Estándar de seguridad de la información

Temas:

Standards

18 de marzo de 2008

Volver arriba

Objetivo

Esta norma establece los requisitos mínimos de seguridad informática para los organismos estatales con el objetivo de proteger la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos y la información del estado.

Volver arriba

Descripción general

Las agencias estatales recopilan y procesan diversa información, incluida información confidencial, en el curso de sus actividades. Deben adoptarse medidas para proteger la información de las agencias y los sistemas informáticos que la respaldan contra el acceso, la modificación o la destrucción no autorizados, ya sean accidentales o intencionales, y para garantizar la autenticidad, la integridad y la disponibilidad de los sistemas informáticos y la información estatales.

Volver arriba

Alcance

Para los fines de esta norma, la seguridad se define como la capacidad de proteger la confidencialidad, la integridad y la disponibilidad de la información procesada, almacenada y transmitida por una agencia. Los activos de tecnología de la información cubiertos por esta política incluyen aquellos que procesan, almacenan, transmiten o supervisan información digital. Esto abarca la seguridad de las instalaciones de tecnología de la información y el almacenamiento de información externo; los servicios relacionados con computación, telecomunicaciones y aplicaciones adquiridos a otras agencias estatales o entidades comerciales; y las aplicaciones y la conectividad relacionadas con Internet.

Esta política se aplica a todas las agencias según lo define el Capítulo 8A, Sección 101 del Código de Iowa. Se recomienda a las agencias que no participan que sigan las directrices de esta y otras normas de seguridad a nivel empresarial, así como que participen en programas de seguridad a nivel empresarial.

Volver arriba

Actualizaciones

Este documento se revisará al menos cada dos años y se actualizará según sea necesario.

Volver arriba

Definiciones

A continuación se definen algunos términos seleccionados que se utilizan en el Estándar de Seguridad Empresarial:

  • Confidencialidad: La propiedad que garantiza que la información sensible no se divulgue a personas, entidades o procesos no autorizados.
  • Integridad: La propiedad de que la información confidencial no ha sido modificada ni eliminada de manera no autorizada y sin ser detectada.
  • Disponibilidad: Garantizar el acceso y el uso oportunos y fiables de la información.
Volver arriba

Estándar de seguridad de la información empresarial

La norma de seguridad de la información del estado de Iowa establece lo siguiente:

  1. Entorno de confianza : Cada organismo opera de manera coherente con el mantenimiento de un entorno compartido y de confianza dentro del gobierno estatal. Los organismos no deben poner en peligro la confidencialidad, la integridad ni la disponibilidad de los sistemas informáticos estatales, ni la información almacenada, procesada y transmitida por ningún sistema de información estatal.
  2. Estándares empresariales : Cada organismo sigue los estándares de seguridad empresariales establecidos, excepto cuando la política del organismo proporciona un nivel de seguridad superior.
  3. Política : Cada organismo es responsable de desarrollar políticas, procesos y procedimientos para cumplir con este estándar. Las políticas de cada organismo pueden ser más estrictas que el estándar general. Todos los empleados, incluidos pasantes, contratistas, empleados temporales y a tiempo parcial, deben comprometerse (por escrito o electrónicamente) a seguir las políticas de seguridad estatales y del organismo antes de ser autorizados a acceder a los recursos informáticos estatales.
  4. Plan de continuidad : Cada organismo desarrollará, implementará y pondrá a prueba un plan de continuidad de negocio. Este plan se basará en la criticidad de los activos y será coherente con el plan de continuidad de operaciones de la empresa.
  5. Capacitación : Cada agencia implementará un programa de concientización y capacitación en seguridad para todo el personal. Los nuevos empleados recibirán capacitación básica en seguridad informática dentro de los tres meses posteriores a su contratación. Se brindará capacitación adicional anualmente, acorde con las funciones del empleado.
  6. Auditorías : Cada organismo está sujeto a una auditoría de seguridad periódica para garantizar el cumplimiento de esta y otras políticas, normas, procesos y procedimientos a nivel empresarial. Se podrá sustituir por una auditoría o revisión realizada por otra autoridad, como el Servicio de Impuestos Internos, si su alcance es similar y cuenta con la aprobación del Director de Seguridad de la Información.
  7. Evaluación de vulnerabilidades : Cada organismo realizará una evaluación de vulnerabilidades de sus sistemas de información al menos una vez al año para medir la eficacia de las medidas de seguridad. Los resultados de la evaluación se utilizarán para identificar, priorizar, planificar e implementar medidas de seguridad adicionales.
  8. Evaluación de riesgos : Cada organismo contará con una evaluación de riesgos de sus sistemas de información al menos cada dos años. Esta evaluación servirá para identificar, priorizar, planificar e implementar medidas de seguridad adicionales. La metodología de evaluación será desarrollada por la Oficina de Seguridad de la Información y estará disponible para toda la organización.
  9. Ciclo de vida del desarrollo del sistema : Los requisitos de seguridad se definirán y abordarán formalmente a lo largo del ciclo de vida de todos los proyectos de tecnología de la información, incluyendo la definición de requisitos comerciales, el diseño, el desarrollo, las pruebas, la implementación y la operación.
  10. Cumplimiento de la agencia : Cada director de sistemas de información de la agencia garantizará, en la medida de sus posibilidades, que los sistemas de información bajo su control cumplan con las políticas, estándares, procesos y procedimientos de seguridad de la empresa y de la agencia antes de su puesta en producción o tras cambios significativos en el sistema. La Oficina de Seguridad de la Información podrá evaluar aleatoriamente el proceso de autocertificación y los sistemas individuales para asegurar el cumplimiento de la política.
  11. Privacidad : La información confidencial que pudiera afectar la privacidad individual estará protegida en todo momento.
  12. Supervisión : Las agencias, o bien el Departamento de Servicios Administrativos, la Red de Comunicaciones de Iowa u otra parte a solicitud de la agencia, realizarán la supervisión del uso de los sistemas de información para detectar actividades maliciosas y el uso indebido de los recursos gubernamentales.
  13. Incidentes : Los organismos deberán informar a la Oficina de Seguridad de la Información sobre los incidentes de seguridad de la información que afecten, o tengan el potencial de afectar, a los recursos compartidos del estado, siguiendo un plan de respuesta común.
  14. Protección física : Los organismos deberán garantizar que los recursos informáticos y la información física, incluidos, entre otros, servidores, ordenadores de sobremesa, portátiles, equipos de red, cortafuegos, copias impresas y cintas, cuenten con las protecciones físicas adecuadas. Siempre que sea posible, estos recursos también deberán protegerse de amenazas estructurales y ambientales.
  15. Conexiones de red : Las agencias proporcionarán información a la Oficina de Seguridad de la Información describiendo todas las conexiones de sus redes con recursos externos, incluyendo la red compartida del Departamento de Servicios Administrativos, la Red de Comunicaciones de Iowa, proveedores de servicios privados, gobiernos federales, locales y municipales, y otras agencias estatales. Se proporcionarán actualizaciones a medida que se produzcan cambios.
  16. Actualizaciones del sistema : Los organismos elaborarán procedimientos para implementar parches, actualizaciones de configuración y otras medidas necesarias para proteger los sistemas de manera oportuna. Dichos procedimientos contemplarán pruebas adecuadas antes de la implementación.
  17. Programa de seguridad : Los organismos deberán designar a una o varias personas responsables de coordinar las funciones de seguridad de la tecnología de la información dentro del organismo y de implementar las políticas de seguridad de la tecnología de la información del organismo.
  18. Métricas : Las agencias deberán desarrollar métricas para medir la eficacia de sus programas, estándares y prácticas de seguridad de la información. La Oficina de Seguridad de la Información del DAS brindará asistencia a las agencias en el desarrollo de dichas métricas.
  19. Excepciones : Las solicitudes de excepción a cualquiera de los requisitos de esta política deberán ser presentadas por escrito por el director de la agencia al Director de Seguridad de la Información antes de su implementación.
Volver arriba

Fecha de entrada en vigor

Esta norma entrará en vigor el 30 de junio de 2008.

Volver arriba

Aplicación

Esta norma se aplicará de conformidad con el Código Administrativo de Iowa 11—25.11(8A).

Volver arriba