original firmado General JORGE HERNANDO NIETO ROJAS Director General Policía Nacional de Colombia Elaboró: PT. PABLO ANDRES GAVIRIA MUÑOZ /OFITE CT. WILLIAM MUIÑOZ ROJAS/OFITE Reviso: IJ. GLORIA CECILIA HERNANDEZ TINJACA / OFITE CT MARLON FAVIAN VALENCIA ORJUELA/OFPLA CENPO CR MARIO HERNANDO CHAVEZ RODRIGUEZ/OFPLA GUDIR BG CEIN CASTRO GUTIÉRREZ /OFITE BG FABIAN LAURENCE CÁRDENAS LEONEL/JEFE OFPLA Fecha: 12/12/2016 41 Manual del Sistema de Gestión de Seguridad de la Información ANEXO I SEGURIDAD DE LOS RECURSOS HUMANOS 42 Manual del Sistema de Gestión de Seguridad de la Información 43 Manual del Sistema de Gestión de Seguridad de la Información ARTÍCULO 1°. SELECCIÓN. El procedimiento para confirmar la veracidad de la información suministrada por el personal que se postula como candidato a ingresar a la Policía Nacional antes de su vinculación definitiva, se realiza acorde con lo establecido en el proceso 2SP-CP-0001 Seleccionar el Talento Humano para la Policía Nacional. ARTÍCULO 2°. TÉRMINOS Y CONDICIONES DEL EMPLEO. Todos los funcionarios de planta, prestación de servicios o cualquier otro tipo de vinculación con la Institución, deben diligenciar los formatos 1DT-FR-0015 Declaración de Confidencialidad y Compromiso con la Seguridad de la Información Servidor Público. El personal externo o contratista diligenciará el formato 1DT-FR-0016 Declaración de Confidencialidad y Compromiso con la Seguridad de la Información Contratistas o Terceros y este hará parte integral del contrato o acuerdo de cooperación que debe reposar junto con las hojas de vida en las oficinas de Talento Humano de cada unidad. Los funcionarios que sean vinculados a unidades policiales que ejerzan funciones de inteligencia deberán suscribir acta de compromiso de reserva de conformidad con el artículo 33 de la Ley 1621 de 2013 ARTÍCULO 3°. TOMA DE CONCIENCIA, EDUCACIÓN Y FORMACIÓN EN LA SEGURIDAD DE LA INFORMACIÓN. Con el fin de garantizar una correcta gestión, protección, uso y procesamiento de los activos de información de la Institución, a través de los Analistas de Seguridad de cada unidad bajo la supervisión del Comité de Seguridad de la Información, desarrollarán actividades o programas de concienciación relacionados con la Seguridad de la Información dirigido a los funcionarios, terceros o contratistas que desarrollan actividades en la Policía Nacional. ARTÍCULO 4°. TERMINACIÓN O CAMBIO DE RESPONSABILIDADES DE EMPLEO. Para la Seguridad de la Información se tendrán en cuenta los siguientes parámetros: 1. La Dirección de Talento Humano a través de los grupos de talento humano de cada unidad, debe actualizar en tiempo real las novedades de cada funcionario en el Sistema de Información para la Administración del Talento Humano “SIATH”, para que sean bloqueados sus privilegios de acceso y/o hagan entrega de los elementos asignados. 2. Quien tiene personal externo bajo su supervisión informa de manera inmediata a la Oficina de Telemática y/o grupo de telemática de la unidad o quien haga sus veces la terminación del contrato, con el fin de realizar los trámites de cancelación de 44 Manual del Sistema de Gestión de Seguridad de la Información derechos de acceso sobre los recursos tecnológicos, sistemas de información y acceso físico a las instalaciones. 3. Los grupos de Talento Humano en coordinación con los encargados de los grupos de Telemática verifican periódicamente las novedades del personal y proceden a bloquear las cuentas de acceso en los recursos tecnológicos, sistemas de información asignados para desempeñar funciones administrativas y/o operativas, y controles de acceso físico a instalaciones de la Institución del personal que presenta algún tipo de novedad. 4. Todos los usuarios están en la obligación de entregar su puesto de trabajo al funcionario designado por el jefe inmediato, junto con la información que produce y administra para el desarrollo del cargo, en el momento que se produzca una novedad administrativa que genere cambios en el desarrollo de las funciones. De igual manera, hacen entrega de todos los recursos tecnológicos y otros activos que les fueron suministrados para el cumplimiento de sus labores. 5. En caso que por fuerza mayor un funcionario no pueda hacer entrega formal del cargo y los activos de información que gestiona, el jefe inmediato deberá solicitar a la Oficina de Telemática el acceso y traspaso de la información institucional al funcionario designado para continuar con dichas funciones. ARTÍCULO 5°. RESPONSABILIDADES DE LOS USUARIOS. Con el fin de disminuir el riesgo de uso inadecuado de la información y los sistemas puestos a disposición para el cumplimiento de las funciones asignadas a los funcionarios, contratistas o personal que tiene algún vínculo con la Institución, se definen las siguientes políticas, así: a. Las unidades de Policía que cuentan con acceso a servidor de archivos, guardarán la información que se crea importante y sobre ella se garantizará la disponibilidad en caso de presentarse un daño en el equipo asignado, para las unidades que no cuentan con este servicio se dispondrá de la realización de respectivos back up coordinados con el Grupo de Telemática de la unidad, la custodia de esta información será por el dueño de los activos de información cumpliendo con las Políticas de Seguridad, para la información catalogada como confidencial deberá ser guardada en medios magnéticos debidamente cifrados. b. La Oficina de Telemática dispondrá en la carpeta de software autorizado ubicada en la intranet institucional (Polired), las copias correspondientes a los softwares utilizados por la Institución para el cumplimiento de las funciones, en caso que una unidad policial requiera la instalación de un producto que no se encuentre en este recurso, deberá contar con la autorización correspondiente del Grupo de Seguridad de la Información, el uso de programas sin su respectiva licencia e instalación sin autorización por parte del Direccionamiento Tecnológico de la Policía Nacional 45 Manual del Sistema de Gestión de Seguridad de la Información obtenidos por otras fuentes (internet, ejecutables portables, dispositivos USB), puede implicar materialización del riesgo por realizar acciones no autorizadas. c. Todo software utilizado en la plataforma tecnológica debe contar con licencia y su cumplimiento debe estar acorde a las condiciones de uso establecidas. d. El uso de dispositivos de almacenamiento masivo externo extraíble (DVD, CD, Dispositivos móviles, pendrives (USB), equipos celulares), puede generar la materialización de riesgos al ser conectados a los equipos de cómputo al llegar a transferir archivos maliciosos o generar la extracción de información Institucional no autorizada, por lo tanto la activación de los puertos USB de los equipos institucionales o conectados a la red LAN deben contar con la autorización del Grupo de Seguridad de la Información mediante previa justificación a través del Sistema de Información para la Gestión de Incidentes en TIC´s SIGMA. e. Los usuarios son responsables de la información que administran en los equipos asignados, por lo tanto se debe evitar el almacenamiento de información no institucional (música, videos, imágenes, software, ejecutables portables) que pueda presentar violación a derechos de autor y propiedad intelectual, tanto en equipos de cómputo, como en servidor de archivos en los lugares donde este implementado. f. Los funcionarios solo tendrán acceso a datos y recursos tecnológicos asignados, y serán responsables disciplinaria, administrativa y legalmente de la divulgación de información no autorizada. g. Cada funcionario tiene como responsabilidad proteger la información contenida en documentos, formatos, y toda la producida como resultado de los procesos que se realizan en la Institución. h. Cualquier incidente de seguridad informática debe ser reportado al grupo de Telemática de la unidad y su vez al grupo CSIRT-PONAL. i. El uso del internet está enfocado al cumplimiento de las actividades institucionales, por lo tanto los usuarios harán uso de los equipos y medios asignados, no se permite la conexión de dispositivos como módems externos, o equipos celulares que habilitan el acceso a internet, a no ser que se encuentre autorizado por la Oficina de Telemática para el caso de las unidades en donde el acceso a la red LAN no es viable por diferentes restricciones. j. Los equipos de cómputo deben contar con los controles necesarios para poder acceder a los servicios de internet, como antivirus, actualizaciones y demás controles establecidos por la Oficina de Telemática. k. Se debe ejercer un control de acceso a la red, por lo tanto los funcionarios no usarán conexiones distintas a las que provee la Oficina de Telemática, por lo tanto el uso 46 Manual del Sistema de Gestión de Seguridad de la Información de túneles VPN o conexiones TOR como complemento de los navegadores no están autorizados, y las conexiones que se generen y se evidencien en los sistemas de control adoptados por el Direccionamiento Tecnológico tendrán las sanciones a que haya lugar. l. Las unidades o dependencias que adquieran redes inalámbricas deben cumplir con la política y condiciones de seguridad de las redes cableadas, estas deben estar separadas de las redes LAN con el respectivo control de contenido y controles necesarios, además de estar debidamente autorizadas por la Oficina de Telemática de la Policía Nacional. m. El acceso a redes sociales, paginas interactivas como chats se encuentra restringido por lo que solo se hará uso de las herramientas para tal fin que provee la Oficina de Telemática, en caso de ser necesario su uso para el cumplimiento de las funciones asignadas por el cargo o dependencia, debe ser solicitada previa justificación a través del Sistema de Información para la Gestión de Incidentes en TIC´s SIGMA para su respectivo análisis por parte del Grupo de Seguridad de la Información. n. El uso de canales de streaming debe estar regulados y solo se permite a los usuarios que en cumplimiento de sus funciones lo requieren, ya que se debe dar prioridad al sostenimiento de las aplicaciones y sistemas de información Institucional. o. La descarga P2P o de archivos de páginas en donde se almacena contenido multimedia se debe controlar con el fin de evitar que sean descargados archivos maliciosos o que atenten contra la propiedad intelectual y derechos de autor. 47 Manual del Sistema de Gestión de Seguridad de la Información ANEXO II GESTIÓN DE ACTIVOS 48 Manual del Sistema de Gestión de Seguridad de la Información 49 Manual del Sistema de Gestión de Seguridad de la Información ARTÍCULO 1°. INVENTARIO DE ACTIVOS. Para el manejo de los activos de información de la Policía Nacional se tiene en cuenta lo siguiente: 1. Cada unidad de Policía debe nombrar un funcionario, el cual es responsable de realizar el inventario de activos, su clasificación y recomendar ante el Comité de Seguridad de la Información el tratamiento de los mismos de acuerdo a los requerimientos de la Institución, para ello se debe nombrar mediante acto administrativo que el comandante bajo sus facultades legales disponga. 2. Para efectuar el inventario se deben aplicar la Guía 1DT-GU-0011 identificación y valoración de activos de información, en la cual se describe la metodología que permite identificar, valorar y clasificar los activos de información, servicios, medios de procesamiento que soportan la gestión de los procesos y establecer su nivel de clasificación de acuerdo con las escalas contenidas en la misma. 3. El inventario debe actualizarse como mínimo una vez al año y ser avalado por el Comité de Seguridad de la Información interno de cada unidad. 4. Los dueños de procesos o quien haga sus veces deben gestionar con el responsable designado la identificación, valoración y clasificación de sus activos de información dentro del inventario, manteniendo información detallada para cada activo sobre su valoración y clasificación en confidencialidad, integridad, disponibilidad. Igualmente deberá hacer el tratamiento adecuado correspondiente a su clasificación y corrección de inconsistencias detectadas dentro de la matriz de riesgos. 5. Todos los funcionarios, personal que tenga vínculo directo con la Institución, propietario o custodio de activos de información, debe informar al dueño del activo o al grupo de Telemática, falencias en el tratamiento de la información con el fin de adoptar las acciones pertinentes para su protección. 6. Una vez realizado el inventario de activos se debe dar a conocer el responsable, propietario y/o custodio de los mismos, esta actividad de notificación se puede realizar mediante acta, comunicado oficial o una notificación en la cual se le indique cual es el activo, su clasificación, sus responsabilidades y los controles aplicados a ese activo. ARTÍCULO 2°. CLASIFICACIÓN DE LA INFORMACIÓN. La Policía Nacional para clasificar la información Institucional, se basa en las Leyes y Decretos vigentes, como se muestra la siguiente imagen. 50 Manual del Sistema de Gestión de Seguridad de la Información Por lo tanto, los parámetros descritos a continuación son de obligatorio cumplimiento para los funcionarios de Policía Nacional, los cuales deben garantizar y velar por el cumplimiento de los mismos. La Policía Nacional tiene dos grupos de clasificación, así: 1. INFORMACIÓN PÚBLICA: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. (Ley 1581/2012). Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas, boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. (Decreto 1377/2013). 2. INFORMACIÓN PÚBLICA CLASIFICADA: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semi-privado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas, necesarias y los derechos particulares o privados consagrados en el artículo 18 de la Ley 1712 del 06/03/2014. En este sentido se consideran las siguientes definiciones: a. DATO SEMIPRIVADO. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios. (Ley 1266/2008). b. DATO PRIVADO. Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. (Ley 1266/2008). c. DATOS SENSIBLES. Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, 51 Manual del Sistema de Gestión de Seguridad de la Información tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. Ley 1581/2012- Decreto Reglamentario 1377/2013. 3. INFORMACIÓN PÚBLICA RESERVADA: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada, de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en la Ley 1712 /2014. RESERVA. Por la naturaleza de las funciones que cumplen los organismos de inteligencia y contrainteligencia sus documentos, información y elementos técnicos estarán amparados por la reserva legal por un término máximo de treinta (30) años contados a partir de la recolección de la información y tendrán carácter de información reservada. (Artículo 33 Ley Estatutaria 1621/2013). ARTÍCULO 3°. DOCUMENTOS DE INTELIGENCIA Y CONTRAINTELIGENCIA: Son todos aquellos documentos originados, procesados y/o producidos en los organismos de inteligencia y contrainteligencia con los niveles de clasificación establecidos en la Ley 1621 de 2013. Estos documentos de conformidad con la ley están protegidos por la reserva legal. Los documentos de inteligencia y contrainteligencia pueden estar contenidos en medios físicos, digitales o similares, de acuerdo con los desarrollos científicos o tecnológicos y deben encontrarse bajo la administración, protección, custodia y seguridad de los organismos de inteligencia y contrainteligencia, los receptores autorizados o las entidades del Estado que de acuerdo con la ley deban conocer de ellos. (Decreto 1070/2015) ARTÍCULO 4°. NIVELES DE CLASIFICACIÓN DE LA INFORMACIÓN DE INTELIGENCIA Y CONTRAINTELIGENCIA. Los documentos, información y elementos técnicos de los organismos de inteligencia y contrainteligencia estarán amparados por la reserva legal y se les asignará un nivel de clasificación (Decreto 1070/2015), así: a. ULTRASECRETO. Es el nivel de clasificación que se debe dar a todos los documentos de inteligencia y contrainteligencia que contengan información sobre posibles amenazas, riesgos, oportunidades o capacidades, que puedan afectar al exterior del país los intereses del Estado o las relaciones internacionales. b. SECRETO. Es el nivel de clasificación que se debe dar a todos los documentos de inteligencia y contrainteligencia que contengan información sobre posibles amenazas, riesgos, oportunidades o capacidades, que puedan afectar al interior del país los intereses del Estado. 52 Manual del Sistema de Gestión de Seguridad de la Información c. CONFIDENCIAL. Es el nivel de clasificación que se debe dar a todos los documentos de inteligencia y contrainteligencia que contengan información sobre posibles amenazas, riesgos, oportunidades o capacidades, que puedan afectar directamente las instituciones democráticas. d. RESTRINGIDO. Es el nivel de clasificación que se debe dar a todos los documentos de inteligencia y contrainteligencia que contengan información de las instituciones militares, de la Policía Nacional o de los organismos y dependencias de int

Manual del Sistema de Gestión de Seguridad de la Información PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue