resolucion de la oficina de administracion y finanzas...
TRANSCRIPT
RESOLUCION DE LA OFICINA DE ADMINISTRACION Y FINANZAS
Nº 011-2011-SERVIR-OAF
Lima, 03 de Marzo de 2011
VISTOS,
El Informe Nº 020-2011/SERVIR-OAF-TI de fecha 02 de Marzo del 2011, mediante el
cual el Especialista en Tecnologías de Información de la Autoridad Nacional del Servicio Civil -
SERVIR propone a la Oficina General de Administración y Finanzas el proyecto de Directiva:
"Normas Técnicas para Garantizar la Seguridad de la Información en la Autoridad Nacional del
Servicio Civil - SERVIR".
CONSIDERANDO:
Que, de acuerdo a lo dispuesto por la Resolución Jefatura! Nº 347-2001-INEI, publicado
en la normativa de la ONGEI, que aprueba la Directiva Nº 018-2001-INEl/DTNP, "Normas y
Procedimientos Técnicos para Garantizar la Seguridad de la Información publicada por las
Entidades de la Administración Pública", se establece que a fin de garantizar la integridad,
autenticidad y validez de los datos publicados y disminuir los riesgos de la gestión de la
información por parte del usuario, es necesario establecer los procedimientos técnicos para
preservar la seguridad de la información presentada al ciudadano a través del "Portal del
Estado Peruano";
Que, estando que la citada Directiva es de cumplimiento obligatorio por todas los
entidades de la Administración Pública a nivel nacional, de acuerdo a lo dispuesto en el
artículo 2º de la precitada Resolución;
Que, en ese contexto, es necesario definir lineamientos de seguridad para proteger
información crítica de SERVIR, asegurar el control de acceso y uso de los servicios disponibles
vía Internet, así como fortalecer en el personal de la entidad una cultura de la seguridad de la
información promoviendo su adecuado tratamiento y protección acorde con la normatividad
correspondiente dispuesta por la ONGEI, a través de la aprobación de la correspondiente
Directiva;
Que, teniendo en cuenta que forma parte de las funciones de la Oficina General de
Administración y Finanzas el coadyuvar al fortalecimiento de la organización mediante la
adecuada gestión de tecnologías de la información y de los recursos informáticos, de acuerdo
a lo dispuesto en el artículo 182 del Reglamento de Organización y Funciones de SERVIR;
De conformidad con lo establecido en la Resolución Jefatura! N2 347-2001-INEI, que
apruebó la Directiva N2 018-2001-INEl/DTNP, "Normas y Procedimientos Técnicos para
Garantizar la Seguridad de la Información publicada por las Entidades de la Administración
Pública", el Reglamento de Organización y Funciones de SERVIR, aprobado mediante Decreto
Supremo N° 062-2008-PCM y modificado por Decreto Supremo N2 014-2010-PCM .
SE RESUELVE:
Artículo l°.- Aprobar la Directiva N2 004-2011-SERVIR/GG-OAF "Normas Técnicas
para Garantizar la Seguridad de la Información en la Autoridad Nacional del Servicio
Civil - SERVIR", misma que forma parte integrante de la presente Resolución.
Artículo 2°.- Disponer que la presente Resolución así como la Directiva aprobada se
publique en el portal institucional www.servir.gob.pe
Regístrese, comuníquese y archívese.
DIRECTIVA N2 004-2011-SERVIR/OAF
NORMAS TÉCNICAS PARA GARANTIZAR LA SEGURIDAD DE LA INFORMACIÓN EN LA
AUTORIDAD NACIONAL DEL SERVICIO CIVIL - SERVIR
l. FINALIDAD
La presente Directiva tiene como finalidad definir lineamientos de seguridad para proteger
la información crítica de la Autoridad Nacional del Servicio Civil, en adelante SERVIR,
asegurar el control de acceso y uso de los servicios disponibles vía Internet y fortalecer en
el personal de SERVIR una cultura de seguridad de la información, promoviendo su
adecuado tratamiento y protección, con el objetivo de contribuir a los objetivos
organizacionales de minimizar los riesgos de amenazas y vulnerabilidades del sistema de
información de SERVIR y mejorar los procedimientos del uso de activos y servicios
tecnológicos.
2. ALCANCE
Las disposiciones contenidas en la presente Directiva son de aplicación obligatoria para
todas las unidades orgánicas que forman parte de la Autoridad Nacional del Servicio Civil -
SERVIR. Su aplicación incluye a todo equipo tecnológico conectado a la red de SERVIR, sea
propiedad de este o de terceros que requieran usar recursos tecnológicos de la institución.
3. RESPONSABILIDAD
Es responsable de la aplicación y cumplimiento de la presente directiva el Área de
Tecnologías de Información de SERVIR.
4. BASE LEGAL
• Decreto Legislativo Nº 1023 que crea la Autoridad Nacional del Servicio Civil.
• Decreto Supremo Nº 062-2008-PCM que aprueba el Reglamento de Organización y
Funciones de la Autoridad Nacional del Servicio Civil.
• Resolución de Gerencia General Nº 010-2009-ANSC-GG y sus modificatorias, que
aprueba el procedimiento de reclutamiento, selección y contratación del personal
CAP.
• Resolución de Gerencia General Nº 012-ANSC-GG y sus modificatorias, que aprueba el
procedimiento para la aplicación del régimen especial de contratación administrativa
de servicios - CAS.
• Resolución Jefatura! Nº 347-2001-INEI, que aprueba las normas y procedimientos
técnicos para garantizar la seguridad de la Información publicada por las Entidades de
la Administración Pública.
• Directiva Nº 016-2002-INEl/DTNP, normas y procedimientos técnicos para garantizar la
seguridad de la información publicada por las Entidades de la Administración Pública.
S. DISPOSICIONES GENERALES
a) El Área de Tecnologías de la Información es responsable de cumplir y hacer cumplir las
disposiciones contenidas en la presente directiva .
b) SERVIR es una entidad comprometida con la seguridad de la información como un
activo de valor para el cumplimiento de sus objetivos.
c) SERVIR contará con un equipo humano consciente del valor de la información, con una
actitud orientada a proteger la confidencialidad, in tep,ridad y disponibilidad de la
información.
d) SERVIR mejorará de manera continua la gestión de la seguridad de la información.
e) Todo aquello que no está explícitamente autorizado en esta Directiva requerirá de
aprobación expresa de la Jefatura de la Oficina de Ad min is tración y Finanzas.
6. DISPOSICIONES ESPECÍFICAS
6.1 DE LAS ACCIONES DE PREVENCIÓN
A. CON RELACIÓN A LA NATURALEZA DE LA INFORMACIÓN
Confidencialidad de la información
a) Toda información relacionada a las operaciones de SERVIR es confidencial y propiedad de SERVIR. Colaboradores, contratistas, consultores y demás personal que tenga relación de trabajo con SERVIR están prohibidos de revliJr información incluyendo:
• Documentos todavía no comunicados oficialmen te por SERVIR.
• Planes y estrategias de trabajo.
• Estudios y evaluaciones de mercado. • Programas, bases de datos e informaciones contcrii t:.1~ .
b) Toda información sobre la plataforma tecnológicJ usdd 1 por ~ CRVIR es confidencial. La tecnología usada, su ubicación y configuración consl " , L ;nformación confidencial incluyendo: equipos personales, programas, documentación, sistemas operativos, diagramas, servidores. La información de esta plataforma sólo puede ser entregada a terceros mediante autorización escrita de Oficin:i r ncra l de Administración y Finanzas.
Propiedad de la información
c) Cada elemento o servicio de la infraestructura tern o! \;ic.1 de SERVIR contará con cobertura administrativa por parte del área dr Tcc1' ' ,:· 15 de la Información, en adelante TI. Se identificará al personal autorizado a C'L' ir, modificar o borrar tipos específicos de información.
B. CON RELACIÓN A LAS ÁREAS DE TRABAJO Y LAS APLICl\CI ~ NE S UTILIZADAS
a) La sala de máquinas (Data Center) será de acceso rcst1 ¡, .. , para personal autorizado.
b) La información, servicios y procedimientos administr:i t 1 <; • proveer a la ciudadanía,
se administrarán por medios electrónicos con aplicaciclll •''. sr· ·uras.
c) Las aplicaciones que administran transacciones operativas deberán incorporar
procedimientos técnicos de seguridad mediante las siguientes técnicas: Secure Sockets
Layer (SSL) y Public Key lnfrastructure (PKI)
d) Se incorporará un sistema de seguridad antivirus en los servidores que gestionan las
bases de datos y aplicaciones de SERVIR.
e) Se incorporará una herramienta de detección de intrusos y control de accesos para
proteger la información de carácter confidencial de la institución.
f) Se dispondrá de copias de seguridad de la información crítica con herramientas de
respaldo en línea que evite interrumpir los servicios brindados.
g) Se contará con una adecuada alimentación eléctrica, que involucre el estado de los
pozos a tierra, UPS, estabilizador y redes de alimentación eléctrica independientes.
C. CON RELACIÓN A LOS SISTEMAS DE RED LOCAL Y CONECTIVIDAD A INTERNET
Acceso a servicios externos
a) Los elementos de comunicación interna y externa serán controlados, evitando que ante un exceso de demanda las operaciones de SERVIR sean afectados negativamente. Se implementarán mecanismos de control de demanda de los recursos de comunicaciones: • Herramientas de priorización de tráfico.
• Productos de memoria intermedia. b) El acceso de SERVIR a entidades externas estará asegurado, impidiendo la existencia de
brechas que posibil iten el acceso no autorizado. d) Toda conexión con entidades externas estará bajo el control del Área de Tecnologías
de la Información. e) Las áreas que requieran acceso a entidades externas de acuerdo a la naturaleza de sus
funciones deberán coordinar con el Área de Tecnologías de la Información la implementación del servicio .
f) Ningún equipo de la red de SERVIR que requiera conexión externa dispondrá de acceso irrestricto, estará limitado a lo necesario para sus funciones.
g) Toda entidad que se conecte a la red de SERVIR deberá asegurar previamente sus propios sistemas de manera consistente con los requerimientos de SERVIR.
Acceso desde el exterior a servicios internos
h) Todo acceso de terceros no será directo a los servicios internos de SERVIR. Cualquier acceso remoto a servicios internos de SERVIR será autenticado con mecanismos que garanticen la identidad del cliente externo.
i) El acceso remoto a través de una red pública a la red de SERVIR que implique transmisión de información confidencial empleará mecanismos que garanticen la privacidad de los datos transmitidos.
j) Los equipos personales conectados a la red de SERVIR o que se encuentren físicamente dentro de sus instalaciones, no tendrán conectados módems externos o equipos similares (antenas de proveedores de comunicaciones)
Servicios de Internet
k) El uso del servicio de Internet se brindará contando con mecanismos que aseguren la protección de la red interna y sus equipos.
1) La red local y el sistema de conectividad a Internet contarán con sistemas de seguridad.
m) Se tendrá en consideración la aplicación de técnicas de seguridad que se evalúen como convenientes: firewall, detección de intrusos, inspección de contenido, auditoría, filtrado, Proxy, autenticación; que permitan controlar la seguridad de los usuarios de la red local y sistema de conectividad a Internet.
n) Se implementarán lineamientos de restricción en la asignación de las direcciones IP en los usuarios.
o) Se establecerán redes privadas virtuales para permitir enlaces temporales privados entre usuarios y aplicaciones internas y externas de SERVIR.
Servicios externos
p) Se clausurarán los servicios de comunicación que no sean estrictamente necesarios y módulos de los aplicativos que soportan la identificación para acceso remoto.
q) Se establecerán controles de acceso a los servicios telnet, ftp o similares. r) Se implementarán lineamientos de control de acceso:
• Inhabilitación de cuentas a usuarios que dejaron de laborar en SERVIR, solicitaron licencia o no se conecten al sistema por un período de tiempo determinado.
• Control de horario en cuentas.
Claves de Acceso
s) Las claves de acceso son de carácter privado. El propietario asume la responsabilidad de las acciones ejecutadas con la misma. Los administradores de plataforma no conocerán la clave de los usuarios pero sí podrán administrarla (alta, baja, modificación)
t) Las claves de acceso tendrán características que garanticen su nivel de confidencialidad: caducidad periódica, tamaño mínimo.
Uso de aplicaciones
u) El uso de software que necesite SERVIR está normado por el Área de Tecnologías de la Información.
v) Sólo el personal autorizado por la OAF realizará la instalación de programas en los equipos de computación personal. Los usuarios están autorizados a usar sólo aquellos programas que se les ha asignado. El uso de un programa no autorizado será calificado como intento de evadir los mecanismos de seguridad de la institución.
w) Las condiciones de uso de los programas de cómputo estará normado mediante un documento de "Política de Uso de Software" suscrito por el personal de SERVIR
D. CON RELACIÓN AL PERSONAL DE SERVIR
Convenios de confidencialidad
a) El documento que formaliza la relación de SERVIR con los colaboradores regulares y personal temporal incluirá los criterios de confidencialidad del presente documento.
Se espera que SERVIR tenga reconocimiento por escrito del compromiso de los trabajadores de no revelar información confidencial.
Atribuciones
b) Cualquier cambio de configuración de un servicio debe ser atribución únicamente del administrador del mismo o personas designadas por este.
c) Todos los privilegios en los sistemas de información de SERVIR serán revocados
inmediatamente culminada la relación laboral del trabajador vinculado a la institución.
Existiendo además un esquema formal de comunicado a la OAF por parte de las áreas
internas acerca de los cambios de estado de empleo de los trabajadores de SERVIR
(altas, bajas, modificación de funciones) d) Se establecerán mecanismos de control de restricción de acceso a la información de la
institución de acuerdo a sus necesidades operativas:
• Permitir el acceso a personal autorizado y evitar el acceso no autorizado.
• Permitir el acceso de acuerdo al perfil de cada usuario.
• Detección y registro de intentos de acceso no autorizados.
6.2 DE LAS ACCIONES DE DETECCIÓN
a) Se revisarán periódicamente las últimas actividades realizadas en la base de datos de
los sistemas de seguridad en busca de acciones sospechosas efectuadas por usuarios externos o internos en SERVIR.
b) Se implementará un sistema de monitoreo especializado para detectar cualquier
evento fuera de lo normal en el sistema.
c) Se comprobará periódicamente la integridad de los archivos importantes del sistema.
d) Se verificará periódicamente los permisos de los archivos que se encuentren en los directorios de usuarios.
6.3 DE LAS ACCIONES DE RECUPERACIÓN
a) Se dispondrá de procedimientos de contingencia que permitan minimizar los daños y
proteger la información del servicio a nivel de bases de datos, aplicaciones,
configuración de los sistemas operativos y de comunicaciones. Para lo cual se contará
con un sistema de respaldo de información y un plan de continuidad de operaciones.
b) Los procedimientos de contingencia deberán ser documentados y difundidos entre el
personal responsable y operativo del Área de Tecnologías de la Información.
c) Se establecerán cursos de capacitación y simulacros que permitan evaluar la respuesta
del personal involucrado en la recuperación de contingencia dispuesta.
7. DISPOSICIONES COMPLEMENTARIAS
7.1 El Área de Tecnologías de la Información elaborará el Plan de Contingencias
institucional que considerará :
a. Respaldo de la configuración de servidores principales que permitan su puesta en
marcha ante una eventual contingencia.
b. Procedimientos de respaldo y restauración de la información crítica a nivel de
servidores.
7.2 Se establecerá periódicamente simulacros que permitan evaluar la respuesta del
personal involucrado en el Plan de Contingencias.
7.3 Las disposiciones de la presente Directiva se subordinan a lo que el Estado Peruano
establezca en el marco de medidas para el Almacenamiento y Respaldo de la
Información.
Lima, Marzo 2011