Resolución No. 128.- Reglamento de Seguridad de las Tecnologías de la Información y la Comunicación

POR CUANTO: El Decreto 360 “Sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional”, de 5 de junio de 2019 en su Disposición Final Primera establece, que los jefes de los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, en el marco de su competencia, dictan las disposiciones legales, realizan el control y fiscalización, y establecen las coordinaciones que resulten necesarias relativas a la aplicación del referido Decreto.

POR CUANTO: A partir de la experiencia acumulada en la aplicación de las Resoluciones 127 del Ministro de la Informática y las Comunicaciones, que aprobó el Reglamento de Seguridad de las Tecnologías de la Información, de 24 de julio de 2007 y la 192, de 20 de marzo de 2014, del Ministro de Comunicaciones, que puso en vigor el Reglamento para contrarrestar el envío de mensajes masivos dañinos a través de las redes de telecomunicaciones; resulta necesario emitir una nueva disposición normativa que actualice el contenido normativo de las referidas disposiciones, para atemperarlas a las exigencias del proceso de informatización de la sociedad y en consecuencia proceder a su derogación.

POR TANTO: En el ejercicio de las atribuciones que me están conferidas en el Artículo 145 inciso d) de la Constitución de la República de Cuba;

RESUELVO

PRIMERO: Aprobar el siguiente:

REGLAMENTO DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN

CAPÍTULO I

DISPOSICIONES GENERALES Artículos 1 a 53

Artículo 1

El presente Reglamento tiene por objeto complementar las disposiciones del Decreto 360 “Sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional” de 5 de junio de 2019, y establecer las funciones de los sujetos que intervienen en esta, así como garantizar un respaldo legal que responda a las condiciones y necesidades del proceso de informatización del país.

Artículo 2

Este Reglamento es de aplicación a los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales, los órganos del Poder Popular, el sistema empresarial y las unidades presupuestadas, las formas de propiedad y gestión no estatal, las empresas mixtas, las formas asociativas sin ánimos de lucro, las organizaciones políticas, sociales y de masas y las personas naturales, en lo adelante la entidad.

CAPÍTULO II Artículos 3 a 8

DEL SISTEMA DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN

Artículo 3 El Sistema de Seguridad de las Tecnologías de la Información y la Comunicación tiene como objetivo minimizar los riesgos sobre los sistemas informáticos y garantizar la continuidad de los procesos informáticos.

Artículo 4 Las formas de propiedad y gestión no estatal y las personas naturales, cumplen lo dispuesto en el presente Reglamento, en lo que corresponda, aunque no cuenten con el personal especializado.

Artículo 5 El jefe de la entidad a cada nivel es el máximo responsable de la seguridad de las Tecnologías de la Información y la Comunicación, en lo adelante seguridad de las TIC, en su organización, y garantiza la actualización de los Planes de Seguridad de las TIC y considera para ello los factores siguientes:

1. La aparición de nuevas vulnerabilidades;

2. los efectos de los cambios de tecnología o de personal;

3. la efectividad del sistema, demostrada por la naturaleza, número y daño ocasionado por los incidentes de seguridad registrados.

Artículo 6 Los especialistas en seguridad de las TIC a cada nivel, cumplen las funciones siguientes:

1. Participar en el diseño del Sistema de Seguridad y en la elaboración, evaluación y actualización del Plan de Seguridad de las TIC, supervisar su aplicación y disciplina en su cumplimiento;

2. establecer y mantener los controles, en correspondencia con el grado de protección requerido por el Sistema de Seguridad Informática diseñado;

3. participar en la evaluación de riesgos y vulnerabilidades de su entidad;

4. controlar y supervisar la disponibilidad de los bienes informáticos;

5. asesorar a las distintas instancias sobre los aspectos técnicos vinculados con la seguridad de las TIC;

6. establecer los controles necesarios para impedir la instalación de cualquier tipo de hardware o software, sin la autorización de la dirección de la entidad;

7. participar en la elaboración de los procedimientos de recuperación, ante incidentes de seguridad y en sus pruebas periódicas;

8. informar a los usuarios de las regulaciones establecidas.

Artículo 7 Los responsables de la seguridad de las TIC a cada nivel, responden por la protección de los bienes informáticos que le han sido asignados y tienen los deberes siguientes:

1. Identificar los requerimientos de seguridad de los bienes informáticos bajo su responsabilidad y de las aplicaciones en desarrollo, determinar el nivel de acceso de los usuarios y la vigencia de estos accesos;

2. participar en el diseño del Sistema de Seguridad y en la elaboración, evaluación y actualización del Plan de Seguridad de las TIC en la parte que concierne a su esfera de acción y garantizar su cumplimiento;

3. participar en la evaluación de riesgos y vulnerabilidades de su entidad;

4. aplicar las medidas y procedimientos establecidos en su área de responsabilidad;

5. especificar al personal subordinado, las medidas y procedimientos establecidos y controlar su cumplimiento;

6. participar en la elaboración de los procedimientos de recuperación ante incidentes de seguridad y en sus pruebas periódicas;

7. imponer o proponer sanciones ante violaciones del Sistema de Seguridad, en correspondencia con su naturaleza y con los daños ocasionados.

Artículo 8 Los usuarios de las TIC en sus entidades, tienen los deberes siguientes:

1. Adquirir la preparación necesaria y los conocimientos de Seguridad de las TIC imprescindibles para el desempeño de su trabajo;

2. contar con la autorización expresa del jefe facultado, para obtener acceso a cualquiera de los bienes informáticos;

3. cumplir las medidas de seguridad establecidas;

4. proteger las tecnologías o la terminal de red que le ha sido asignada y colaborar en la protección de cualquier otra, para evitar que sea robada o dañada, usar la información que contiene o utilizar de manera impropia el sistema al que esté conectado;

5. contar con la autorización del jefe facultado para instalar o utilizar en las tecnologías, equipamientos, o programas, o modificar su configuración;

6. cumplir las reglas establecidas para el empleo de las contraseñas;

7. informar al dirigente facultado de cualquier anomalía de seguridad detectada.

CAPÍTULO III Artículos 9 a 27

DEL EMPLEO SEGURO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN

SECCIÓN PRIMERA Artículos 9 a 11

Bienes informáticos

Artículo 9 Los bienes informáticos están bajo la custodia documentada legalmente de la persona designada para hacer uso del bien, quien es responsable de su protección.

Artículo 10 El jefe de la entidad instrumenta los procedimientos que se requieran para garantizar la autorización y el control sobre la utilización y movimiento de los bienes informáticos.

Artículo 11 El jefe del área o unidad organizativa que atiende las TIC define el procedimiento de uso de empleo y responsabilidad de los bienes informáticos que son móviles (portátiles o removibles), para las personas que utilizan estos bienes dentro y fuera de la entidad, que incluye:

1. Comunicar de inmediato por el usuario a la dirección de la entidad la pérdida o extravío del bien;

2. no contener datos importantes e información sensible, cuando se extraigan de la entidad, y tener implementadas medidas de protección;

3. no conservar datos personales o sobre la entidad a través de los que se pueda acceder a sus sistemas.

SECCIÓN SEGUNDA Artículos 12 a 15

De la Dirección del personal

Artículo 12 Las funciones y responsabilidades de seguridad de las TIC, tanto generales como específicas, son debidamente documentadas e incluidas dentro de las responsabilidades laborales del personal de la entidad.

Artículo 13 El jefe del área o unidad organizativa que atiende las TIC de la entidad está obligado a preparar y exigir responsabilidad al trabajador en materia de seguridad de las TIC, así como a aplicar las sanciones en caso de que este incumpla los requerimientos establecidos.

Artículo 14 La dirección de cada entidad establece previamente la utilización de las TIC y sus servicios asociados conforme a la necesidad de uso en interés de la propia entidad.

Artículo 15

La introducción, ejecución, distribución o conservación de programas en los medios de cómputo que puedan ser utilizados para comprobar, monitorear o transgredir la seguridad, solo se efectúan por las personas debidamente autorizadas por el jefe del área o unidad organizativa que atiende las TIC; se excluye el uso de aplicaciones destinadas a la comprobación de los sistemas instalados en la organización para el control interno de las operaciones realizadas y en ningún caso, este tipo de programas o información se expone mediante las TIC para su libre acceso.

SECCIÓN TERCERA Artículos 16 a 27

Seguridad Física

Artículo 16 En los edificios e instalaciones de cada entidad, su dirección determina las áreas o zonas controladas con requerimientos específicos, protegidas por un perímetro de seguridad definido, en dependencia de la importancia de los bienes informáticos que...