Decreto No. 360/2019.- Sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional

MIGUEL DÍAZ-CANEL BERMÚDEZ, Presidente de los consejos de Estado y de Ministros de la República de Cuba.

HAGO SABER: Que el Consejo de Ministros ha considerado lo siguiente:

POR CUANTO: El Decreto-Ley No. 370 “Sobre la Informatización de la Sociedad en Cuba”, de 17 de diciembre de 2018, en su Disposición Final Primera establece que el Consejo de Ministros queda encargado de dictar las disposiciones complementarias sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional.

POR CUANTO: El referido Decreto-Ley No. 370, dispone las regulaciones generales aplicables a las Tecnologías de la Información y la Comunicación (TIC) y recoge los principios a seguir y las acciones y medidas para la determinación, desarrollo y mejoramiento de las condiciones de fiabilidad, estabilidad y seguridad de las TIC que respalden la informatización de la sociedad y la soberanía de la nación, la investigación, el desarrollo, la asimilación tecnológica y los soportes de soluciones para su seguridad de forma sostenible; acciones que requieren ser implementadas mediante las normas complementarias que resulten necesarias.

POR TANTO: El Consejo de Ministros, en el ejercicio de las atribuciones que le están conferidas en el Artículo 137, incisos ñ) y o) de la Constitución de la República de Cuba, dicta el siguiente:

DECRETO No. 360

SOBRE LA SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN Y LA DEFENSA DEL CIBERESPACIO NACIONAL

CAPÍTULO I Artículos 1 a 12

OBJETO, OBJETIVOS, DEFINICIONES Y ÁMBITO DE APLICACIÓN

Artículo 1

El Estado moviliza los recursos necesarios para lograr el empleo seguro y eficiente de las Tecnologías de la Información y la Comunicación en función de las necesidades que requiere el desarrollo del país; además, en su papel rector de la sociedad, dirige la implementación de la estrategia aprobada en materia de Seguridad de las Tecnologías de la Información y la Comunicación y controla su cumplimiento, así como promueve la investigación, el desarrollo, la aplicación, la innovación, la divulgación y la capacitación.

Artículo 2

El objeto del presente Decreto es establecer el marco legal que ordene el empleo seguro de las Tecnologías de la Información y la Comunicación, en lo adelante TIC, para la informatización de la sociedad, la defensa del Ciberespacio National en correspondencia con lo establecido en la Constitución, las leyes y las restantes disposiciones legales relacionadas con el tema, así como los tratados y demás instrumentos jurídicos internacionales de los que la República de Cuba es Estado parte.

Artículo 3 El objetivo general de este Decreto es establecer los niveles de seguridad en correspondencia con los riesgos asociados a la evolución de las TIC y las posibilidades reales de enfrentar estos últimos, y tiene los objetivos específicos siguientes:

1. Proteger el Ciberespacio Nacional y preservar la soberanía sobre su utilización;

2. establecer la seguridad de las TIC y de los servicios y aplicaciones que soportan; así como la de las Infraestructuras Críticas de las TIC con la finalidad de contar con una estrategia de fortalecimiento y sostenibilidad.

Artículo 4 El Ciberespacio es el ambiente virtual y dinámico, definido por tecnologías, equipos, procesos y sistemas de información, control y comunicaciones, que interactúan entre sí y con las personas, y en el que la información se crea, procesa, almacena y transmite.

Artículo 5 La Ciberseguridad es el estado que se alcanza mediante la aplicación de un sistema de medidas (organizativas, normativas, técnicas, educativas, políticas y diplomáticas), destinado a garantizar la protección y el uso legal del ciberespacio.

En la protección del ciberespacio se incluye la reducción de riesgos y vulnerabilidades, la creación de capacidades para detectar y gestionar eventos e incidentes y el fortalecimiento de la resiliencia.

Artículo 6 La situación o acontecimiento que puede causar daños a los bienes informáticos, sea una persona, un programa maligno o un suceso natural o de otra índole y representan los posibles atacantes o factores que inciden negativamente sobre las debilidades del sistema se denomina amenaza.

Artículo 7 Se denomina ataque al intento de acceso o acceso a un sistema o una red informática o terminal mediante la explotación de vulnerabilidades existentes en su seguridad.

Artículo 8 Se identifica como riesgo a la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático y cause un impacto negativo en la organización.

Artículo 9 La vulnerabilidad se identifica como el punto o aspecto del sistema que muestra debilidad al ser atacado o que puede ser dañada su seguridad; representa los aspectos falibles o atacables en el sistema informático y califica el nivel de riesgo de un sistema.

Artículo 10

El presente Decreto es de aplicación a los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales, los órganos del Poder Popular, el sistema empresarial y las unidades presupuestadas, las cooperativas, las empresas mixtas, las formas asociativas sin ánimos de lucro, las organizaciones políticas, sociales y de masas y las personas naturales.

Artículo 11 Constituyen premisas de la seguridad de las TIC para la informatización de la sociedad y la defensa del Ciberespacio Nacional las siguientes:

1. Elevar la Ciberseguridad frente a las amenazas, los ataques y riesgos a los que se exponen las TIC;

2. garantizar que todos los activos de las TIC sean gestionados de acuerdo con los estándares y buenas prácticas en seguridad;

3. aumentar el nivel de atención a la seguridad de las TIC y garantizar que el personal vinculado a estas domine sus deberes y responsabilidades;

4. establecer las bases de un modelo integral de gestión de la seguridad que cubra en un ciclo continuo de mejora los aspectos técnicos, organizativos y procedimentales;

5. garantizar el cumplimiento de la legislación vigente en materia de seguridad de las TIC;

6. elevar la seguridad de las TIC mediante el desarrollo de la industria nacional de programas y aplicaciones informáticas;

7. potenciar la preparación de los profesionales de las TIC, la preservación de estos y el desarrollo integral del capital humano asociado a la actividad;

8. concebir la seguridad en todas las etapas de desarrollo e implantación de las TIC;

9. garantizar la seguridad y resiliencia de las redes y los sistemas de información empleados en los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular;

10. posibilitar la integración de la investigación, desarrollo e innovación con la producción y comercialización de productos, tecnologías y servicios de seguridad; y

11. promover la cooperación e intercambio internacional en función de la Ciberseguridad y la gobernanza de Internet.

Artículo 12

La Seguridad de las TIC es el conjunto de medidas administrativas, organizativas, físicas, legales y educativas dirigidas a prevenir, detectar y responder a las acciones que puedan poner en riesgo la confidencialidad, integridad y disponibilidad de la información que se procesa, intercambia, reproduce o conserva por medio de las TIC; el empleo del término seguridad informática, tiene igual significado.

CAPÍTULO II Artículos 13 a 98

SISTEMA DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN

SECCIÓN PRIMERA Artículos 13 a 22

Estrategia y Planificación

Artículo 13 El Sistema de Seguridad de las TIC es el conjunto de medios humanos, técnicos y administrativos que, de manera interrelacionada garantiza diferentes grados de seguridad informática, en correspondencia con la importancia de los bienes a proteger y los riesgos estimados.

Artículo 14 El Sistema de Seguridad de las TIC se constituye a partir de los sistemas de seguridad existentes en las instituciones del país que posean o utilicen las TIC, en interés propio o de terceros, e incluye:

1. Operadores de redes de telecomunicaciones, en lo adelante operadores;

2. proveedores de servicios públicos y privados de acceso a Internet;

3. productor de equipos;

4. proveedor de servicios de red;

5. proveedores de servicios de las TIC;

6. usuarios de las TIC; y

7. entidades encargadas de la dirección, el control y la supervisión de la seguridad de las TIC, así como de las actividades relacionadas con la vigilancia tecnológica, la alerta temprana y la gestión de incidentes.

Artículo 15 Los mecanismos de seguridad comprenden la implementación de hardware o software diseñados o construidos para prevenir, detectar o responder a incidentes de seguridad.

Artículo 16 Se considera un incidente de seguridad cualquier evento que se produzca de forma accidental o intencional, que afecte o ponga en peligro las tecnologías de la información y la comunicación o los procesos que con ellas se realizan.

Artículo 17 Cada entidad que haga uso de las TIC diseña, implanta, gestiona y mantiene actualizado un Sistema de Seguridad, a partir de la importancia de los bienes a proteger y de los riesgos a que están sometidos.

Artículo 18 A partir del Sistema de Seguridad diseñado, cada entidad elabora su Plan de Seguridad de las TIC.

Artículo 19 El diseño del Sistema de Seguridad de las TIC y la elaboración del Plan de Seguridad de cada entidad se realizan en correspondencia con las metodologías establecidas al respecto por el Ministerio de Comunicaciones.

Artículo 20 El Plan de Seguridad de las TIC de una organización es el documento que incluye, describe y aplica las políticas, medidas y procedimientos diseñados para esta a partir de los riesgos estimados, así como...