Resolución No. 129.- Aprueba la Metodología para la Gestión de la Seguridad Informática que se anexa y que forma parte integrante de la presente Resolución

POR CUANTO: El Decreto 360 “Sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional” de 5 de junio de 2019 establece en su Artículo 19 que el diseño del Sistema de Seguridad Informática y la elaboración del Plan de Seguridad Informática de cada entidad se realizan en correspondencia con las metodologías establecidas por el Ministerio de Comunicaciones, por lo que se considera necesario establecer la Metodología para la Gestión de la Seguridad Informática en todo el país.

POR TANTO: En el ejercicio de las atribuciones que me están conferidas en el Artículo 145 inciso d) de la Constitución de la República de Cuba;

RESUELVO

PRIMERO: Aprobar la Metodología para la Gestión de la Seguridad Informática que se anexa y que forma parte integrante de la presente Resolución.

SEGUNDO: Las entidades disponen de ciento ochenta días contados a partir de la entrada en vigor de la presente Resolución, para establecer sus Sistemas de Gestión de la Seguridad Informática, en correspondencia con lo regulado en la referida metodología.

TERCERO: La Oficina de Seguridad para las Redes Informáticas del Ministerio de Comunicaciones es la encargada de ejercer el control del cumplimiento de lo dispuesto en la presente Resolución.

DISPOSICIÓN ESPECIAL

UNICA: Se faculta a los ministros de las Fuerzas Armadas Revolucionarias y del Interior a adecuar para sus sistemas, la Metodología para la Gestión de la Seguridad Informática.

NOTIFÍQUESE al director general de la Oficina de Seguridad para las Redes Informáticas.

COMUNIQUESE a los viceministros, al director general de Informática y al director de Regulaciones del Ministerio de Comunicaciones.

ARCHÍVESE el original en la Dirección Jurídica de este Ministerio.

PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.

DADA en La Habana, a los 24 días del mes de junio de 2019.

Jorge Luis Perdomo Di-Lella

ANEXO

METODOLOGÍA PARA LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA

ÍNDICE

Objeto

Alcance

Términos y definiciones

Primera Parte: Sistema de Gestión de la Seguridad Informática

1. Proceso de Planificación del SGSI

   1.1. Preparación

   1.1.1. Compromiso de la dirección de la entidad con la Seguridad Informática

   1.1.2. Seleccionar y preparar a los miembros del equipo que participan en el diseño e implementación del SGSI

   1.1.3. Recopilar información de seguridad

   1.2. Determinación de las necesidades de protección

   1.2.1. Caracterización del sistema informático

   1.2.2. Identificación de las amenazas sobre el sistema informático

   1.2.3. Estimación del riesgo sobre los bienes informáticos

   1.2.4. Evaluación del estado actual de la Seguridad Informática

   1.3. Establecimiento de los requisitos de Seguridad Informática

   1.4. Selección de los controles de Seguridad Informática

   1.4.1. Políticas de Seguridad Informática

   1.4.2. Medidas y procedimientos de Seguridad Informática

   1.5. Organización de la Seguridad Informática

   1.5.1. Organización interna

   1.5.2. Coordinación de la Seguridad Informática

   1.5.3. Asignación de responsabilidades sobre Seguridad Informática

   1.6. Elaboración del Plan de Seguridad Informática

2. Proceso de Implementación del SGSI

   2.1. Programa de Desarrollo de la Seguridad Informática

   2.2. Factores Críticos de éxito

3. Proceso de Verificación del SGSI

   3.1. Métodos de Medición

   3.2. Indicadores de medición

   3.3. Reglas que cumplen una buena métrica:

4. Proceso de Actualización del SGSI

   Segunda Parte: Estructura y contenido del Plan de Seguridad Informática

1. Alcance del Plan de Seguridad Informática

2. Caracterización del Sistema Informático

3. Resultados del Análisis de Riesgos

4. Políticas de Seguridad Informática

5. Responsabilidades

6. Medidas y Procedimientos de Seguridad Informática

   6.1. Clasificación y control de los bienes informáticos

   6.2. Del Personal

   6.3. Seguridad Física y Ambiental

   6.4. Seguridad de Operaciones

   6.5. Identificación, Autenticación y Control de Acceso

   6.6. Seguridad ante programas malignos

   6.7. Respaldo de la Información

   6.8. Seguridad en Redes

   6.9. Gestión de Incidentes de Seguridad

7. Anexos del Plan de Seguridad Informática

   7.1 Listado nominal de Usuarios con acceso a los servicios de red

   7.2 Registros

   7.3 Control de Cambios Objeto

   La presente metodología tiene por objeto determinar las acciones a realizar en una entidad durante el diseño, la implementación y posterior operación de un Sistema de Gestión de la Seguridad Informática, en lo adelante SGSI, compuesta por dos partes, la primera se dedica al SGSI y la segunda a la estructura y contenido del Plan de Seguridad Informática. Constituye un complemento a lo exigido en el Decreto de Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional y el Reglamento de Seguridad para las Tecnologías de la Información y la Comunicación en cuanto a la obligación de diseñar, implantar y mantener actualizado un Sistema de Seguridad Informática, a partir de los bienes a proteger y de los riesgos a que están sometidos.

   Alcance

   Esta metodología está dirigida a todas las personas vinculadas con las Tecnologías de la Información y la Comunicación, en lo adelante TIC, de una entidad, ya sea por la responsabilidad que tienen asignadas en relación con los bienes informáticos o por los beneficios que de ellos obtienen.

   Los primeros destinatarios de esta metodología son los directivos y funcionarios de los distintos niveles de una entidad, que responden por el buen funcionamiento de las tecnologías y la información que en ellas se procesa.

   Términos y definiciones

   A los efectos de la presente metodología se entiende por:

1. Análisis de riesgos: Proceso dirigido a determinar la probabilidad de que las amenazas se materialicen sobre los bienes informáticos, e implica la identificación de los bienes a proteger, las amenazas que actúan sobre ellos, su probabilidad de ocurrencia y el impacto que puedan causar.

2. Identificación de usuarios: Identificador (ID) que define quién es el usuario y qué lo identifica unívocamente en el sistema, diferenciándolo en los sistemas multiusuario del resto.

3. Impacto: Daño producido por la materialización de una amenaza.

4. Riesgo residual: Riesgo remanente después de aplicados controles de seguridad para minimizarlo.

5. Sistema informático: Conjunto de bienes informáticos de que dispone una entidad para su correcto funcionamiento y la consecución de sus objetivos.

6. Soportes removibles: Cualquier tipo de dispositivo intercambiable que permita la transferencia o almacenamiento de información.

7. Trazas de auditoría: Registros que se generan para describir la información asociada a eventos de interés en los diferentes procesos que se ejecutan en las TIC; están compuestos por secciones y campos donde se describen aspectos como fecha y hora, tipo de evento, quién o qué lo causa, y qué se afecta, que permiten comprender el evento que se registra y usualmente se registran en orden cronológico.

   El SGSI de una entidad se diseña con la consideración del conjunto de sus bienes informáticos a partir de su importancia y el papel que representan para el cumplimiento de su actividad, por lo que se presta especial atención a aquellos que son críticos en virtud de la función que realizan o los servicios que proporcionan, su importancia y el riesgo a que están sometidos.

   Un SGSI conlleva la conformación de una estrategia sobre cómo tratar los aspectos de seguridad e implica la implementación de los controles necesarios para garantizar el cumplimiento de lo establecido en esta materia, a partir de un análisis de riesgos que incluya:

1. determinar qué se trata de proteger;

2. determinar de qué es necesario protegerse;

3. determinar cuan probables son las amenazas;

4. implementar los controles que protejan los bienes informáticos de una manera rentable; y

5. revisar continuamente este proceso y perfeccionarlo cada vez que una debilidad (vulnerabilidad) sea encontrada.

   Los tres primeros aspectos son imprescindibles para tomar decisiones efectivas sobre seguridad. Sin un conocimiento razonable de lo que se quiere proteger, contra qué protegerlo y cuan probables son las amenazas, seguir adelante carece de sentido.

   La presente metodología promueve la adopción de un enfoque basado en procesos, con el fin de establecer, implementar, operar, dar seguimiento, mantener y mejorar el SGSI de una organización; para ello adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar”

   (PHVA), que se aplica para estructurar todos los procesos del SGSI en correspondencia con la NC-ISO-IEC 27001“Requisitos de los Sistema de Gestión de la Seguridad de la Información” y adecuada a la NC-ISO-IEC 17799 (27002) “Código de Buenas Prácticas para la Gestión de la Seguridad de la Información”.

   Primera Parte: Sistema de Gestión de la Seguridad Informática

   Procesos de un Sistema de Gestión de la Seguridad Informática

   El SGSI se compone de cuatro procesos básicos:

1. Proceso de Planificación del SGSI

   Objetivo principal: La realización del análisis y evaluación de los riesgos de seguridad y la selección de controles adecuados.

   En esta primera etapa se crean las condiciones para la realización del diseño, implementación y gestión del Sistema de Seguridad Informática, para lo cual se realiza un estudio de la situación del sistema informático desde el punto de vista de la seguridad, con el fin de determinar las acciones que se ejecutan en función de las necesidades detectadas y con ello establecer las políticas, los objetivos, procesos y procedimientos de seguridad apropiados para gestionar el riesgo y mejorar la seguridad informática, lo cual posibilita obtener resultados conformes con las políticas y objetivos globales de la organización. Los bienes informáticos de que dispone una entidad no tienen el mismo valor, e igualmente, no están sometidos a los mismos riesgos, por lo que es imprescindible la realización de un análisis de riesgos que ofrezca una valoración de los bienes informáticos y las amenazas a las que están expuestos, así como una definición de la...