Polticas de Seguridad Lgica (Anexo 07)

Polticas de Seguridad Lgica. El presente anexo establece los lineamientos tcnicos para la administracin de los servidores con la finalidad de permitir a las reas Administradoras de Tecnologas de Informacin en coordinacin con la Direccin de Normatividad e Infraestructura Tecnolgica, los accesos al Sistema de Informacin Gubernamental. Se establecen las polticas que norman la infraestructura destinada a brindar la seguridad lgica y fsica de los servicios y sistemas ofrecidos por la Dependencia o Entidad las cuales sern observadas por la Direccin de Normatividad e Infraestructura Tecnolgica. Es necesario proveer al Sistema de Informacin Gubernamental mecanismos de cifrado para la transmisin de informacin a travs de la Red Interna para aprovechar la infraestructura, adems de la ventaja de que esta configuracin es independiente de que exista un acceso adicional a Internet. Proporcionar a la Dependencia o Entidad los elementos tcnicos suficientes para poder detectar alguna intrusin o actividad no autorizada dentro o a travs de su servidor, a fin de reportarlo y, en la medida en que sea posible, realizar acciones para contrarrestar la intrusin. Ser necesario sensibilizar a los usuarios y administradores de redes y de sistemas normativos la importancia que tiene la seguridad de la informacin de la Administracin Pblica. Por lo anterior, se presentan las siguientes polticas de seguridad: De la administracin y monitoreo de los servidores. 1.- La administracin de los servidores debe realizarse nicamente por el personal aprobado por el rea Administradora de Tecnologas de Informacin, a fin de mantener consistencia con las Polticas de Seguridad. 2.- Deben existir nicamente dos cuentas de usuario de administrador del sistema operativo en los equipos de cmputo o servidores donde residirn los sistemas normativos que se compartirn al Sistema de Informacin Gubernamental. La utilizacin de dichas cuentas debe ser aprobada por el rea Administradora de Tecnologas de Informacin. 3.- La administracin de los equipos de cmputo o servidores donde residirn los sistemas normativos que se compartirn al Sistema de Informacin Gubernamental, es atribucin del rea Administradora de Tecnologas de Informacin. 4.- Es necesario la utilizacin de sistemas de seguridad (Firewall), para deteccin de intrusos y el personal encargado de la administracin del firewall deber ser aprobado por el rea Administradora de Tecnologas de

Polticas de Seguridad Lgica (Anexo 07)

Informacin. Dicho sistema deber de manejar bitcoras que registre intentos de acceso autorizados y no autorizados. De la asignacin de claves de monitoreo. 1.- La administracin de la contrasea del o los equipos de cmputo o servidores donde residen los sistemas normativos que se comparten al Sistema de Informacin Gubernamental es responsabilidad del rea Administradora de Tecnologas de Informacin. 2.- La contrasea de administracin y configuracin del firewall, deber ser de conocimiento de la Direccin de Desarrollo Tecnolgico. 3.- El rea Administradora de Tecnologas de Informacin debe enviar por correo certificado y en una sola hoja a la Direccin de Desarrollo Tecnolgico, el nombre de la cuenta de administracin y configuracin del firewall y la contrasea parcial de sta, omitiendo los caracteres primero y ltimo y un nmero de folio de 6 dgitos. En esta hoja debe existir un apartado en el cual la Direccin de Desarrollo Tecnolgico firme un acuse de conocimiento. Posteriormente, debe devolver esta hoja por correo certificado a la Dependencia o Entidad. La Dependencia o Entidad debe informar por va telefnica a la Direccin de Desarrollo Tecnolgico los caracteres restantes de la contrasea de la cuenta de administracin y configuracin del firewall, siempre y cuando se hayan cumplido los siguientes puntos: La Dependencia o Entidad haya recibido el acuse mencionado en el punto 3. de la Asignacin de claves de monitoreo del presente documento. El Enlace de Seguridad proporciona el nmero correcto de folio mencionado en el inciso 3 de la Asignacin de claves de monitoreo del presente documento.

4.- La Dependencia o Entidad no debe escribir ni colocar la contrasea de la cuenta de administracin y configuracin del sistema de seguridad en lugares donde pueda ser descubierta por terceros. De las polticas de Seguridad que se aplicarn en el firewall. 1.- Las polticas de seguridad del o los firewalls sern instrumentadas y puestas en operacin por la Direccin de Desarrollo Tecnolgico. 2.- Las polticas implementadas sern nicamente explicadas al rea Administradora de Tecnologas de Informacin, la cual podr de conformidad con sus necesidades, solicitar por escrito la implementacin de polticas adicionales.

Polticas de Seguridad Lgica (Anexo 07)

3.- Si la Dependencia o Entidad contar con personal calificado para la administracin y operacin del o los firewalls, podr solicitar por escrito a la Direccin de Desarrollo Tecnolgico, la administracin compartida de este equipo. Del enlace entre la Direccin de Normatividad e Infraestructura Tecnolgica y la Dependencia o Entidad. 1.- El rea Administradora de Tecnologas de Informacin debe informar por escrito a la Direccin de Normatividad e Infraestructura Tecnolgica el nombre de la persona y los telfonos del Administrador del o los firewalls. sta persona ser el enlace entre estos dos rganos. 2.- El rea Administradora de Tecnologas de Informacin debe mantener un directorio actualizado de todas las personas con cargo de enlace con la Direccin de Desarrollo Tecnolgico, el cual indique los medios de localizacin de stas para contar con una pronta disponibilidad cuando se requiera. 3.- La persona que es asignada como administrador del o los firewalls, debe informar al Titular del rea Administradora de Tecnologas de Informacin de cualquier anomala o sntoma que indique un intento de intrusin hacia el la red local o a la red de Sistema de Informacin Gubernamental. 4.- Toda la informacin intercambiada entre el Administrador del sistema de seguridad y de los equipos de cmputo o servidores donde residen los sistemas normativos que se comparten al Sistema de Informacin Gubernamental y la Direccin de Normatividad e Infraestructura Tecnolgica se considera como informacin secreta. Consideraciones 1.- Cualquier actividad o tema de discusin relacionado con el sistema de seguridad y de los equipos de cmputo o servidores donde residen los sistemas normativos que se comparten al Sistema de Informacin Gubernamental, que no se encuentre estipulado en estas polticas, sern tratado directamente con la Direccin de Normatividad e Infraestructura Tecnolgica para la resolucin de conflictos derivados de ellas.