Resolución No. 128.- Reglamento de Seguridad de las Tecnologías de la Información y la Comunicación
POR CUANTO: El Decreto 360 “Sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional”, de 5 de junio de 2019 en su Disposición Final Primera establece, que los jefes de los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, en el marco de su competencia, dictan las disposiciones legales, realizan el control y fiscalización, y establecen las coordinaciones que resulten necesarias relativas a la aplicación del referido Decreto.
POR CUANTO: A partir de la experiencia acumulada en la aplicación de las Resoluciones 127 del Ministro de la Informática y las Comunicaciones, que aprobó el Reglamento de Seguridad de las Tecnologías de la Información, de 24 de julio de 2007 y la 192, de 20 de marzo de 2014, del Ministro de Comunicaciones, que puso en vigor el Reglamento para contrarrestar el envío de mensajes masivos dañinos a través de las redes de telecomunicaciones; resulta necesario emitir una nueva disposición normativa que actualice el contenido normativo de las referidas disposiciones, para atemperarlas a las exigencias del proceso de informatización de la sociedad y en consecuencia proceder a su derogación.
POR TANTO: En el ejercicio de las atribuciones que me están conferidas en el Artículo 145 inciso d) de la Constitución de la República de Cuba;
RESUELVO
PRIMERO: Aprobar el siguiente:
REGLAMENTO DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN
El presente Reglamento tiene por objeto complementar las disposiciones del Decreto 360 “Sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional” de 5 de junio de 2019, y establecer las funciones de los sujetos que intervienen en esta, así como garantizar un respaldo legal que responda a las condiciones y necesidades del proceso de informatización del país.
Este Reglamento es de aplicación a los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales, los órganos del Poder Popular, el sistema empresarial y las unidades presupuestadas, las formas de propiedad y gestión no estatal, las empresas mixtas, las formas asociativas sin ánimos de lucro, las organizaciones políticas, sociales y de masas y las personas naturales, en lo adelante la entidad.
DEL SISTEMA DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN
-
La aparición de nuevas vulnerabilidades;
-
los efectos de los cambios de tecnología o de personal;
-
la efectividad del sistema, demostrada por la naturaleza, número y daño ocasionado por los incidentes de seguridad registrados.
-
Participar en el diseño del Sistema de Seguridad y en la elaboración, evaluación y actualización del Plan de Seguridad de las TIC, supervisar su aplicación y disciplina en su cumplimiento;
-
establecer y mantener los controles, en correspondencia con el grado de protección requerido por el Sistema de Seguridad Informática diseñado;
-
participar en la evaluación de riesgos y vulnerabilidades de su entidad;
-
controlar y supervisar la disponibilidad de los bienes informáticos;
-
asesorar a las distintas instancias sobre los aspectos técnicos vinculados con la seguridad de las TIC;
-
establecer los controles necesarios para impedir la instalación de cualquier tipo de hardware o software, sin la autorización de la dirección de la entidad;
-
participar en la elaboración de los procedimientos de recuperación, ante incidentes de seguridad y en sus pruebas periódicas;
-
informar a los usuarios de las regulaciones establecidas.
-
Identificar los requerimientos de seguridad de los bienes informáticos bajo su responsabilidad y de las aplicaciones en desarrollo, determinar el nivel de acceso de los usuarios y la vigencia de estos accesos;
-
participar en el diseño del Sistema de Seguridad y en la elaboración, evaluación y actualización del Plan de Seguridad de las TIC en la parte que concierne a su esfera de acción y garantizar su cumplimiento;
-
participar en la evaluación de riesgos y vulnerabilidades de su entidad;
-
aplicar las medidas y procedimientos establecidos en su área de responsabilidad;
-
especificar al personal subordinado, las medidas y procedimientos establecidos y controlar su cumplimiento;
-
participar en la elaboración de los procedimientos de recuperación ante incidentes de seguridad y en sus pruebas periódicas;
-
imponer o proponer sanciones ante violaciones del Sistema de Seguridad, en correspondencia con su naturaleza y con los daños ocasionados.
-
Adquirir la preparación necesaria y los conocimientos de Seguridad de las TIC imprescindibles para el desempeño de su trabajo;
-
contar con la autorización expresa del jefe facultado, para obtener acceso a cualquiera de los bienes informáticos;
-
cumplir las medidas de seguridad establecidas;
-
proteger las tecnologías o la terminal de red que le ha sido asignada y colaborar en la protección de cualquier otra, para evitar que sea robada o dañada, usar la información que contiene o utilizar de manera impropia el sistema al que esté conectado;
-
contar con la autorización del jefe facultado para instalar o utilizar en las tecnologías, equipamientos, o programas, o modificar su configuración;
-
cumplir las reglas establecidas para el empleo de las contraseñas;
-
informar al dirigente facultado de cualquier anomalía de seguridad detectada.
DEL EMPLEO SEGURO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN
Bienes informáticos
-
Comunicar de inmediato por el usuario a la dirección de la entidad la pérdida o extravío del bien;
-
no contener datos importantes e información sensible, cuando se extraigan de la entidad, y tener implementadas medidas de protección;
-
no conservar datos personales o sobre la entidad a través de los que se pueda acceder a sus sistemas.
De la Dirección del personal
La introducción, ejecución, distribución o conservación de programas en los medios de cómputo que puedan ser utilizados para comprobar, monitorear o transgredir la seguridad, solo se efectúan por las personas debidamente autorizadas por el jefe del área o unidad organizativa que atiende las TIC; se excluye el uso de aplicaciones destinadas a la comprobación de los sistemas instalados en la organización para el control interno de las operaciones realizadas y en ningún caso, este tipo de programas o información se expone mediante las TIC para su libre acceso.
Seguridad Física
To continue reading
Request your trial