Manual de Seguridad - E7

MINISTERIO DE HACIENDA CODIGO : MAS
EDICION :007
MINISTERIO DE HACIENDA
MANUAL DE SEGURIDAD DE LA INFORMACIN
Pgina I de 46
PDF compression, OCR, web optimization using a watermarked evaluation copy of CVISION PDFCompressor
MINISTERIO DE HACIENDA CODIGO: MAS
EDICION :007
FECHA :27105/14
HOJA DE AUTORIZACIN
Preparado por:
Nombre : Licda. Patricia Carolina Marroqun Firma: / Fecha: 30/04/14

Cargo : Coordinador de Seguridad de la Informacin
Revisado por:
Nombre : Lic. Miguel Angel Santeliz Garca

Cargo : Subdirector Nacional de Administracin
Financiera e Innovacin
Nombre : Licda. Dinora Margarita Cubias

cier!
Irma' e
Cargo : Directora Nacional de Administracin F 26/051:
e Innovacin
Aprobado por: '2
Nombre : Ing. Roberto de Jess Solrzano Castro Fecha 27/05/14

Cargo : Viceministro de Hacienda
Jess S6UQfl9 .9?T?
Pgina 2 de 46
EDICION :007
FECHA : 27105fl4
CONTENIDO
SECCIN i Introduccin y Alcance del Sistema de Gestin de Seguridad de la Informacin

1.1 Introduccin
1.2 Objetivos dei SGSI
1.3 Base Legal
1 .4 Alcance
1.4.1 Alcance del SGSI
1.4.2 Pblico Objetivo del MAS
1.5 Dominios del Sistema de Gestin de Seguridad de la Informacin
SECCIN 2 Referencias
SECCIN 3 Trminos y Definiciones
SECCIN 4 Sistema de Gestin de Seguridad de la Informacin (SGSI)

4.1 Requisitos Generales
4.2 Establecimiento y Gestin dei SGSI
4.2.1 Establecimiento dei SGSI
4.2.2 Implementacin y Operacin dei SGSI
4.2.3 Supervisin y Revisin del SGSI
4.2.4 Mantenimiento y mejora dei SGSI
4.3 Documentacin del SGSI
4.3.1 Generai
4.3.2 Control de los Documentos
4,3.3 Control de los Registros
SECCIN 5 Responsabilidades de la Organizacin

5.1 Compromiso y Responsabilidades de la Organizacin
5.1.1 Compromiso de la Organizacin
5.1.1.1 Titulares
5.1.2 Responsabilidades de la Organizacin
5.1.2.1 Direccin Nacional de Administracin Financiera e Innovacin
(DINAFI)
5.1.2.2 Directores, Presidente y Jefes de las Unidades Asesoras al Despacho
5.1.2.3 Jefes de las Unidades Organizativas
5.1.2.4 Encargados de Seguridad de la Informacin
5.1.2.5 Propietario de la Informacin
5.1.2.6 Custodio de la informacin
5.1.2.7 Dueo de Procesos
5.1.2.8 Personal de Operaciones
5.1.2.9 Tcnico en Seguridad de la Informacin de la DINAFI
5.1.2.10 Responsables dei Desarrollo de Aphcaciones del Negocio
5.1.2.11 Usuario
5.2 Gestin de Recursos
5.2.1 Provisin de los Recursos
5.2.2 Formacin, Concientizacin y Competencia
jrr)J)
-
If.
ja Pgina 3 de 46
EDICION : 007
SECCIN 6 Auditoria interna al SGSI
SECCIN 7 Revisin por la Direccin dei SGSI

7.1 Generalidades
7.2 Informacin para la Revisin
7.3 Resultados de la Revisin
SECCIN 8 Mejora del SGSI

8.1 Mejora Continua
8.2 Acciones Correctivas
8.3 Acciones Preventivas
SECCIN 9 Lineamientos
9.1 Organizacin Para la Seguridad de la Informacin
9.2 Gestin de Activos
9.3 Seguridad Asociada al Recurso Humano
9.4 Seguridad Fsica y Ambiental
9.5 Gestin de Comunicaciones y Operaciones
9.6 Control de Accesos
9.7 Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin
9.8 Gestin de Incidentes de Seguridad de la informacin
9.9 Gestin de Continuidad dei Negocio
9.10 Conformidad
SECCIN 10 Incumplimiento a las Polticas y Lineamientos
SECCIN 11 Anexos
SECCIN 12 Modificaciones
Pgina 4 de 46
MINISTERIO DE HACIENDA CODIGO MAS
EDICION :007
FECHA : 271th
SECCIN 1: INTRODUCCIN Y ALCANCE DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA

INFORMACIN
1.1 INTRODUCCIN
"La seguridad de la informacin es la preservacin de la confidencialidad, integridad y disponibilidad de

la informacin; en adicin, otras propiedades, como la autenticidad, responsabilidad, no-repudiacin y
fiabilidad pueden estar involucradas". Aunque se puede generar la tendencia que los controles asociados
a la seguridad de la informacin solo estn orientados a sistemas de "informtica", es importante aclarar
que se consideran todos los aspectos relacionados con la informacin, los medios y los sistemas que la
manejan y la soportan.
Los sistemas de informacin y las redes de las Organizaciones estn frente a amenazas de un gran
nmero de fuentes, incluyendo fraudes por computadora, espionaje, sabotaje, vandalismo, incendios o
inundaciones. Asimismo, causas de dao como cdigos maliciosos, "hacking", ataques de denegacin de
servicios se hacen ahora ms frecuentes y sofisticadas.
La seguridad de la informacin no debe limitarse nicamente a los medios tecnolgicos, adicionalmente

requiere seguridad en los recursos humanos, seguridad fsica, seguridad en la gestin de los activos,
cumplimiento de la ley y gestionar la continuidad del negocio mediante una gestin apropiada soportada
por la poltica y procedimientos respectivos, Identificar los controles que deben estar implementados
requiere una cuidadosa planificacin y detalle. La gestin de la seguridad de la informacin requiere el
compromiso y la participacin de las mximas autoridades, empleados de la Institucin, proveedores,
terceras partes, contribuyentes y otros.
Sistema de Gestin de Seguridad de la Informacin (SGSI)
Un sistema de gestin de seguridad de la informacin, provee el modelo para establecer, implementar,

operar, monitorear, revisar, mantener y mejorar la proteccin de la informacin y los sistemas, para
alcanzar los objetivos del negocio, basado en la evaluacin del riesgo y los niveles de aceptacin dei
mismo para la Institucin, con elfin de gestionar de forma efectiva los riesgos.
Fases del Sistema de Seguridad de la informacin
De acuerdo a la norma UNE-lSD/lEO 27001 :2007, que utiliza el modelo "Planificar -Hacer- Verificar -
Actuar", para gestionar el SGSI son las siguientes:
Planificar (Establecimiento del SGSI): Definir Ia poltica de seguridad, objetivos, procesos y

procedimientos relevantes para gestionar el riesgo y mejorar la seguridad de la informacin para
obtener resultados acordes a los objetivos y polticas de la Institucin.
Hacer (Implantacin y operacin): Implementar y operar la poltica, controles, procesos y

procedimientos del SGSI.
Verificar (Seguimiento y revisin del SGSI): Evaluar y, en su caso, medir el rendimiento de los
procesos contra la poltica, objetivos y la experiencia prctica dei SGSI, e informar los resultados a la
Direccin para su revisin.
cr "4 -il
crAA
ir' P
fl1
Pgina 5 de 46
EDICION :007
Actuar (Mantenimiento y mejora el SGSI): Adoptar acciones preventivas y correctivas, en funcin de

los resultados de las auditoras internas del SOSI y de la revisin por parte de la Direccin, o de otra
informacin relevante, para lograr la mejora continua dei SGSI.
Las fases del PHVA y el diagrama de flujos del modelo se presentan en la Figura 1.
I
Partes Paitss
Intere&as L!
Interssaas
Estfl1ever el $GSl
Accu)
jMarltenerYlerrarej
HLL
'SeguIrnento revIs11 Segurfdad

L
det$$1 .. Gestionada de
nformack5p
L
la Infcrmacicn
Figura 1. Modelo PHVA (Estndar ISOIIEC 27001)
1.2 OBJETIVOS DEL SGSI
1.2.1 Protegerla informacin de la Institucin y los medios para su tratamiento de forma razonable y
continua.
1.2.2 Mantener un modelo de gestin de riesgos de seguridad de la informacin para su identificacin,
valoracin y tratamiento.
1.2.3 Contribuir a la gestin de la continuidad de los servicios que presta la Institucin.

1.2.4 Contribuir al cumplimiento de las normas y legislacin en materia de seguridad de la informacin.
1.3 BASE LEGAL
El presente manual se emite de conformidad a lo establecido en:
1 .3.1 Normas Tcnicas de Control Interno Especificas del Ministerio de Hacienda.

1.3.2 Manual de Polticas de Control Interno del Ministerio de Hacienda.
Pgina 6 de 46
EDICION 007
FECHA :27/O
1.4 ALCANCE
1.4.1 El SGSI es aplicable a todos los procesos del negocio, la organizacin, las localidades, los activos
de informacin y tecnologa de la Institucin.
1.4.2 El cumplimiento del presente Manual es obligatorio para los funcionarios y empleados de las
Direcciones o Dependencias que conforman la InsUtucin representadas en el organigrama vigente
del Ministerio de Hacienda, excepto la Lotera Nacional de Beneficencia, Fondo Salvadoreo de
Estudios de Preinversin y el Instituto Nacional de Pensiones de los Empleados Pblicos. Estas
disposiciones tambin sern aplicables a los consultores, contratistas, empleados temporales o
terceros que se relacionen con la Institucin, en el tratamiento de la informacin.
1.5 DOMINIOS DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
La implantacin del SGSI, se hace bajo un enfoque de procesos, para identificarlos elementos de entrada
y los resultados esperados, a travs de la implantacin de un conjunto de controles que cubren 11
dominios de seguddad como se especifica en la Figura 3.
Nota: Los requisitos del Sistema de Gestin de Seguridad de la Informacin definidos en el estndar UNE-
ISOIIEC 27001 :2007 son compatibles con los requisitos del Sistema de Gestin de la Calidad implantado
en la Institucin (Ver Seccin 11).
':7
o
Pgina 7 de 46
EDICION:OO7
SISTEMA DE GES1ON DE SEGURIIAID DE LA INFORMACION DEL MMSTERIO DE HACI ENflA
SSIEMAS DE vINlCSGtrnD
ica
INFAO4
siaos
RCt1AD
Y
pLpNlsaAcJ
0r Gin de
ati'CG
S.zdaJ de
les PJHH
N&NAZAS
Wis de t1de GSJ1 de
FISy Catruthi Cotd de
PIItE1 dNo fto SISIE#S
SegLilded lNF'Cl
Gsx5nde
aendecsiide
ssgcs htdetde
mat de loe _______

Stesde
REQUISTOS lrtmon CMrTIthJ
ffloe de
SSS
nay nwtae
Sla
SGS I a
rr1IP
Careoa, Tcnude
canana t;
dMpeinl
Figura 3. Sistema de Gestin de Seguridad de la Informacin del Ministerio de Hacienda
Pgina B de 46
MiNISTERIO DE HACIENDA CODIGO : MAS
EDICION 007
FECHA 27/05/14
SECCIN 2: REFERENCIAS
Documentacin del Sistema de Gestin de Seguridad de la Informacin (SGSI).

Norma UNE-lSO/IEC 27001 :2007
Norma UNE-ISO/IEC 27002:2009
s Norma UNE 71502:2004
Pgina 9 de 46
EDICION : 007
FECHA :2710:
SECCIN 3: TERMINOS Y DEFINICIONES
Esta seccin Comprende una serie de conceptos utilizados en el presente manual y en los documentos
relacionados al Sistema de Gestin de Seguridad de la Informacin, tomando como referencia principal la
Norma UNE-ISO/IEC 27001:2007 y UNE-ISO/IEC 27002:2009. Trminos y definiciones.
3.1 Activo: Recurso dei sistema de informacin o relacionado con ste, necesario para que la Institucin
funcione correctamente y alcance los objetivos propuestos por su Direccin; en general algo que tiene
valor para la organizacin.
3.2 AE: Acuerdo Ejecutivo.
3.3 Ambiente de Produccin: se refiere al conjunto de recursos y controles destinados a mantener un

servicio de tecnologas de la informacin (por ejemplo: un sitio web, una aplicacin del negocio como
SIDUNEA, SITEP, SAFI, SlIT, SlIP, otros) a disposicin de los usuarios
3.4 Amenaza: Una causa potencial de un incidente no deseado, el cual puede producir un dao a un sistema
o a la Organizacin.
3.5 Anlisis de Riesgos: Uso sistemtico de la informacin para identificar y estimar las fuentes de riesgo.
3.6 Aplicacin del Negocio: Para propsitos de este lineamiento, se refiere a un programa de software
creado o desarrollado a la medida, para apoyar o automatizar una funcin de negocio (contabilidad,
tesorera, presupuestos, deuda pblica, gestin de tributos, aranceles, entre otros) utilizado por los
usuarios finales; cuyo uso no requiere privilegios administrativos. Pueden ser desarrolladas por personal
interno, subcontratado, adquiridas directamente del fabricante o recibidos en donacin. Ejemplos:
SIDUNEA, JSIIT, SITEP, SAFI, SIRH, SlIP, SIGADE, DET, COMPRASAL, entre otros.
3.7 Confidencialidad: Propiedad de la informacin de no estar disponible o no ser revelada a individuos no

autorizados, entidades o procesos.
3.8 Control: Medio para gestionar el riesgo, incluyendo polticas, procedimientos, directrices, prcticas o
estructuras organizacionales, las cuales pueden ser de naturaleza administrativas, tcnicas, de gestin, o
legal. El control es tambin usado como un sinnimo de salvaguarda o contramedida.
3.9 Criptografa: La criptografa (del griego kryptos, "ocultar", y grafos, "escribir", literalmente "escritura
oculta") es el arte o ciencia de cifrar y descifrar informacin utilizando tcnicas matemticas que hagan
posible el intercambio de mensajes de manera que slo puedan ser ledos por las personas a quienes
van dirigidos.
3.10 Declaracin de Aplicabilidad (DAPL): Declaracin documentada que describe los objetivos de los
controles y los controles que son relevantes y aplicables al SGSI de la organizacin. Los objetivos de los
controles y los controles son basados en los resultados y las conclusiones de la evaluacin de riesgos y
el proceso de tratamiento de los riesgos, requisitos legales o regulatorios, obligaciones contractuales y
requisitos dei negocio de la organizacin para la seguridad de la informacin.
3.11 DINAFI: Direccin Nacional de Administracin Financiera e Innovacin.
Pgina 10 de 46
EDICION :007
3.12 Disponibilidad: Propiedad de la informacin de ser accesible y utilizable en demanda por entidades
autorizadas.
3.13 Evento de Seguridad: Ocurrencia identificada en el estado de un sistema, servicio o red, indicando un
posible incumplimiento en la poltica de seguridad, una falla en las salvaguardas o contramedidas; o una
situacin previa desconocida que puede ser relevante ala seguridad.
3.14 Gestin de riesgos: Actividades coordinadas para dirigir y controlar una organizacin con respecto al
riesgo. La gestin de riesgos tpicamente incluye Ia evaluacin de riesgos, tratamiento de riesgos, la
aceptacin de riesgos y la comunicacin de riesgos.
3.15 Hacking: Accin efectuada por eI Hacker.
3.16 Impacto: Consecuencia sobre un activo de la materializacin de una amenaza.
3.17 Incidente de Seguridad: Uno o una sede de eventos de seguridad de Ia informacin no deseados o
inesperados que poseen una probabilidad significativa de comprometer las operaciones del negocio
amenazando Ia seguridad de la informacin.
3.18 Integridad: Propiedad de salvaguardar la precisin y lo completo de los activos.
3.19 ISOIIEC: Organizacin Mundial de Estandarizacin (del griego isos que significa "igual") y la comisin
Internacional Electrotcnica (por sus siglas en ingles International Electrotechnical comisin); la cual es
una organizacin que representa una red de institutos de estndares en 156 pases. Las siglas preceden
a los estndares emitidos por esta organizacin, ejemplo ISOJIEC 9000; estos estndares se consideran
de aplicacin internacional.
3.20 MAPO: Manual de Polticas de Control Interno del Ministerio de Hacienda.
3.21 MAS: Manual de Seguridad de la Informacin del Ministerio de Hacienda.
3.22 No Conformidad: Incumplimiento de un requisito.
3.23 Norma: Es una especificacin tcnica u otro documento a disposicin del pblico elaborado con la
colaboracin y el consenso o aprobacin general de todas las partes interesadas, basada en resultados
consolidados de la ciencia tecnologa y experiencia dirigida a promover beneficios ptimos para la
comunidad y aprobada por un organismo reconocido a nivel nacional, regional o internacional.
3.24 NTCIE: Normas Tcnicas de Control Interno Especificas del Ministerio de Hacienda.
3.25 Pasarela (gateway): Un gateway o puerta de enlace es normalmente un equipo informtico configurado
para dotar a las mquinas de una red local (LAN) conectadas a l de un acceso hacia una red exterior Se
podra decir que un gateway es un router que conecta dos redes.
3.26 Perodo de Conservacin de la Informacin Electrnica: Se refiere a la cantidad de tiempo por el cual
la Institucin debe mantener la informacin en formato electrnico de las aplicaciones del negocio, de
acuerdo a lo establecido en la normativa legal y tcnica vigente aplicable.
Pgina 11 de46
CODIGO MAS
EDICION :007
FECHA 27/O
3.27 Perodo de Disponibilidad de la Informacin Electrnica en Lnea: Se refiere a la cantidad de tiempo

por el cual se debe mantener la informacin de las aplicaciones del negocio en las bases de datos para
que est disponible en estas, de forma inmediata, en atencin a los requerimientos funcionales de la
Direccin o Dependencia.
3.28 PIan de Continuidad del Negocio (PCCN): Es la planificacin de todos los recursos necesarios para
que se re-establezcan las actividades o servicios que presta una organizacin a un nivel predeterminado.
3.29 Poltica: Orientaciones o directrices que rigen la actuacin de una persona o entidad en un asunto o
campo determinado.
3.30 Registro(s): Documento(s) que presenta(n) resultado(s) obtenido(s) o proporciona(n) evidencia de

actividades desempeadas.
3.31 Recursos para Tratamiento de la Informacin: Conjunto de elementos disponibles para resolver el
manejo, procesamiento, gestin o disposicin de la informacin,
3.32 Riesgo: Combinacin de la probabilidad de un evento y sus consecuencias.
3.33 Salvaguarda: Accin, procedimiento o dispositivo, fsico o lgico que reduce el riesgo.
3.34 SEDE: Secretaria de Estado del Ministerio de Hacienda.
3.35 SGSI: Sistema de Gestin de Seguridad de la Informacin.
3.36 Soporte(s): Material en cuya superficie se registra informacin, como el papel, la cinta de video o el disco
compacto.
3.37 Unidad de Informtica: se refiere a la(s) unidad(es) organizativa(s) que prestan los servicios de
tecnologas de la informacin y comunicaciones para las Direcciones o Dependencias del Ministerio de
Hacienda.
3.38 Vulnerabilidad: Debilidad de un activo o grupos de activos que puede ser explotada por una amenaza.
Pgina 12 de 46
EDICION 007
SECCIN 4: SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN
4.1 REQUISITOS GENERALES
La Institucin establecer, implantar, operar, revisar y mejorar un Sistema de Gestin de Seguridad

de la Informacin de acuerdo con los requisitos establecidos en este Manual para dar cumplimiento a las
Polticas de Seguridad contenidas en el captulo 7 deI Manual de Polticas de Control Interno, dentro del
contexto de las actividades de negocio de la Institucin y los riesgos que sta enfrenta. Se utilizar para
estos fines el proceso de la seccin 1.5 basado en modelo PHVA mostrado en la seccin 1.1.
4.2 ESTABLECIMIENTO Y GESTIN DEL SGSI
4.2.1 Establecimiento del SGSI
a) Definir el alcance del SGSI (ver seccin 1 .4) en trminos de las caractersticas de la Institucin,
como su organizacin, localizacin, activos y tecnologa.
b) Definir una Poltica de Seguridad de la Informacin (Captulo 7 del MAPO) en trminos de las
caractersticas de la Institucin como su organizacin, localizacin, activos y tecnologa.
c) Adoptar un enfoque hacia la evaluacin de los riesgos de la Institucin (Captulo II de NTCIE).
d) Definir una Metodologa para el Anlisis y Gestin de Riesgos (MAGER) y un procedimiento
(PRSN-007 Anlisis y Gestin de Riesgos) para la identificacin, anlisis, evaluacin y gestin de
los riesgos.
e) Seleccionar los controles para el tratamiento de los riesgos (Con base al estndar UNE-lSO/IEC
27002:2009, ver Anexo 2) los cuales se encuentran detallados a manera de lineamientos en la
Seccin 9.
t) Gestionar la aprobacin ante los Titulares y Directores, Presidente o Jefes de las Unidades
Asesoras al Despacho de la propuesta para el manejo de los riesgos residuales.
g) Aprobar la implantacin y operacin del SGSI (Aprobado por los Titulares en el Captulo 7 del
MAPO y AE N36 del 10 de enero de 2006).
h) La Declaracin de Aplicabilidad ser elaborada por cada Direccin o Dependencia, y estar
acorde a ste manual y la norma UNE-ISO/IEC 27002:2009.
4.2.2 Implementacin y Operacin del SGSI
a) Cada Direccin o Dependencia formular un plan de seguridad para el tratamiento de los riesgos,
de acuerdo al estndar definido por la DINAFI, que identifique las acciones de la misma, los
recursos, responsabilidades y prioddades para el manejo de los riesgos asociados a la seguridad
de la informacin.
b) Cada Direccin o Dependencia Implementar el plan de tratamiento de los riesgos en orden de
satisfacer los controles identificados.
c) Cada Direccin o Dependencia implementar los controles seleccionados en la Seccin 9, para
cumplir con los objetivos de estos controles.
d) Cada Direccin o Dependencia definir como medir la efectividad de los controles seleccionados o
grupos de controles y a la vez especificar, como estas medidas sern utilizadas para evaluar la
eficiencia y que los resultados producidos sean comparables y reproducibles (ver Seccin 4.2.3).
k
\
%. %J
Th!tfl
? o/i Pgina 13 de 46
EDICION : 007
FECHA : 2710I
e) La DINAFI impulsar programas de entrenamiento y ConcientizaCin (ver seccin 52.2).

t) La DINAFI coordinar operaciones dei SGSI.
g) La DINAFI gestionar recursos dei SGSI (ver seccin 5.2).
h) Cada Direccin o Dependencia Implementar procedimientos y otros controles que permitan la
deteccin y respuesta oportuna a los incidentes de seguridad (ver seccin 4.2.3)
4.2.3 Supervisin y Revisin dei SGSI
a) Cada Direccin o Dependencia ejecutar procedimientos de supervisin y revisin y otros

mecanismos de control para:
i Detectar errores en la informacin que se est procesando.

.
2.Ayudar a detectar eventos de seguridad y por tanto a prevenir incidentes de seguridad

mediante ei uso de indicadores.
3. Identificar debilidades e incidentes en la Seguridad de la informacin de la Direccin o
Dependencia.
b) Cada Direccin o Dependencia medir la eficacia de los controles y verificara que los requisitos de
seguridad estn siendo cumplidos.
c) Cada Direccin o Dependencia realizar revisiones peridicas de la efectividad del SGSI tomando
en cuenta los resultados de las auditorias de seguridad, incidentes, eficacia de los controles,
sugerencias y retroalimentacin de todas las partes interesadas.
d) Cada Direccin o Dependencia revisar a intervalos planificados sus anlisis de riesgos, los
niveles de riesgo residuales, el riesgo aceptado o asumido, tomando en cuenta los cambios en la
organizacin, tecnologa, objetivos y procesos de negocio, amenazas identificadas, efectividad de
los controles y cambios del entorno legal y reglamentario, de las obligaciones contractuales y dei
clima social.
e) Cada Direccin o Dependencia actualizar sus planes de seguridad, tomando en cuenta los
hallazgos provenientes de las actividades de monitoreo y revisin.
t) Cada Direccin o Dependencia registrar las acciones y eventos que puedan tener impacto en la
efectividad y desempeo del SGSI (ver seccin 4.3.3).
g) La DINAFI podr emitir opinin de las revisiones de los anlisis de riesgos de cada Direccin o
Dependencia.
h) La DINAFI revisar el SGSI de forma regular, para asegurar que el alcance se mantenga
adecuado y que las mejoras a los procesos dei SGSI sean identificadas (ver seccin 7.1).
i) La Unidad de Gestin de la Calidad de SEDE realizar auditoras internas del SGSI a intervalos
planificados (ver seccin 6).
4.2.4 Mantenimiento y Mejora dei SGSI
a) Cada Direccin o Dependencia implementar las mejoras identificadas al SGSI.

b) Cada Direccin o Dependencia tomar las acciones preventivas y correctivas de acuerdo a lo
establecido en las secciones 8.2 y 8.3.
c) Cada Direccin o Dependencia comunicar las acciones y mejoras a las partes interesadas, en los
niveles apropiados de detalle.
d) Cada Direccin o Dependencia asegurar que las mejoras, alcancen los objetivos propuestos.
Pgina 14 de 46
EDICION 007
4.3 DOCUMENTACIN DEL SGSI
4.3.1 General
La documentacin del SGSI incluye:
a) Poltica de Seguridad y su objetivo (ver seccin 4.2.1 b)).
b) Alcance del SGSI (ver seccin 4.2.1 a)).
c) Procedimientos y controles que soporten el SGSI.
d) Descripcin de la metodologa para el anlisis y gestin de riesgos (ver seccin 4.2.1 c)).
e) Resultado del anlisis de riesgo (ver seccin 4.2.1 c) ala 4.2.1 g)).
f) Plan de Seguridad de la Informacin (ver seccin 4.2.2 b)).
g) Procedimientos que aseguren de manera razonable la efectividad de la planeacin, operacin y
control de los procesos de seguridad de la informacin y que describan como se mide la
efectividad de los controles establecidos (ver seccin 4.2.3 c)).
h) Registros requeridos en la seccin 4.3.3.
i) Declaracin de aplicabilidad.
4.3.2 Control de los Documentos
La documentacin que sustenta el SGSI, se controla de acuerdo a los requisitos establecidos en la

Norma UNE-lSD/lEO 27001 :2007.
El control de los documentos est definido en el "PRSN-001 Preparacin de Documentos del SGSI" y
en el "PRSN-002 Control de Documentos del SGSI", los cuales establecen los aspectos siguientes:
a) Aprobacin de los documentos con respecto a su adecuacin antes de su emisin.

b) Revisin, actualizacin y aprobacin nuevamente de los documentos en los casos necesarios.
c) Identificacin de los cambios y el estado de revisin de los documentos.
d) El proceso para asegurar que las ediciones actualizadas de los documentos que aplican a cada
Unidad Organizativa estn en los lugares de uso.
e) Fcil identificacin de los documentos y la legibilidad de stos.
f) Asegurar la disponibilidad, transferencia, almacenamiento y manejo de los documentos de
acuerdo a su clasificacin.
g) Identificacin de los documentos de origen externo.
h) Distribucin controlada de los documentos.
i) El mecanismo para evitar el uso de documentos obsoletos.
j) Identificar adecuadamente los documentos, si estos se retienen por cualquier propsito.
4.3.3 Control de los Registros
Con el objeto de proporcionar evidencia de la conformidad de los requisitos, as como de la operacin

efectiva del SGSI, la Institucin ha definido los mecanismos para controlar los registros de seguridad
que son requeridos por la Norma UNE-lSD/lEO 27001:2007. Estos se encuentran definidos en el
"PRSN-002 Control de Documentos del SGSI", el cual establece los controles para dichos registros,
relativo a: la identificacin, almacenamiento, proteccin, recuperacin, tiempo de retencin y su
disposicin.
Los registros deben evidenciar la ejecucin de los procesos y todos los incidentes significativos de
seguridad relacionados al SGSI, como se menciona en la seccin 4.2 de ste manual.
VoaEN t'-q
Pgina 15 de 46
EDICION 007
SECCIN 5: RESPONSABILIDADES DE LA ORGANIZACIN
5.1 COMPROMISO Y RESPONSABILIDADES DE LA ORGANIZACIN
5i.1 COMPROMISO DE LA ORGANIZACIN
5.1.1.1 Titulares
Los Titulares adquieren el compromiso de desarrollar, implantar, mantener y mejorar continuamente el

SGSI a travs de establecer y aprobar:
a) La Poltica de Seguridad de la informacin
b) Losobjetivos del SGSI
c) Losroles y responsabilidades para la seguridad de la informacin
d) Losrecursos para el funcionamiento del SGSI.
e) Losproyectos relacionados a la seguridad de la informacin.
O Asegurar que se realicen las auditoras internas dei SGSI.
5.1.2 RESPONSABILIDADES DE LA ORGANIZACIN
5.1.2.1 Direccin Nacional de Administracin Financiera e Innovacin (DINAFI)
Responsable de coordinar el SGSI a travs de:

a) Aprobar la documentacin relacionada con el funcionamiento del SGSI.
b) Elaborar los documentos normativos dei SGSI.
c) Emitir opinin sobre los proyectos, incidentes y fallos relacionados a la seguridad de la
Informacin.
d) Coordinarla planificacin e implantacin dei SGSI.
e) Proporcionar asesora a los encargados de Seguridad de la Institucin en la elaboracin de
procesos relacionados.
O Gestionar los servicios de asesora, soporte y mantenimiento de Seguridad contratados con
especialistas y proveedores.
g) Mantener y publicarla documentacin del SGSI.
h) Proporcionar la divulgacin de los aspectos relacionados a la seguridad y al SGSI.
i) Revisar anualmente el SGSI una vez ste haya sido implementado.
j) Proporcionar asesora a los Titulares en materia de seguridad de la informacin.
k) Definir los criterios para el anlisis de riesgos de seguridad de la informacin y los niveles
aceptables del mismo.
5.1.2.2 Directores, Presidente y Jefes de las Unidades Asesoras al Despacho
Responsables de implantar y operar el SGSI, a travs de:

a) Cumplir y hacer cumplir lo establecido en los documentos del SGSI.
b) Incorporar y dar seguimiento a las actividades de seguridad en los planes de trabajo de sus
Direcciones o Dependencias.
c) Efectuar peridicamente el anlisis de riesgo de la informacin de su Direccin o Dependencia
cumpliendo la metodologa establecida en el SGSI.
Pgina 16 de 46
EDICION 007
d) Gestionar los recursos para el tratamiento y aceptacin de los riesgos de la informacin.

e) Aprobar la documentacin relacionada con la operacin del SGSI en su Direccin o
Dependencia.
f) Colaboraren la realizacin de las auditorias al SOSI.
g) Cumplirlos requisitos, ejecutarlas mejoras y acciones correctivas sealadas en las auditorias.
h) Designar a los "Encargados de Seguridad de la Informacin" de su Direccin o Dependencia y
brindarles el apoyo requerido para desempear las funciones asignadas tomando en cuenta
los siguientes aspectos:
1. Conocimiento de los procesos del negocio de la Direccin o Dependencia.
2. Conocimiento de la informacin que procesa la Direccin o Dependencia.
3. Conocimiento de la legislacin y marco normativo aplicable a la Direccin o
Dependencia.
4. Conocimiento de las aplicaciones del negocio que se utilizan en la Direccin o
Dependencia.
5. Conocimiento de informtica.
6. Capacidad de negociacin, trabajo en equipo y toma de decisiones.
7. Facilidad de expresin oral y escrita.
Sugerir cambios en los lineamientos de seguridad segn los riesgos detectados en su
j) Velar porque existan mecanismos que permitan la continuidad dei negocio de los procesos
crticos de su Direccin o Dependencia.
5.1.2.3 Jefes de las Unidades Organizativas
Los Jefes de las Unidades Organizativas tendrn, las responsabilidades siguientes:

a) Cumplir y hacer cumplir lo establecido en los documentos del SGSI.
b) Incorporar y dar seguimiento a las actividades de seguridad en los planes de trabajo de sus
Unidades Organizativas.
c) Gestionar con su jefe inmediato los recursos para el tratamiento y aceptacin de los riesgos
de la informacin.
d) Revisar o aprobar la documentacin relacionada con la operacin del SGSI en su Unidad
Organizativa.
e) Colaborar en la realizacin de las auditorias al SGSI.
o Cumplir los requisitos y ejecutar las mejoras y acciones correctivas sealadas en las
auditorias.
g) Definir y someter a aprobacin de su jefe inmediato, los proyectos o actividades relacionados
con la seguridad de la informacin.
h) Aplicar las medidas necesarias para gestionar el riesgo asociado a los sistemas de
informacin de sus unidades.
i) Reportar oportunamente las vulnerabilidades e incidentes de seguridad, siguiendo los
procedimientos establecidos.
j) Contribuir a la divulgacin de la seguridad y el SGSI en sus unidades.
k) Apoyar a los "Encargados de Seguridad de la Informacin" de su Direccin o Dependencia en
el desempeo de las funciones asignadas.
I) Implantar los controles, lineamientos y procedimientos de seguridad establecidos en los
OR&Y, documentos dei SGSI.
\
5m
Pgina 17 de 46
EDICION 007
FECHA :2710
m) Participar cuando sea designado, en la elaboracin, mplementacin, pruebas y mejora dei

Plan de Continuidad del Negocio de su Direccin o Dependencia cuando su unidad
organizativa tenga un alto grado de participacin en los procesos crticos.
512.4 Encargados de Seguridad de la Informacin
Los Encargados de Seguridad de la informacin tendrn, las responsabilidades siguientes:

a) Cumplir y velar por ei cumplimiento de lo establecido en los documentos dei SGS1.
b) Apoyar y dar seguimiento a las actividades de seguridad en los planes de trabajo de las
Unidades Organizativas en su Direccin o Dependencia.
c) Participar en el anlisis de riesgo de la informacin en su Direccin o Dependencia,
cumpliendo la metodologa establecida en ei SGSI.
d) Participar en la revisin de la documentacin relacionada con la operacin dei SGSI en las
Unidades Organizativas en su Direccin o Dependencia.
e) Reportar oportunamente las vulnerabilidades e incidentes de seguridad utilizando ei
mecanismo establecido para la gestin de incidentes de seguridad de la informacin.
f) Contribuir a la divulgacin de la seguridad y el SGSI en su Direccin o Dependencia.
g) Sugerir a la DINAFI cambios en los lineamientos de seguridad segn los esgos detectados
en su Direccin o Dependencia.
h) Apoyarla ejecucin del anlisis de desgo en sus Direcciones o Dependencias, tomando como
referencias los procedimientos y metodologa establecida.
i) Apoyar en la implantacin los controles, lineamientos y procedimientos de seguridad
establecidos en los documentos dei SGSI.
j) Apoyar la aplicacin de medidas necesarias para gestionar ei riesgo asociado a los sistemas
de informacin de sus unidades.
k) Apoyar en la ejecucin de las acciones correctivas sealadas por las auditorias en su
i) Actuar como enlace entre su Direccin o Dependencia y la DINAFI, en materia de Seguridad
de la Informacin.
m) Asesorar cuando le sea solicitado, sobre mecanismos que permitan la continuidad del negocio
de los procesos crticos de su Direccin o Dependencia.
5.1.2.5 Propietario de la informacin
El propietario de la informacin es el Titular o la(s) persona(s) designada(s), y es en ltima

instancia el responsable de la proteccin y uso de la informacin. El propietario de la informacin
tiene la responsabilidad de salvaguardar de forma razonable la confidencialidad, integridad y
disponibilidad de la misma, as como asumir la responsabilidad por cualquier acto de negligencia
que resulte en la corrupcin, destruccin o divulgacin de los datos. El propietario decide sobre la
clasificacin de la informacin de la cual l es responsable, as como tambin de actualizar dicha
clasificacin si el negocio lo considera necesario. Es responsable de asegurar de que estn
instalados los controles de seguridad necesarios, que se utilicen los derechos de acceso
establecidos, definiendo los requerimientos de seguridad y respaldo por tipo de clasificacin,
aprobar cualquier actividad de divulgacin y definir el criterio de acceso de los usuarios. El
propietario de la informacin aprueba los requerimientos de acceso o puede delegar esta funcin
Pgina 18 de46
EDICION :007
a las jefaturas de las unidades organizativas. El propietario de los datos delega la responsabilidad
del mantenimiento de los mecanismos de proteccin de los datos, al custodio.
5.1.2.6 Custodio de la Informacin
El custodio de la informacin (custodio de los datos en medios fsicos y magnticos) es

responsable del almacenamiento y aseguramiento de la informacin, que le ha sido confiada por
el propietario. Cuando se trate de datos en medios magnticos; este rol es usualmente llevado
por la unidad de informtica y sus tareas incluyen la realizacin del respaldo de los datos, la
validacin peridica de su integridad, restauracin, mantener los registros de sta actividad y de
cumplir los requerimientos especificados en la poltica de seguridad de la Institucin, estndares y
guas referentes a la seguridad de la informacin y a la proteccin de los datos.
5.1.2.7 Dueo de Procesos
Son los jefes de las unidades organizativas que tienen la responsabilidad de la coordinacin y
administracin del flujo de trabajo y las actividades en cada etapa de un proceso. Los dueos de
proceso deben asegurarse que los procesos bajo su responsabilidad, incluyan las medidas de
seguridad adecuada y consistente con la poltica de seguridad de la informacin institucional.
5.1.2.8 Personal de Operaciones
Son responsables de implementar los lineamientos, controles, guas y procedimientos de

seguridad de la informacin autorizados por la Institucin, en la infraestructura de servidores,
clientes y redes de datos, resolver incidentes, aplicar los parches y dar tratamiento a las
vulnerabilidades del software. Ante un incidente de ataques a la infraestructura de sistemas y
redes, realizan las acciones necesarias para detenerlos y resolverlos utilizando las herramientas
y procedimientos adecuados. Son responsables de las actividades de monitoreo de la
infraestructura.
5.1.2.9 Tcnico en Seguridad de la Informacin de la DINAFI.
Asisten en el diseo, implementacin, administracin y revisin de los lineamientos, controles

estndares, procedimientos y dems documentos de seguridad de la informacin.
5.1.2.10 Responsables del Desarrollo de Aplicaciones del Negocio.
Son responsables de implementar los lineamientos, controles y procedimientos autorizados por la

Institucin, en las aplicaciones del negocio que mantienen o desarrollan.
Pgina 19 de 46
EDICION 007
FECHA :27/05/14
5.1.2.11 Usuario
Es Cualquier individuo que rutinariamente utiliza los datos para realizar tareas relacionadas al
trabajo. Sus accesos deben ser autorizados por los propietarios de la informacin o quienes stos
hayan delegado, adems stos accesos, pueden ser restringidos y monitoreados. El usuario
debe de tener los niveles de acceso necesarios para realizar sus funciones y es el responsable
de seguir los procedimientos operativos de seguridad para asegurar a los dems la
confidencialidad, integridad y disponibilidad de los datos. Tambin son responsables de las
aplicaciones de usuario final en donde ellos controlen totalmente la seguridad (por ejemplo hojas
de clculo, procesadores de palabras, otros).
5.2 GESTIN DE RECURSOS
5.2.1 Provisin de los Recursos
La Institucin proveer los recursos para:
a) Establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI.

b) Asegurar que los procedimientos de seguridad de la informacin soporten a los requerimientos del
negocio.
c) Identificarlos requisitos legales y las obligaciones contractuales de seguridad.
d) Mantener una adecuada seguridad a travs de la implementacin correcta de los controles.
e) Llevar a cabo revisiones cuando sea necesario y reaccionar apropiadamente a los resultados de
las mismas.
f) Cuando se requiera, mejorarla efectividad del SGSI.
5.2.2 Formacin, Concientizacin y Competencia
La Institucin para garantizar la formacin, concientizacin y competencia de su personal, realiza lo

siguiente:
a) Vela por la competencia del personal que realiza trabajos que afecten la seguridad de la
informacin, considerando para ello los perfiles definidos para cada puesto de trabajo que se
encuentran en los Manuales de Organizacin.
b) Concientiza al personal sobre la importancia de la Seguridad de la Informacin en su puesto de
trabajo y de su contribucin al logro de los Objetivos de Seguridad de la Informacin; para lo cual,
cuenta con una infraestructura tecnolgica que facilita este proceso.
c) Posee registros actualizados del personal, que evidencian la educacin, formacin, habilidades y
experiencia de cada empleado.
Pgina 20 de 46
EDICION :007
SECCIN 6: AUDITORIA INTERNA AL SGSI
La Unidad de Gestin de la Calidad de la Direccin General de Administracin, es la responsable de realizar

las auditoras internas al SGSL
La Unidad de Seguridad de la Informacin de la Direccin Nacional de Administracin Financiera e Innovacin,

es la responsable de publicar el informe de auditora en el Portal del SGSI (www.mh.ciob.sv/sasi),
comunicando su disponibilidad al Director Nacional de Administracin Financiera e Innovacin y al Titular de la
Las auditoras internas al SGSI se realizarn cumpliendo Io establecido en el procedimiento "PRSN-005

Planificacin y Ejecucin de Auditoras Internas al SGSI".
"w,
1-fl -
Pgina2l de46
EDICION :007
FECHA :27105114
SECCIN 7: REVISIN POR LA DIRECCIN DEL SGSI
7.1 GENERALIDADES
Los Titulares, Directores, Presidente y Jefes de las Unidades Asesoras al Despacho de la Institucin, una
vez completada la fase de implementacin dei SGSI (Seccin 4.2.2.), Con el objeto de asegurarse de la
adecuacin y efectividad del mismo, revisarn anualmente el Sistema de Gestin de Seguridad de la
Informacin. En la revisin se evaluarn las oportunidades de mejora y las necesidades de realizar
cambios al Sistema.
7.2 INFORMACIN PARA LA REVISIN
La informacin a considerar para la revisin del SGSI incluye:
a) Los resultados de las auditorias y revisiones del SGSI.

b) La retroalimentacin proveniente de terceras partes.
c) Tcnicas, productos o procedimientos, utilizados por la Institucin para mejorar el desempeo
efectividad del SGSI.
d) Estado de las acciones correctivas y preventivas.
e) Vulnerabilidades o amenazas no tratadas adecuadamente en anlisis de riesgos previos.
O Resultados de las mediciones de efectividad.
g) Acciones de seguimiento de revisiones previas de la Direccin.
h) Cualquier cambio que pueda afectar al SGSI.
i) Recomendaciones de mejora.
7.3 RESULTADOS DE LA REVISIN
Los resultados de la revisin del SGSI de la Institucin por la alta Direccin, incluyen acciones relativas a:
a) La mejora del SGSI y sus procesos.

b) Actualizacin de los anlisis de riesgos y a los planes para su tratamiento.
c) La modificacin de procesos y controles que tienen efecto en la seguridad, de la manera necesaria
para responder a eventos internos o externos que pueden impactar en el SGSI, incluyendo cambios a:
1. Requisitos del negocio.
2. Requisitos de seguridad.
3. Procesos de negocio que tienen efecto a los requerimientos de negocio existente.
4. Requisitos legales.
5. Obligaciones contractuales, y
6. Niveles de riesgos y/o criterios de aceptacin de riesgo.
d) Las necesidades de recursos.
e) Mejoras a la forma en que se mide la efectividad de los controles.
Pgina 22 de 46
EDICION 007
SECCIN 8: MEJORA DEL SGSI
8.1 MEJORA CONTINUA
La Institucin continuamente mejorar la efectividad del 5351 a travs del uso de la Poltica de Seguridad
de la Informacin, los objetivos de seguridad de la informacin, los resultados de las auditorias, el anlisis
de los eventos monitoreados, las acciones correctivas y preventivas y la revisin de la Direccin.
8.2 ACCIONES CORRECTIVAS
La Institucin ha definido el proceso a seguir para tomar acciones que eliminen las causas de No
Conformidades detectadas, con el propsito de evitar su repeticin. Se garantiza que las acciones
correctivas establecidas y a ejecutar sean apropiadas respecto a la No Conformidad determinada.
En el PRSN-006 Acciones Correctivas o Preventivas de Seguridad de la Informacin, se definen las

acciones a seguir para:
a) La revisin por los jefes de las Unidades Organizativas de las No Conformidades que les apliquen,
detectadas en Auditorias e Inspectoras de Ia Seguridad.
b) La determinacin por Jefes de Unidades de causas de No Conformidades.
c) El establecimiento de acciones necesarias para impedir que las No Conformidades detectadas
ocurran nuevamente.
d) La identificacin de las acciones correctivas a seguir para corregir las No Conformidades y su
implantacin.
e) El archivo de la Hoja de No Conformidad, Acciones Correctivas o Preventivas, en la que se registran
las acciones tomadas y el seguimiento realizado por cada No Conformidad, y
8.3 ACCIONES PREVENTIVAS
En el procedimiento PRSN-OO6 Acciones Correctivas o Preventivas de Seguridad de la Informacin, se

establecen los pasos a seguir para identificar y eliminar las causas de No Conformidades Potenciales
detectadas y prevenir que ocurran. Las acciones realizadas por las Unidades Organizativas para prevenir
problemas potenciales, deberan ser apropiadas a las situaciones presentadas, y efecturseles
seguimientos para determinar resultados.
En el PRSN-006 se ha establecido la metodologa para:
a) La determinacin de No Conformidades Potenciales y sus posibles causas de ocurrencia.

b) La evaluacin de acciones necesarias para prevenir que No Conformidades Potenciales ocurran.
c) La determinacin e implantacin de acciones que eviten la realizacin de la No Conformidad Potencial
detectada.
d) El archivo de las Hojas de No Conformidad, Acciones Correctivas o Preventivas como Registros de la
Seguridad, para respaldarlas acciones efectuadas y los resultados obtenidos, y
e) Las acciones preventivas que se toman por No Conformidades Potenciales, y la verificacin de sus
resultados.
0 4 Pgina 23 de 46
EDICION 007
SECCIN 9: LINEAMIENTOS
Esta seccin presenta los lineamientos derivados de los controles de la Norma UNE-ISO/IEC 27002:2009, los
cuales fueron seleccionados como resultado del anlisis de riesgos asociados a los sistemas de informacin
de la Institucin y sirven como insumo para la elaboracin de la declaracin de aplicabilidad; y estarn sujetos
a cambios en la norma o reorganizaciones en la Institucin.
Es responsabilidad de los funcionarios y empleados, el cumplimiento de estas disposiciones, as como el

incluir la seguridad en sus actividades, auxilindose de los procesos y procedimientos asignados mediante el
Sistema de Gestin de Seguridad de Ia Informacin (SGSI). Asimismo, reportar las incidencias en materia de
seguridad al Encargado de Seguridad de Ia informacin de su Direccin o Dependencia.
Los lineamientos contenidos en el presente manual, pueden ser cumplidos a travs dei Sistema de Gestin de
la Calidad de la Institucin.
9.1. ORGANIZACIN PARA LA SEGURIDAD DE LA INFORMACIN
9.1.1 Compromiso con la Seguridad de la Informacin

La Institucin a travs de los Titulares brindar apoyo para implantar y mantener la seguridad de Ia
informacin, destinando los recursos y definiendo funciones y responsabilidades para su sostenimiento.
9.1.2 Autorizacin de Nuevos Recursos para Tratamiento de la Informacin

Para la adquisicin de recursos destinados al tratamiento de la informacin, se deber considerar el
cumplimiento de las polticas y lineamientos de Seguridad de la Institucin.
9.1.3 Divulgacin de Informacin reservada y confidencial

La divulgacin de informacin clasificada como reservada o confidencial se realizar conforme a lo
establecido en la Ley de Acceso a la Informacin Pblica.
9.1.4 Asesoramiento de Especialistas en Seguridad de la Informacin

La Institucin podr apoyarse en proveedores o grupos de inters especializados en seguridad de la
informacin, para consultas relacionadas con proyectos, incidentes y fallos de seguridad; cuando no se
cuente con los recursos idneos.
9.1.5 Riesgos Significativos para la Seguridad de la Informacin Asociados a Partes Externas

Cada Direccin o Dependencia deber identificar los riesgos para la informacin y los medios de
procesamiento de la misma, a raz de procesos que involucran a partes externas, debiendo implementar
controles apropiados antes de otorgarles acceso.
9.1.6 Requerimientos de Seguridad en las Relaciones con Clientes o Proveedores

Los Jefes de las Unidades Organizativas de cada Direccin o Dependencia, identificarn los
requerimientos de seguridad antes de proporcionar acceso a los clientes o proveedores a los activos de
informacin o los recursos de tratamiento de la Institucin.
Pgina 24 de 46
EDICION : 007
9.1.7 Trminos y Condiciones para el Acceso de Terceros

Para regular los accesos de terceros que involucren: procesamiento, comunicacin, manejo de la
informacin, medios de procesamiento de la informacin; o agregar productos o servicios a los medios de
procesamiento de informacin; los Directores, Presidentes y Jefes de Unidades Asesoras al Despacho
deben incorporar los requerimientos de seguridad relevantes en los acuerdos o contratos
correspondientes.
9.2. GESTIN DE ACTIVOS
9.2.1. Control de Activos

Cada Direccin o Dependencia deber identificar y llevar un control de los activos importantes
relacionados con los procesos, servicios y sistemas de informacin que los soportan. El control no
duplicar innecesariamente los inventarios existentes; para lo cual adoptar el estndar definido por la
DINAFI en cuanto a su clasificacin y su interrelacin con otras Direcciones o Dependencias.
9.2.2. Asignacin de Activos

Cada Direccin o Dependencia contar con responsables de los activos de los sistemas de informacin
(incluir en todos procesos o servicios), quienes respondern sobre cualquier cambio, falla, incidente o
prdida de alguna caracterstica de seguridad en cuanto a la informacin que manejan dichos activos.
9.2.3. Uso de los Activos

La DINAFI definir lineamientos especficos sobre el uso aceptable de los equipos computacionales, de
comunicaciones y el centro de procesamiento de datos.
Las Direcciones o Dependencias definirn las reglas para el uso aceptable de los activos de informacin
bajo su responsabilidad, tomando en cuenta lo establecido en las leyes y el Sistema de Gestin de
Seguridad de la Informacin.
9.2.4. Clasificacin de la Informacin

La informacin generada por cada Direccin o Dependencia y la confiada a ella por terceros, ser
clasificada por sta segn lo establece la Ley de Acceso a la Informacin Pblica en el artculo 6, en una
de las siguientes categoras:
a) Confidencial
es aquella informacin privada en poder del Estado cuyo acceso pblico se prohbe por mandato
constitucional o legal en razn de un inters personal jurdicamente protegido"; el tipo de informacin
comprendida en esta clasificacin se encuentra detallada en el artculo 24 de dicha ley.
b) Reservada
"es aquella informacin pblica cuyo acceso se restringe de manera expresa de conformidad con
esta ley, en razn de un inters general durante un perodo determinado y por causas justificadas";
el tipo de informacin comprendida en esta clasificacin se encuentra detallada en el artculo 19 de
dicha ley.
c) Oficiosa
"es aquella informacin pblica que los entes obligados debern difundir al pblico en virtud de esta
Pgina 25 de 46
CODIGO MAS
EDICION :007
FECHA 27105114
ley sin necesidad de solicitud directa"; el tipo de informacin Comprendida en esta clasificacin se
encuentra detallada en el artculo lo de dicha ley.
d) Pblica
"es aquella en poder de los entes obligados contenidas en documentos, archivos, datos, bases de
datos, comunicaciones y todo tipo de registros que documenten el ejercicio de sus facultades o
actividades, que consten en cualquier medio ya sea impreso ptico o electrnico
independientemente de su fuente, fecha de elaboracin y que no sea confidencial. Dicha informacin
podr haber sido generada, obtenida, transformada o conservada por stos a cualquier ttulo"
9.2.5. Marcado y Manejo de Ia Informacin

La informacin confidencial deber marcarse y ser responsabilidad del propietario de la misma tomarlas
consideraciones correspondientes para asegurar el tratamiento de Ia misma tomando en cuenta lo
establecido enel PRSN-OlO "Inventario, Clasificacin, Marcado y Manejo de Activos de Informacin".
La informacin reservada deber marcarse conforme a lo establecido en la Ley de Acceso a la

Informacin Pblica (LAIP) y su Reglamento, adicionalmente en caso de considerarse necesario, se podr
marcar esta informacin segn lo establecido en el PRSN-OlO "Inventario, Clasificacin, Marcado y
Manejo de Activos de Informacin".
93. SEGURIDAD ASOCIADA AL RECURSO HUMANO
9.3.1. Responsabilidades y Perfiles de Puestos

Cada Direccin o Dependencia incluir en los perfiles de puestos de los funcionarios y empleados, las
responsabilidades y descripciones especficas sobre seguridad de la informacin.
9.3.2. Revisin de Antecedente y Referencias Personales

Las Polticas y procesos de contratacin de personal contarn con los controles adecuados en cuanto a la
verificacin de referencias y antecedentes de los empleados potenciales, cuando estos opten a cargos
donde se involucraran con el manejo de informacin confidencial o reservada de la Institucin.
9.3.3. Trminos y Condiciones de Contrataciones

Los contratos a empleados, contratistas y terceros incluirn condiciones que establezcan su
responsabilidad y lade la Institucin en materia de Seguridad de la Informacin.
9.3.4. Conocimientosobre la Documentacin del SGSI

La DINAFI realizar tareas de concientizacin, actualizacin y divulgacin que permitan a los empleados
conocer sobre la Seguridad de la Informacin de la Institucin; as como para tener el nivel adecuado de
entendimiento de la poltica, manual, procedimientos y otra documentacin del SGSI.
9.3.5. Capacitacin en Seguridad de la informadn

Cada Direccin o Dependencia ser responsable de proveer entrenamiento, capacitacin y material de
apoyo a sus empleados; con el propsito de lograr un efecto multiplicador de lo dispuesto en el
lineamiento 9.3.4 para proteger adecuadamente los activos de informacin. Adicionalmente, podr incluir
la divulgacin de los registros y documentos del SGSI correspondientes a la Direccin o Dependencia.
Pgina 26 de 46
EDICION :007
9.3.6. Cambio o Cese de funciones

Los jefes de las unidades organizativas estn obligados a informar del cambio o cese de funciones de un
funcionario o empleado, a los encargados de los Sistemas de Informacin de la Institucin o Encargados
de Seguridad de la Direccin o Dependencia, para asignar o revocar los derechos y accesos a la
informacin.
9.3.7. Devolucin de Activos

Cada Direccin o Dependencia es responsable de asegurar que los empleados, contratistas y terceros
devuelvan los activos de informacin asignados, una vez cambie o concluya su relacin laboral o
contractual.
9.3.8. Revocacin de Derechos de Acceso

Cada Direccin o Dependencia deber dar cumplimiento al procedimiento normativo PRSN 009 "Gestin
de Acceso" para revocar los derechos de acceso a la informacin, aplicaciones del negocio, instalaciones
de procesamiento y a cualquier otro software o servicio informtico; a los funcionarios, empleados,
contratistas o terceros al terminar su relacin laboral o contractual con la Institucin.
9.3.9 Control de los entrenamientos y capacitaciones en temas de Seguridad de la Informacin.

Toda Direccin o Dependencia que realice actividades de concientizacin y capacitacin en temas de
seguridad de la informacin, remitir al Departamento de Formacin y Desarrollo del Talento Humano del
Ministerio de Hacienda eI listado del personal participante.
Departamento de Formacin y Desarrollo del Talento Humano es responsable de mantener

EI
actualizados la informacin de los empleados respecto a actividades de concientizacin y capacitacin en
temas de seguridad en que hubiese participado.
9.4. SEGURIDAD FISICA Y AMBIENTAL
9.4.1. Seguridad Fsica

Cada Direccin o Dependencia debe establecer un permetro de seguridad (puertas de entrada, paredes,
etc.) para proteger las reas que contengan informacin y sus recursos de tratamiento.
9.4.2. Control de Acceso Fsico a la Informacin Confidencial o Reservada

El acceso a toda oficina, centro de procesamiento de datos y rea de trabajo que contenga informacin
confidencial o reservada debe ser fsicamente restringido para limitar el acceso a aqullos que necesitan
la informacin. Cada Direccin o Dependencia definir los procedimientos y controles adecuados que
proporcionen el detalle del personal autorizado al ingreso a estas reas.
9.4.3. Proteccin contra Amenazas Externas y del Ambiente

Cada Direccin o Dependencia solicitar ante la Direccin General de Administracin la instalacin de
protecciones fsicas contra incendios, inundaciones, explosiones, disturbios civiles y otras formas de
desastres naturales o provocados por el hombre, a los sistemas de informacin y a la ubicacin de los
principales activos que los soportan, tomando como base el anlisis de riesgo.
9.4.4. Trabajos en reas Seguras

4N D\Cada Direccin o Dependencia establecer
&'4 d_\\
los controles, procedimientos y protecciones fsicas
l_v
Pgina 27 de 46
EDICION 007
adecuadas, Cuando empleados o terceros efecten trabajos en reas que contengan informacin
confidencial o reservada.
9.4.5. Ubicacin de Sistemas de Cmputo y Equipos de Produccin

Los sistemas de cmputo, equipos servidores en produccin de los procesos o servicios crticos y equipos
centrales de comunicacin, sern ubicados fsicamente dentro de los Centros de Procesamiento de Datos
de la Institucin. Se podrn tambin alojar los equipos servidores de desarrollo y pruebas.
9.4.6. Servicios de Soporte

Cada Direccin o Dependencia solicitar ante la Direccin General de Administracin el suministro del
mantenimiento de los sistemas de prevencin y supresin de incendios, aire acondicionado, sistemas
elctricos, control de humedad y otros sistemas de proteccin para ambientes computarizados en el
Centro de Procesamiento de Datos de la Institucin requeridos.
Los equipos computarizados que alberguen sistemas crticos, computadores personales y estaciones de
trabajo estarn equipados con sistemas de alimentacin ininterrumpida.
9.4.7. Proteccin de Equipos Informticos que contengan Informacin

Se deber ubicar o proteger el equipo para reducir las amenazas, peligros ambientales y oportunidades
para acceso no-autorizado.
9.4.8. Cables Elctricos y de Telecomunicaciones

Para efectuar trabajos de instalacin y el mantenimiento de infraestructura elctrica y de
telecomunicaciones, los responsables cumplirn las normas y estndares de seguridad vigentes, con el
objeto de ser protegido contra la interceptacin o daos.
9.4.9. Mantenimiento Preventivo y Correctivo.

Las Direcciones o Dependencias gestionarn ante la Direccin Nacional de Administracin Financiera e
Innovacin (DINAFI), las solicitudes de necesidades para el mantenimiento preventivo y correctivo de los
equipos crticos y perifricos, que se encuentren fuera del periodo de garanta, que permita la continuidad
de las operaciones ejecutadas por los usuarios.
La DINAFI revisar y consolidar las solicitudes de necesidades y remitir, a la Direccin Financiera el

presupuesto estimado para la ejecucin de estos mantenimientos.
9.4.10. Seguridad de los Equipos fuera de las Instalaciones

Cada Direccin o Dependencia garantizar que se atiendan los lineamientos de seguridad emitidos por la
DINAFI, cuando por razones de trabajo, se utilicen equipos fuera de las instalaciones de la Institucin, que
cuenten con la autorizacin respectiva.
9.4.11. Disposicin final o reutilizacin de Equipos

Cada Direccin o Dependencia establecer procedimientos y controles para garantizar que los equipos
que contengan informacin en sus medios de almacenamiento sean verificados, garantizndose que la
informacin sea eliminada de forma segura (incineracin, trituracin, borrado o sobre-escritura con
software especial o el uso de hardware) antes de su disposicin final o reutilizacin.
Pgina 28 de 46
EDICION 007
9.4.12. Autorizacin para Salida de Equipos

Los jefes de las Unidades Organizativas deben autorizar la salida de equipos o cualquiera de sus partes,
fuera de las instalaciones de la Institucin, cumpliendo los lineamientos establecidos por la Direccin
General de Administracin en el Manual de Normas para la Administracin de los Activos Fijos del
Ministerio de Hacienda.
9.5. GESTION DE COMUNICACIONES Y OPERACIONES
9.5.1. Documentacin de Sistemas y Procedimientos Operativos

Cada Direccin o Dependencia documentar y mantendr disponibles para el personal autorizado, los
procedimientos operativos que soportan los sistemas de informacin. En adicin los servicios definidos
como crticos que incluyan, bases de datos, sistemas operativos, equipos de red y seguridad; debern
contar con la documentacin respectiva de sus configuraciones.
9.5.2. Gestin de Cambios

Cada Direccin o Dependencia establecer los procedimientos necesarios para controlar los cambios en
los sistemas de informacin y sus recursos de tratamiento con base a los definidos por la DINAFI. Los
datos de produccin sern modificados slo por el personal autorizado de acuerdo con dichos
procedimientos.
9.5.3. Separacin de Funciones

Los responsables de definir los requerimientos de los sistemas y los de ambientes de produccin, deben
implementar controles que incluyan la separacin de funciones incompatibles tales como autorizacin,
ejecucin, registro, custodia y control; a fin de reducir la posibilidad de que se produzcan modificaciones
no autorizadas o el uso indebido de los activos de informacin de la organizacin.
9.5.4. Separacin de Ambientes de Desarrollo, Prueba y Produccin

Cada Direccin o Dependencia deber separar y utilizar de forma eficiente, los recursos de desarrollo,
prueba y produccin relacionados a los sistemas de informacin. Los administradores de Sistemas
Operativos, Bases de Datos, Equipos de Comunicaciones, Servidores de Aplicaciones y de Estaciones
Clientes, no deben tener instalados compiladores o herramientas de desarrollo en sus estaciones de
trabajo ni en los servidores que administran, a menos que est debidamente autorizado, de forma escrita,
por el jefe de la unidad de informtica de la Direccin o Dependencia.
Los usuarios que participen en el proceso de pruebas de aplicaciones del negocio deben utilizar una
cuenta de usuario distinta a laque tenga asignada en el ambiente de produccin.
No se debern utilizar datos de produccin en ambientes de desarrollo y cuando stos sean

confidenciales o reservados no podrn ser utilizados en ambiente de prueba.
9.5.5. Gestin de la Capacidad

EI uso de los componentes crticos para el tratamiento de la informacin en las aplicaciones del negocio
clasificadas como crticas o vitales ser constantemente monitoreado y se tomarn como base los
resultados de esta tarea para hacer proyecciones oportunas de futuro crecimiento, para asegurar el
desempeo de los sistemas de informacin automatizados.
a-w4. Pgina 29 de 46
n,,j
EDICION :007
9.5.6. Aceptacin de Sistemas y Aplicaciones de Produccin

Los responsables del desarrollo de las aplicaciones del negocio deben obtener por parte del solicitante,
evidencia de la aceptacin de los nuevos sistemas y aplicaciones o modificaciones mayores, antes de que
stas se desplieguen en produccin.
9.5.7. Cdigo Malicioso

Los jefes de las unidades de informtica de cada Direccin o Dependencia deben establecer controles,
procedimientos y mecanismos de divulgacin o concientizacin para prevenir, detectar y recuperarse del
cdigo malicioso.
9.5.8. Configuracin de Software y controles de seguridad de Equipos Cliente.

La unidad de informtica de cada Direccin o Dependencia debe asegurarse que las estaciones clientes y
computadoras porttiles, antes de que sean entregados al usuario final, cuentan con las medidas de
seguridad establecidas en los Documentos Normativos del SGSI.
9.5.9. Respaldo de la Informacin en medios magnticos

Los responsables de efectuar los respaldos del software y de la informacin de cada Direccin o
Dependencia, deben llevarlos a cabo de acuerdo a los lineamientos especficos establecidos por la
DINAFI para tal efecto y realizar pruebas a los mismos de forma regular.
9.5.10. Controles de Red de Datos

La DINAFI definir y establecer los controles y procedimientos de gestin de la red de datos y sus
accesos, con elfin de protegerlas contra amenazas y mantener el funcionamiento y operacin de los
sistemas que las utilizan, incluyendo la informacin en trnsito.
9.5.11. Seguridad en los Servicios de Red de Datos

La DINAFI definir y establecer controles, estndares de seguridad y niveles de servicio a incluir en los
contratos relacionados con la utilizacin o entrega de los servicios de red, a travs de redes de terceros y
donde sea aplicable a las redes propias de la Institucin.
9.5.12. Eliminacin de los Soportes

Cada Direccin o Dependencia eliminar de forma segura la informacin contenida en soportes de
almacenamiento de datos (cintas, discos, memorias USB, discos duros removibles, discos duros USB,
discos blu-ray, DVD, CD, diskettes, memoria SD, etc.) cuando sean dados de baja, pudiendo aplicar los
criterios de referencia publicados en el SGSI, con el objeto de evitar la divulgacin o el uso no autorizado
de la informacin contenida en los mismos.
9.5.13. Utilizacin de la Informacin

Cada Direccin o Dependencia establecer los controles y procedimientos para la utilizacin y
almacenamiento de la informacin en medio fsico o magntico, con el objeto de protegerla del mal uso o
divulgacin y acceso no autorizados.
9.5.14. Intercambio de lnformacn y Software

Cada Direccin o Dependencia establecer controles que regulen el intercambio de informacin o
software a travs de cualquier medio de comunicacin de acuerdo a las disposiciones legales y tcnicas
vigentes, sea este interno o con entidades externas. Para el caso de intercambio con entidades externas;
a travs de medios electrnicos, se debe establecer por escrito un acuerdo o convenio de intercambio de
Pgina 30 de 46
EDICION 007
informacin. Para gestionar la interconexin, se realizar de acuerdo a lo establecido en los

procedimientos de la Unidad de Redes de la DINAFI y de la Divisin de Modernizacin de la Direccin
General de Aduanas segn el caso.
9.5.15. Soportes Fsicos en Trnsito.

Cada Direccin o Dependencia establecer los controles de seguridad para el transporte de los soportes
de informacin.
Para el caso del transporte de medias de respaldo de los equipos servidores del centro de procesamiento
de datos se regirn por los Lineamientos Especficos de Seguridad de la Informacin para la Gestin de
Respaldos de Informacin del Ministerio de Hacienda.
9.5.16. Mensajera Electrnica

La DINAFI establecer los Lineamientos Especficos de Seguridad para el Servicio de Correo Electrnico
del Ministerio de Hacienda, Acceso y Uso del Servicio de Internet del Ministerio de Hacienda que
contenga los controles para la proteccin de la informacin contenida, relacionada o transmitida por
medios electrnicos.
9.5.17. Seguridad en la Interconexin de Sistemas de Informacin de Negocios

Cada Direccin o Dependencia desarrollar controles para proteger la informacin asociada con la
interconexin de los sistemas de informacin de negocios.
9.5.18. Comercio Electrnico

Las aplicaciones de negocio del Ministerio de Hacienda que permitan el intercambio de informacin o
registro de transacciones en lnea con terceros a travs del Internet, deben implementar controles
orientados a proteger la confidencialidad de informacin sensible en trnsito y la autenticidad dei sitio web
de la institucin.
9.5.19. Pagos a empleados y terceros

La Institucin, en su relacin con proveedores y empleados que involucren el pago de bienes, servicios,
remuneraciones u otros y sea necesario efectuarios a travs de medios electrnicos o manuales,
garantizar que ei medio y los mecanismos para el manejo de la informacin, cuenten con las
caractersticas de seguridad razonables para evitar comprometer dicha informacin.
9.5.20. informacin disponible al Pbco

Los responsables de administrar los equipos o medios que contengan informacin disponible ai pblico
(oficiosa y pblica), implantarn los controles para proteger la informacin ante modificaciones no
autorizadas.
9.5.21. Registros o Huellas de Auditoria

Las aplicaciones del negocio que manejen informacin reservada o confidencial, aplicaciones dei negocio
clasificadas como crticas o vitales, Directorios de usuarios y los componentes crticos de infraestructura
contarn oen registros que capten las actividades de los usuarios, administradores y operadores de toda
consulta, adicin, cambio o eliminacin de la informacin relacionada a las transacciones dei negocio.
9.5.22. Proteccin de los Registros o Huellas de Auditora

Los registros o huellas de auditora deben protegerse para evitar su modificacin y slo podrn ser
Pgina 31 de46
EDICION 007
FECHA :27105114
accedidos por personal autorizado.
9.5.23. Registros de Fallas

Cada Direccin o Dependencia identificar y registrar las fallas de los componentes crticos de
infraestructura asociadas a las aplicaciones del negocio clasificadas como crticas, vitales y aquellas que
manejan informacin reservada o confidencial con el objeto de tomar las acciones apropiadas.
9.5.24. Sincronizacin del Reloj

Los equipos computacionales, de comunicacin de datos y otros componentes de las aplicaciones del
negocio y los componentes crticos de infraestructura de la Institucin, deben sincronizarse con la hora del
equipo central de comunicacin definido por la DINAFI.
9.5.25 Poltica de Retencin de Informacin Electrnica

Cada Direccin o Dependencia determinar el perodo de conservacin de la informacin electrnica en
las bases de datos de las aplicaciones del negocio bajo su responsabilidad en ambiente de produccin, de
acuerdo a la normativa legal y tcnica vigente que aplique a esa informacin y conforme a lo establecido
en los "Lineamientos Especficos para la Gestin de Respaldos de Informacin en Medios Magnticos y
Definicin de Periodos de Retencin de Informacin Electrnica del Ministerio de Hacienda" (LES-005).
9.5.26 Poltica de disponibilidad en lnea de la Informacin Electrnica.

Cada Direccin o Dependencia determinar el perodo de disponibilidad en lnea de la informacin
electrnica en las bases de datos de las aplicaciones del negocio bajo su responsabilidad, de acuerdo a
sus necesidades y considerando los costos econmicos para este tipo de servicio y conforme a lo
establecido en los "Lineamientos Especficos para la Gestin de Respaldos de Informacin en Medios
Magnticos y Definicin de Periodos de Retencin de Informacin Electrnica del Ministerio de Hacienda"
(LES-005).
9.5.27 Eliminacin de Informacin Electrnica con periodo de conservacin vencido.

Cada Direccin o Dependencia que tenga informacin en las bases de datos de las aplicaciones del
negocio en ambiente de produccin y cuyo periodo de conservacin de la informacin electrnica haya
vencido, autorizar la eliminacin de sta.
9.6. CONTROL DE ACCESOS
9.6.1. Poltica de Control de Acceso

Cada Direccin o Dependencia controlar el acceso a su informacin y recursos de tratamiento, basados
en los lineamientos de control de acceso emitidos por la DINAFI.
9.6.2. Registro de Usuarios

Cada Direccin o Dependencia debe establecer un procedimiento formal de registro y desactivacin de
usuados para conceder y revocar el acceso a todos los sistemas y servicios de informacin de acuerdo a
los lineamientos de control de acceso emitidos por la DINAFI.
9.6.3. Gestin de Privilegios

La asignacin y el uso de privilegios deben estar restringidos y controlados de acuerdo a los lineamientos
de control de acceso emitidos por la DINAFI.
Pgina 32 de 46
EDICION : 007
FECHA :27/O
9.6.4. Gestin de Contraseas de usuario

La asignacin de contraseas debe ser controlada a travs de un proceso de gestin formal de acuerdo a
los lineamientos de control de acceso emitidos por la DINAFI.
9.6.5. Directorios de Usuarios

La DINAFI definir el estndar para el servicio de Directorio que contengan a los usuarios y recursos
asociados de la Institucin.
9.6.6. Revisin de los derechos de acceso de usuario

Cada Direccin o Dependencia semestralmente efectuar la revisin de los derechos de acceso de los
usuarios a la red, a las aplicaciones dei negocio clasificadas como crticas o vitales y aquellas aplicaciones
del negocio que manejan informacin confidencial o reservada, a efecto de revocar estos derechos
despus de 6Odas o ms de inactividad sin justificacin.
9.6.7. Uso y Estructura de las Contraseas

Las contraseas son estrictamente personales e intransferibles y es responsabilidad directa del usuario
los incidentes de seguridad que puedan ser causados por descuido, divulgacin o mala utilizacin de sta.
Adicionalmente, los usuarios seguirn los lineamientos de control de acceso emitidos por la DINAFI para
su creacin y buenas prcticas de seguridad.
9.6.8. Computadores Desatendidos

Los usuarios deben activar el protector de pantalla protegido por contrasea, cuando vayan a dejar sus
estaciones de trabajo desatendidas.
9.6.9. Uso de los Servicios de Red

Cada Direccin o Dependencia atender los lineamientos de red establecidos por la DINAFI para el uso
de los servicios de red de la Institucin; los cuales sern asignados conforme a las funciones de los
puestos de trabajo de los empleados, contratos o convenios suscritos con terceros.
9.6.10. Autenticacin de Conexiones Externas

Los administradores de la red de datos deben aplicar mecanismos que aseguren la autenticacin de los
usuarios remotos que acceden a la red interna de la Institucin, excepto el acceso externo a informacin
pblica u oficiosa dispuesta en los sitios Web de la Institucin destinada para el pblico en general,
ubicando los equipos de esta ltima en una zona de seguridad separada de la red interna.
9.6.11. Diagnostico remoto y proteccin de los puertos de configuracin

El acceso a los puertos de diagnstico y de configuracin se controlar de conformidad a los lineamientos
de red definidos por la DINAFI.
9.6.12. Segregacin de Redes de Datos

Los administradores de redes de la Institucin deben segregar en subredes, los grupos de servicios de
informacin, usuarios y sistemas de informacin.
9.6.13. Control de Conexiones ala Red

Los administradores de redes deben limitar el acceso de los usuarios para conectarse a la red, de acuerdo
a los Lineamientos de Seguridad de la Informacin para el Control de Acceso a la Informacin del
Ministerio de Hacienda, los Lineamientos de Seguridad de la Informacin para los Servicios y Gestin de
--
Pgina 33 de4
p'
_9_.,.
EDICION :007
Accesos a la Red de Datos del Ministerio de Hacienda emitidos por la DINAFI y a los requisitos de las
aplicaciones del negocio.
9.6.14. Procedimientos para Inicio de Sesin

El acceso a los sistemas operativos se debe controlar por medio de un procedimiento seguro de inicio de
sesin, en cumplimiento a lo definido en los lineamientos de control de accesos.
9.6.15. Identificacin yAutenticacin de Usuario

Todos los identificadores de usuario se construirn de conformidad con los lineamientos de control de
acceso emitidos por la DINAFI, eligiendo una tcnica adecuada de autenticacin para confirmar la
identidad solicitada al usuario.
9.6.16. Uso de los Recursos del Sistema

Se debe restringir y controlar rigurosamente el uso de programas y utilidades que puedan ser capaces de
invalidar los controles del sistema y de .las aplicaciones del negocio de acuerdo a los lineamientos de
control de acceso emitidos por la DINAFI.
9.6.17. Software Estndar en Estaciones de Trabajo

Las estaciones de trabajo de cada Direccin o Dependencia contarn con software definido como
estndar para efectos de trabajo, de conformidad a los lineamientos establecidos por stas.
9.6.18. Desinstalacin de Herramientas.

Los usuarios no desinstalarn las herramientas de seguridad, administracin y control de inventarios de
las estaciones de trabajo asignadas.
9.6.19. Instalacin o Desinstalacin de Software

La instalacin o desinstalacin software en las equipos de computacin debe ser realizado nicamente por
el personal informtico autorizado, atendiendo los procedimientos establecidos para tal fin.
9.6.20. Computadores Porttiles con Informacin Reservada o Confidencial

Los usuarios responsables de computadores porttiles que contengan informacin reservada o
confidencial, se apoyarn en las unidades de informtica de la Direccin o Dependencia para garantizar
que dichos equipos cuenten con medidas de seguridad, por ejemplo: contrasea de arranque, usuario y
contrasea de sistema operativo.
9.7. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
9.7.1. Anlisis y Especificacin de los Requisitos de Seguridad

Los propietarios de la informacin o las personas que designen para definir los requerimientos de las
aplicaciones del negocio, deben incluir los controles de seguridad a ser implementados, tanto para los
sistemas de informacin nuevos o para mejoras a los mismos, atendiendo los lineamientos para el
desarrollo, mantenimiento o adquisicin de aplicaciones dei negocio emitidos por la DINAFI.
Pgina 34 de 46
EDICION 007
97.2. Validacin de los Datos de Entrada.

La introduccin de datos en las aplicaciones del negocio debe validarse para garantizar que dichos datos
son correctos y adecuados conforme al proceso de negocio que soportan. Los propietarios de la
informacin o las personas que designen son responsables de definir estas validaciones.
9.7.3. Control del procesamiento intemo

Los propietarios de la informacin o las personas que designen para definir requedmientos de las aplicaciones
del negocio, deben definir los procesos crticos para incoiporar comprobaciones de validacin que detecten cualquier
corrupcin de la informacin, debido a errores de procesamiento o actos intencionados.
9.7.4. Integridad de los mensajes

Se deben identificar los requisitos para garantizar la autenticidad y proteger la integridad de los mensajes
en los servicios web y se deben identificar e implantar los controles adecuados.
9.7.5. Validacin de los datos de salida

Los propietarios de la informacin o las personas que designen para definir requedmientos de las aplicaciones
del negocio, deben especificar los controles para validar que la informacin almacenada es correcta y
adecuada a las circunstancias.
9.7,6. Control de las Aplicaciones del Negocio en Produccin

Los responsables del despliegue de las aplicaciones del negocio en ambiente de produccin, deben tener
implantados procedimientos para controlar la instalacin de stas en los sistemas operativos.
9.7.7. Falla de las Aplicaciones del Negocio

Los responsables del desarrollo de las aplicaciones del negocio deben asegurar que cuando stas fallen y
no produzca los resultados esperados, proporcione un mensaje de error comprensible o alguna otra
indicacin de falla como respuesta al usuario.
9.7.8. Retroalimentacin de las Aplicaciones del Negocio al Usuario

Los responsables del desarrollo las aplicaciones dei negocio deben asegurar que cuando ejecute un una
transaccin, sta dar respuesta cuando amerite segn los requerimientos del solicitante, indicando si se
llev a cabo la solicitud.
9.7.9. Prueba de las Aplicaciones del Negocio.

Todas las aplicaciones del negocio adquiridas o desarrolladas internamente, pasarn por un proceso de
pruebas documentado que garantice la calidad y seguridad de las mismas.
9.7.10. Instalacin de las Aplicaciones del Negocio en Produccin

Las aplicaciones del negocio sern trasladadas al ambiente de produccin por personal de tecnologa
autorizado e independiente a las reas de desarrollo.
9.7.11. Proteccin de los datos de prueba del sistema.

Los datos de prueba deben seleccionarse cuidadosamente, estar protegidos y controlados.
Adicionalmente, no deben efectuarse pruebas de software directamente en produccin.
9.7.12. Control de Acceso a Cdigo Fuente de los Programas

Los Responsables dei Desarrollo de Aplicaciones dei Negocio de cada Direccin o Dependencia
Pgina 35 de 46
MINISIERIO DE HACIENDA CODIGO: MAS
EDICION : 007
restringirn el acceso a los cdigos fuentes de los programas y aplicaciones utilizados en sistemas de
informacin automatizados, de acuerdo a los lineamientos de control de acceso emitidos por la DINAFI.
9.7.13. Procedimiento de Control de Cambios

Cada Direccin o Dependencia emplear procedimientos de control de cambios, para autorizar y
desplegar las modificaciones al software y aplicaciones del negocio en el ambiente de produccin.
9.7.14. Control de Cambios del Cdigo Fuente
Para controlar los cambios de las aplicaciones del negocio en produccin, se debe emplear un sistema de
control de versiones del cdigo fuente.
9.7.15. Revisin Tcnica de las Aplicaciones tras efectuar cambios enel sistema operativo
Cada Direccin o Dependencia, debe revisar y probar las aplicaciones del negocio crticas, cuando se
apliquen cambios mayores a los sistemas operativos de los ambiente de produccin, para garantizar que
no existen efectos adversos en las operaciones o en la seguridad.
9.7.16. Desarrollo de Software por Terceros

La Direccin o Dependencia solicitante de proyectos de desarrollo de software por terceros, debe incluir
en los requerimientos de contratacin adicionalmente a las especificaciones tcnicas, los siguientes
aspectos:
a) definiciones de arreglos de licencia

b) propiedad intelectual
c) cumplimiento de las polticas de seguridad de la informacin del Ministerio de Hacienda
d) seguridad y calidad del software desarrollado
e) acuerdos de garantas
f) entrega del cdigo fuente
g) requerimientos de pruebas y puesta en produccin
9.7.17. Control de Vulnerabilidades de Software

El personal responsable de administrar equipos de computacin, de comunicacin de datos y el software
desplegado en stos, deben revisar de forma peridica y oportuna, la informacin sobre vulnerabilidades
de sistemas operativos y aplicaciones de software en operacin utilizadas en su Direccin o Dependencia
y aplicarlas medidas adecuadas para mitigar el riesgo asociado.
9.8. GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN
9,8.1. Notificacin de los Eventos de Seguridad de la Informacin

Los empleados, contratistas y usuarios de las aplicaciones del negocio, software en general y servicios de
informacin de la Institucin, deben reportar oportunamente los eventos de seguridad de la informacin a
travs del sistema de mesa de servicios, proporcionado por la DINAFI.
9.8.2. Responsabilidades y Procedimientos de Gestin de Incidentes de Seguridad

Cada Direccin o Dependencia definir procedimientos de gestin, que dicten los pasos a seguir para
corregir y prevenir incidentes de seguridad de la informacin, mediante una respuesta rpida, efectiva y
ordenada, de acuerdo a los lineamientos para la gestin de incidentes de seguridad de la informacin
emitidos por la DINAFI.
Pgina 36 de 46
EDICION 007
FECHA 271
983. Base de Conocimiento sobre Incidentes de Seguridad

Se establecer como parte dei sistema de mesa de servicios, una base de conocimientos para facilitar el
anlisis, aprendizaje y prevencin de los incidentes de seguridad.
9.9. GESTION DE CONTINUIDAD DEL NEGOCIO
9.9.1. Seguridad de la informacin en el Proceso de Continuidad del Negocio

Cada Direccin o Dependencia debe desarrollar y mantener un proceso para la continuidad dei negocio,
que gesUone los requisitos de seguridad de la informacin necesarios para la continuidad del negocio
basado en ei modelo proporcionado por la DINAFI.
9.9.2. Continuidad dei Negocio y Evaluacin de Riesgos

Cada Direccin o Dependencia debe deben identificar los eventos que puedan causar interrupciones en
sus procesos de negocio, as como la probabilidad de que se produzcan tales interrupciones basado en el
modelo proporcionado por la DINAFI.
9.9.3. Desarrollo e implantacin de Planes de Continuidad dei Negocio que incluyan la Seguridad de la
Informacin
Las Direcciones o Dependencias deben desarrollar e implantar planes para mantener o restaurar las
operaciones y garantizar su disponibilidad de la informacin en el nivel y en el tiempo requerido, despus
de una interrupcin o fallo en los procesos de negocio crticos.
9.9.4. Pruebas, mantenimiento y reevaluacin de los Pianes de Continuidad dei Negocio

Las Direcciones o Dependencias deben probar y actualizar al menos una vez ai ao, los pianes de
continuidad del negocio para asegurar que estn al da y son efectivos. Las pruebas deben ser
planificadas y documentadas conforme al modelo proporcionado por la DINAFI, y se deber informar a los
Titulares sobre los resultados de stas.
9.10. CONFORMIDAD
9.10.1. Identificacin de la legislacin aplicable

Las Direcciones o Dependencias deben identificar las disposiciones legales que les aplican y gestionar su
cumplimiento considerando impiementar procedimientos registrados en el Sistema de Gestin de la
Calidad o cambios en los Documentos del SGSI para tal efecto.
9,10.2. Registro de Software de Desarrollo Interno y Derechos de Autor

Cada Direccin o Dependencia ser responsable de gestionar ei registro en la entidad competente dei
software desarrollado para aplicaciones dei negocio clasificadas como crticas o vitales, a efectos de
garanUzar los derechos de propiedad intelectual y auditoria a nombre de la Institucin.
9.10.3. Cumplimiento de las Polticas y Normas de Seguridad.

Los Directores, Presidente, Jefes de Unidades Asesoras al Despacho deben apoyar para el cumplimiento
de lo establecido en el Sistema de Gestin de Seguridad de la Informacin dentro de su rea de
responsabilidad.
,rn' Pgina 37 de 46
EDICION 007
FECHA 27105114
9.10.4. Proteccin de Herramientas de Auditora

El acceso a las herramientas de auditora de los sistemas de informacin debe estar protegido por los
responsables de stos, para evitar cualquier posible peligro o uso indebido.
Pgina 38 de 46
EDICION :007
SECCIN 10: INCUMPLIMIENTO A LAS POLTICAS Y LINEAMIENTOS
Los empleados y funcionarios que incumplan las polticas y lineamientos de seguridad de la informacin
adoptada por sta Institucin, estarn sujetos a acciones disciplinarias establecidas en las disposiciones
legales y tcnicas vigentes.
Pgina 39 de 46
MINISTERIO 0E HACIENDA CODIGO MAS
EDICION 007
SECCIN 11: ANEXOS

ANEXO I
CORRESPONDENCIA ENTRE LOS CONTROLES DEL ESTNDAR UNE-ISO/IEC 27002:2009 CDIGO DE

BUENAS PRCTICAS PARA LA GESTIN DE LA SEGURIDAD DE LA INFORMACIN Y LOS
LINEAMIENTOS DEL MANUAL DE SEGURIDAD DE LA INFORMACION DEL MINISTERIO DE HACIENDA
UNE-ISO/IEC 27002:2009 MAS

ASPECTOS ORGANIZATIVOS DE LA 6 9 1 ORGANIZACION PARA LA SEGURIDAD DE
SEGURIDAD DE LA INFORMACION LA INFORMACION
Organizacin Interna 6.1
Comit de Gestin de seguddad de la 6.1.1 91.1 Compromiso con la Seguridad de la Informacin
Informaclon
Coordinacin de la seguridad de la 61.2 SECCIN 5: Responsabilidades de la
Informaclon Organizacin
Asignacin de responsabilidades relativas a 6.1.3
la seguridad de la informacin
Proceso de autorizacin de recursos para 6.1 .4 9.1 .2 Autorizacin de Nuevos Recursos para
el procesado de la informacin Tratamiento de la Informacin
Acuerdos de confidencialidad 6.1 .5 9.1 .3 Divulgacin de Informacin y Acta Notarial de
Confidencialidad
Contacto con grupos de especial inters 6.1 .7 9.1 .4 Asesoramiento de Especialistas en Segudad
de la Informacin
Revisin independiente de la seguridad de 6.1.8 SECCIN 6: Auditora Intema al SGSI
la informacin SECCION 7: Revisin por la Direccin del
SGSI
Terceros 6.2
Identificacin de los riesgos derivados dei 6.2.1 9.1.5 Riesgos Significativos para la Seguridad de la
acceso a terceros Informacin Asociados a Partes Externas
Tratamiento de la Seguridad en relacin 6.2.2 9.1.6 Requerimientos de Seguridad en las Relaciones
con los clientes con Clientes o Proveedores
Tratamiento de la Seguridad en contratos 6.2.3 9.1.7 Trminos y Condiciones para el Acceso de
con terceros Terceros
GESTION DE ACTIVOS 7 9 2 GESTION DE ACTIVOS
Responsabilidad sobre los Activos 7.1
Inventaro de activos 7.1 .1 9.2.1 Control de Activos
Propiedad de los activos 7.1 .2 9.2.2 Asignacin de Activos
Uso aceptable de los activos 7.1 .3 9.2.3 Uso de los Activos
Clasificacin de la Informacin 7.2
Directrices de clasificacin 7.2.1 9.2.4 Clasificacin de la Informacin
Etiquetado y manipulado de la informacin 7.2.2 9.2.5 Marcado y Manejo de la Informacin
SEGURIDAD DE LOS RECURSOS 8 93 SEGURIDAD ASOCIADA AL RECURSO
HUMANOS HUMANO
Antes del Empleo 8.1
Funciones y Responsabilidades 8.1.1 9.3.1 Responsabilidades y Perfiles de Puestos
Pgina 40 de 46
EDICION 007
UNE-ISOIIEC 27002:2009 MAS

Investigacin de Antecedentes 8.1 .2 9.3.2 Revisin de Antecedente y Referencias
_______ Personales
Trminos y condiciones de 8.1.3 9.3.3 Trminos y Condiciones de Contrataciones
Durante el Empleo 8.2

Responsabilidad de la Direccin 8.2.1 SECCION 5: Responsabilidades de la
Organizacin
Concienciacin, Formacin y Capacitacin 82.2 9.3.4 Conocimiento Sobre la Documentacin del
en Segudad de la Informacin SCSI
9.3.5 Capacitacin en Seguridad de la informacin
Proceso Disciplinario 8.2.3 SECCION 10: Incumplimiento a las Polticas y
Lineamientos
trabajo_______
Cese del Empleo o cambio de puesto de 8.3
Responsabilidad del cese o cambio 8.3.1 9.3.6 Cambio o Cese de funciones

Devolucin de Activos 8.3.2 9.3.7 Devolucin de Activos
Retirada de los derechos de acceso 8.3.3 9.3.8 Revocacin de Derechos de Acceso
SEGURIDAD FISICA Y AMBIENTAL : .9 9.4 ..: SEGURIDAD FISICAY AMBIENTAL
Areasseguras 9.1
Permetro de seguridad fsica 9.1 .1 9.4.1 Seguridad Fsica
Controles fsicos de entrada 9.1 .2 9.4.2 Control de Acceso Fsico a la Informacin
Seguridad de oficinas, despachos e 9.1.3 Confidencial
instalaciones
Proteccin contra amenazas externas y de 9.1 .4 9.4.3 Proteccin Contra Amenazas Externas y del
origen ambiental Ambiente
Eltrabajo en reas seguras 9.1.5 9.4.4 Trabajos en reas Seguras
Seguridad de los Equipos 9.2
Emplazamiento y proteccin de equipos 9.2.1 9.4.5 Ubicacin de Sistemas de Cmputo y Equipos
de Produccin
9.4.7 Proteccin de Equipos Informticos que
Contengan Informacin
Instalaciones de suministro 9.2.2 9.4.6 Servicios de Soporte
Seguridad del cableado 92.3 9.4.8 Cables Elctricos y de Telecomunicaciones
Mantenimiento de los equipos 92.4 9.4.9 Mantenimiento Preventivo y Correctivo
Seguridad de los equipos fuera de las 9.2.5 9.4.10 Seguridad de los equipos fuera de las
instalaciones instalaciones
Reutilizacin o retirada segura de equipos 9.2.6 9.4.11 Disposicin final o reutilizacin de Equipos
Retirada de materiales propiedad de la 9.2.7 9.4.12 Autorizacin para Salida de Equipos
empresa______
GESTION DE COMUNICACIONES Y 10 9 5 GESTION DE COMUNICACIONES Y
OPERACIONES OPERACIONES
Responsabilidades y Procedimientos de 10.1
Operacin
ocumentacin de los procedimientos de 10.1.1 9.5.1 Documentacin de Sistemas y Procedimientos
Pgina 41 de 46
EDICION 007

operacin Operativos
Gestin de cambios 101.2 9.5.2 Gestin de Cambios
Segregacin detareas 10.1.3 9.5.3 Separacin de Funciones
Separacin de los recursos de desarrollo, 10.1.4 9.5.4 SeparacindeAmbientesde Desarrollo, Prueba
prueba y operacin y Produccin
Planificacin yAceptacin del Sistema 10.3
Gestin de capacidades 10.3.1 9.5.5 Gestin de la Capacidad
Aceptacin del sistema 10.3.2 9.5.6 Aceptacin de Sistemas y Aplicaciones de
Produccin
Proteccin Contra Cdigo Malicioso y 10.4
descargable
Controles contrael cdigo malicioso 10.4.1 9.5.7 Software Malicioso
Controles contra el cdigo descargado en 10.4.2 9.5.8 Configuracin de Software en la Asignacin en

el cliente Equipo Cliente
Copias deseguridad 10.5
Copias de seguridad de la informacin 10.5.1 9.5.9 Respaldo de la Informacin en medios
magnticos
Gestin de la Seguridad de las Redes 10.6
Controles de red 10.6.1 9.5.10 Controles de Red de Datos
Seguridad de los servicios de red 10.6.2 9.5.1 1 Seguridad en los Servicios de Red de Datos
Manipulacin de los Soportes 10.7
Retirada de los soportes 10.7.2 9.5.12 Eliminacin de los Soportes
Procedimientos de manipulacin de la 10.7.3 9.5.13 Utilizacin de la Informacin
informacin
Seguridad de la documentacin dei sistema 10.7.4
Intercambio de informacin 10.8
Polticas y procedimientos de intercambio 10.8.1 9.5.14 Intercambio de Informacin y Software
de informacin
Acuerdos de intercambio 10.8.2
Soportes fsicos en trnsito 10.8.3 9.5.15 Seguridad de Soportes en Trnsito
Mensajera electrnica 10.8.4 9.5.16 Mensajera Electrnica
Sistemas de informacin empresariales 10.8.5 9.5.17 Seguridad en la Interconexin de Sistemas de
Informacin de Negocios
Servicios de Comercio Electrnico 10.9
Comercio electrnico 10.9.1 9.5.18 Comercio electrnico
Transacciones en lnea 10.9.2 9.5.19 Pagos a empleados y terceros
Informacin puesta a disposicin pblica 10.9.3 9.5.20 Informacin Disponible al Pblico
Supervisin 10.10
Registro de auditorias 10.10.1 9.5.21 Registros o Huellas de Auditoria
Registro de administracin y operacin 10.10.4
Supervisin del uso del sistema 10.10.2 SECCION 4.2.3: Supervisin y Revisin dei
SGSI
Proteccin de la informacin de los 10.10.3 9.5.22 Proteccin de los Registros o Huellas de
registros Auditora
Pgina 42 de 46
EDICION :007
FECHA :27105114

Regisfrosdefallos 10.10.5 9.5.23 Registrosde Fallas
Sincronizacin dei reloj 10.10.6 9.5.24 Sincronizacin del Reloj
CONTROLDEACCESO 11 96 CONTROL DE ACCESOS
Requisitos de Negocio Para el Control 11.1
deAcceso
Poltica de control de acceso i I .1 .1 9.6.1 PoliUca de Control de Acceso
Gestin de Acceso de Usuario i I .2

Registro de usuario 9.6.2 Registro de Usuarios
. 2 . 1
96.5 Directorios de usuarios
Gestin de privilegios i i .2.2 9.6.3 Gestin de privilegios
Gestin de contraseas de usuario i i .2.3 9.6.4 Gestin de contraseas de usuario
Revisin de los derechos de acceso de i i .2.4 9.6.6 Revisin de los derechos de acceso de usuario
Responsabilidades de Usuario 11.3

Uso de contrasea 11.3.1 9.6.7 Uso estructura de las contraseas
y
Equipo de usuario desatendido i i .3.2 9.6.8 Computadores desatendidos
Control de Acceso a la Red 11.4
Poltica de uso de los servicios en red i i .4.1 9.6.9 Uso de los Servicios de Red
Autenticacin de usuario para conexiones i i .4.2 9.6.1 0 Autenticacin de conexiones externas
Diagnstico remoto y proteccin de los 11.4.4 9.6.11 Diagnostico remoto y proteccin de los puertos
puertos de confIguracin de configuracin
Segregacin de las redes i i .4.5 9.6.12 Segregacin de Redes de Datos
Control de la conexin a la red i i .4.6 9.6.13 Control de Conexiones a la Red
Control de Acceso al Sistema Operativo I i .5
Procedimientos seguros de inicio de sesin i I .5.1 9.6.14 Procedimientos para Inicio de Sesin
Identificacin y autenticacin de usuario 11.5.2 9.6.15 Identificacin y autenticacin de Usuario
Sistema de gestin de contraseas i i .5.3 9.6.7 Uso y estructura de las contraseas

Uso de los recursos del sistema i i .5.4 9.6.16 Uso de los Recursos del Sistema
Control de Acceso a las Aplicaciones y a 11.6
la Informacin
Restriccin del acceso a la informacin i '1 .6.1 9.6.20 Computadores Porttiles con Informacin
Reservada o Confidencial
9.6.17 Software Estndaren Estaciones de Trabajo
9.6.18 Desinstalacin de herramientas
Ordenadores porttiles y Tele-trabajo I I .7
mviles_______
Ordenadores porttiles y comunicaciones 11.7.1
ADQUISICION, DESARROLLO Y 12
9.6.19 Instalacin o Desinstalacin de Software
9 7 ADQUISICION, DESARROLLO Y
MANTENIMIENTO DE LOS SISTEMAS DE MANTENIMIENTO DE SISTEMAS DE
INFORMACION INFORMACION
quisitos de Seguridad de los 12.1
Pgina 43 de46
EDICION :007

Sistemas de Informacin
Anlisis y especificacin de os requisitos 12.1.1 9.7.1 AnIiss y Especificacin de los Requisitos de
de seguridad Seguddad
Tratamiento Correcto de las 12.2
Aplicaciones
Validacin de los datos de entrada 12.2.1 9.7.2 Validacin de los Datos de Entrada
Control del procesamiento interno 12.2.2 9.7.3 Control del procesamiento interno
9.7.6 Control de las aplicaciones del negocio en
produccin
9.7.7 Falla de las Aplicaciones del Negocio
9.7.8 Retroalimentacin de las Aplicaciones del
Negocio al Usuario
Integridad de los mensajes 12.2.3 9.7.4 Integridad de los mensajes
Validacin de los datos de salida i2.2.4 9.7.5 Validacin de los datos de salida
Seguridad de los Archivos de Sistema 12.4
Control del software en explotacin 12.4.1 9.7.9 Prueba de las Aplicaciones del Negocio
9.7.10 Instalacin de las Aplicaciones del Negocio en
Produccin
Proteccin de los datos de prueba del 12.4.2 9.7.1 1 Proteccin de los datos de prueba del sistema
Control de Acceso a Cdigo Fuente de los 12.4.3 9.7.12 Control de Acceso a Cdigo Fuente de los
Programas Programas
Seguridad en los Procesos de Desarrollo 12.5
y Soporte
Procedimientos de control para cambios 12.5.1 9.7.13 Procedimiento de Control de Cambios
9.7.14 Control de Cambios del Cdigo Fuente
Revisin Tcnica de las Aplicaciones tras 12.5.2 9.7.15 Revisin Tcnica de las Aplicaciones tras
efectuar cambios en el sistema operativo efectuar cambios en el sistema operativo
Desarrollo de Software porTerceros 12.5.5 9.7.16 Desarrollo de Software por Terceros
Gestin de la Vulnerabilidad Tcnica 12.6
Control de las vulnerabilidades tcnicas 12.6.1 9.7.17 Control de Vulnerabilidades de Software
GESTION DE INCIDENTES DE 13 9 8 GESTION DE INCIDENTES DE SEGURIDAD
SEGURIDAD DE LA INFORMACION DE LA INFORMACION
Notificacin de Eventos y puntos dbites 13.1
de la Seguridad de la Informacin
Notificacin de los eventos de seguridad de 13.1.1 9.8.1 Notificacin de los eventos de seguridad de la
la informacin informacin
Gestin de Incidentes de Seguridad de 13.2
la Informacin y Mejoras
Responsabilidades y procedimientos 13.2.1 9.8.2 Responsabilidades y Procedimientos de
Gestin de Incidentes de Seguddad
Aprendizaje de los incidentes de seguridad 13.2.2 9.8.3 Base de Conocimiento sobre Incidentes de
de la informacin Seguridad
GESTION DE LA CONTINUIDAD DEL 14 99 GESTION DE CONTINUIDAD DEL NEGOCIO
Pgina 44 de 46
EDICION 007
Aspectos de Seguridad de la 14.1

Informacin en la Gestin de la
Continuidad del Negocio
lnclusin de la seguridad de la informacin 14.1.1 9.9.1 Seguridad de la informacin en el Proceso de
en el proceso de gestin de la continuidad Continuidad del Negocio
del negocio
riesgos________
Continuidad del negocio y evaluacin de 14.1.2
Desarrollo e implantacin de Planes de 14.1.3

9.9.2
9.9.3
Continuidad del negocio yevaluacin de riesgos
Desarrollo e implantacin de Planes de

Continuidad del Negocio que incluyan la Continuidad del Negocio que incluyan la
Seguridad de la Informacin Seguridad de la Informacin
Prueba, mantenimiento y reevaluacin de 141.5 9.9.4 Pruebas, mantenimiento y reevaluacin de los
los planes de continuidad del negocio .
Planes de Continuidad del Negocio

CUMPLIMIENTO 15 9 10 CONFORMIDAD
Requisitos 15.1
Legales______
Cumplimiento con los
Identificacin de la legislacin aplicable 15.1.1 9.10.1 Identificacin de la legislacin aplicable

Derechos de propiedad intelectual 15.1.2 9.10.2 Registro de Software de Desarrollo Interno y
Derechos de Autor
Cumplimiento de las Polticas y normas 15.2
de seguridad y cumplimiento tcnico
Cumplimiento de las Polticas y Normas de 15.2.1 9.10.3 Cumplimiento de las Polticas y Normas de
Seguridad Seguridad
SECCION 8.2 Acciones Correctivas

SECCION 8.3 Acciones Preventivas
Consideraciones sobre la Auditoria de 15.3
los Sistemas de Informacin
Controles de auditora de los sistemas de 15.3.1 SECCIN 6: Auditora Interna al SGSI
informacin________
Proteccin de las herramientas de auditora 153.2 9.10.4 Proteccin de Herramientas de Auditora
de los sistemas de informacin
Pgina 45 de 46
EDICION :007
SECCIN 12: MODIFICACIONES
REGISTRO DE MODIFICACIONES
N MODIFICACIONES
Seccin 3. Trminos y Definiciones.
Se agregaron las siguientes definiciones:
3.11 DINAFI
U J
3.26 Perodo de Conservacin de la Informacin Electrnica.

3.27 Perodo de Disponibilidad de la Informacin Electrnica en Lnea.
Seccin 9. Lineamientos.
Se modifican los siguientes apartados:
9.3.8 Revocacin de Derechos de Acceso

9.7.9 Prueba de las Aplicaciones del Negocio
9.10.3 Cumplimiento de las Polticas y Normas de Seguridad
02
Se adicionan los siguientes apartados:

9.5.25 Poltica de Retencin de Informacin Electrnica
9.5.26 Poltica de disponibilidad en lnea de la Informacin Electrnica.
9.5.27 Eliminacin de informacin electrnica con periodo de conservacin vencido
Pgina 46 de 46
Digitally signed by David Edgardo Sandoval Guzman
Reason: Certifico la precisin e integridad de este documento
Date: 2014.05.30 10:59:48 -06'00'

Manual de Seguridad - E7

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Manual de Seguridad - E7

Încărcat de

Drepturi de autor:

Formate disponibile

MINISTERIO DE HACIENDA CODIGO : MAS

MANUAL DE SEGURIDAD DE LA INFORMACIN

Nombre : Licda. Patricia Carolina Marroqun Firma: / Fecha: 30/04/14

Nombre : Lic. Miguel Angel Santeliz Garca

Nombre : Licda. Dinora Margarita Cubias

Aprobado por: '2

Nombre : Ing. Roberto de Jess Solrzano Castro Fecha 27/05/14

SECCIN i Introduccin y Alcance del Sistema de Gestin de Seguridad de la Informacin

SECCIN 3 Trminos y Definiciones

SECCIN 4 Sistema de Gestin de Seguridad de la Informacin (SGSI)

SECCIN 5 Responsabilidades de la Organizacin

SECCIN 6 Auditoria interna al SGSI

SECCIN 7 Revisin por la Direccin dei SGSI

SECCIN 8 Mejora del SGSI

SECCIN 10 Incumplimiento a las Polticas y Lineamientos

SECCIN 1: INTRODUCCIN Y ALCANCE DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA

"La seguridad de la informacin es la preservacin de la confidencialidad, integridad y disponibilidad de

La seguridad de la informacin no debe limitarse nicamente a los medios tecnolgicos, adicionalmente

Sistema de Gestin de Seguridad de la Informacin (SGSI)

Un sistema de gestin de seguridad de la informacin, provee el modelo para establecer, implementar,

Fases del Sistema de Seguridad de la informacin

Planificar (Establecimiento del SGSI): Definir Ia poltica de seguridad, objetivos, procesos y

Hacer (Implantacin y operacin): Implementar y operar la poltica, controles, procesos y

Actuar (Mantenimiento y mejora el SGSI): Adoptar acciones preventivas y correctivas, en funcin de

'SeguIrnento revIs11 Segurfdad

Figura 1. Modelo PHVA (Estndar ISOIIEC 27001)

1.2 OBJETIVOS DEL SGSI

1.2.3 Contribuir a la gestin de la continuidad de los servicios que presta la Institucin.

1.3 BASE LEGAL

El presente manual se emite de conformidad a lo establecido en:

1 .3.1 Normas Tcnicas de Control Interno Especificas del Ministerio de Hacienda.

1.5 DOMINIOS DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

SISTEMA DE GES1ON DE SEGURIIAID DE LA INFORMACION DEL MMSTERIO DE HACI ENflA

mat de loe _______

Figura 3. Sistema de Gestin de Seguridad de la Informacin del Ministerio de Hacienda

Documentacin del Sistema de Gestin de Seguridad de la Informacin (SGSI).

SECCIN 3: TERMINOS Y DEFINICIONES

3.2 AE: Acuerdo Ejecutivo.

3.3 Ambiente de Produccin: se refiere al conjunto de recursos y controles destinados a mantener un

3.7 Confidencialidad: Propiedad de la informacin de no estar disponible o no ser revelada a individuos no

3.11 DINAFI: Direccin Nacional de Administracin Financiera e Innovacin.

3.16 Impacto: Consecuencia sobre un activo de la materializacin de una amenaza.

3.18 Integridad: Propiedad de salvaguardar la precisin y lo completo de los activos.

3.20 MAPO: Manual de Polticas de Control Interno del Ministerio de Hacienda.

3.21 MAS: Manual de Seguridad de la Informacin del Ministerio de Hacienda.

3.22 No Conformidad: Incumplimiento de un requisito.

3.27 Perodo de Disponibilidad de la Informacin Electrnica en Lnea: Se refiere a la cantidad de tiempo

3.30 Registro(s): Documento(s) que presenta(n) resultado(s) obtenido(s) o proporciona(n) evidencia de

3.32 Riesgo: Combinacin de la probabilidad de un evento y sus consecuencias.

3.34 SEDE: Secretaria de Estado del Ministerio de Hacienda.

3.35 SGSI: Sistema de Gestin de Seguridad de la Informacin.

SECCIN 4: SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

4.1 REQUISITOS GENERALES

La Institucin establecer, implantar, operar, revisar y mejorar un Sistema de Gestin de Seguridad

4.2 ESTABLECIMIENTO Y GESTIN DEL SGSI

4.2.1 Establecimiento del SGSI

4.2.2 Implementacin y Operacin del SGSI

e) La DINAFI impulsar programas de entrenamiento y ConcientizaCin (ver seccin 52.2).

4.2.3 Supervisin y Revisin dei SGSI

a) Cada Direccin o Dependencia ejecutar procedimientos de supervisin y revisin y otros

i Detectar errores en la informacin que se est procesando.

2.Ayudar a detectar eventos de seguridad y por tanto a prevenir incidentes de seguridad

4.2.4 Mantenimiento y Mejora dei SGSI

a) Cada Direccin o Dependencia implementar las mejoras identificadas al SGSI.