0 Norma de Seguridad Informática PDF

NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE
SEGURIDAD INFORMTICA EN EL INSTITUTO MEXICANO DEL

SEGURO SOCIAL
INDICE
1 Objetivo ........................................................................................................................... 3
2 mbito de aplicacin ....................................................................................................... 3
3 Sujetos de la norma ........................................................................................................ 3
4 Responsables de la aplicacin de la norma.................................................................... 3
5 Definiciones..................................................................................................................... 4
6 Documentos de referencia .............................................................................................. 9
7 Disposiciones ................................................................................................................ 10
7.1 De carcter general............................................................................................. 10
7.2 Para el uso de la infraestructura y servicios informticos ................................... 12
7.3 Para la informacin que se almacena, procesa y transmite por medios
electrnicos. ........................................................................................................ 18
7.4 De la administracin de infraestructura y servicios informticos......................... 21
7.5 Para el desarrollo y liberacin de sistemas......................................................... 29
Pgina 2 de 31 Clave: 5000-001-001

SEGURO SOCIAL
Con fundamento en lo dispuesto en los artculos 5 y 81D, fracciones I y II, del Reglamento de
Organizacin Interna del Instituto Mexicano del Seguro Social, publicado en el Diario Oficial
de la Federacin el 11 de noviembre de 1998, reformado segn decretos publicados en el
Diario Oficial de la Federacin el 13 de octubre de 1999, 17 de diciembre de 2001 y 19 de
junio de 2003, as como el numeral 7.6.1 de la Norma que Establece las Disposiciones para
la Elaboracin, Autorizacin e Implantacin de Normas en el Instituto Mexicano del Seguro
Social, aprobada mediante Acuerdo 54/2003 por el Consejo Tcnico del propio Instituto en
sesin celebrada el 19 de febrero de 2003, se expide la siguiente:
NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE SEGURIDAD

INFORMATICA EN EL INSTITUTO MEXICANO DEL SEGURO SOCIAL
1 Objetivo
Esta Norma define las disposiciones mnimas a las que debern ajustarse los usuarios y
administradores en el uso, administracin, desarrollo y mantenimiento de la Infraestructura y
servicios informticos del Instituto Mexicano del Seguro Social.
2 mbito de aplicacin
La presente norma es de observancia obligatoria para la Secretara General, rganos

Superiores, Normativos, Colegiados, de Operacin Administrativa Desconcentrada y
Operativos del Instituto Mexicano del Seguro Social, definidas en el artculo 1 del
Reglamento de Organizacin Interna del Instituto.
3 Sujetos de la norma
Los usuarios, administradores y desarrolladores a nivel central y delegacional que hagan

uso, administren o desarrollen sistemas, infraestructura o servicios informticos para el
Instituto Mexicano del Seguro Social.
4 Responsables de la aplicacin de la norma
Las Coordinaciones de la Direccin de Innovacin y Desarrollo Tecnolgico a nivel central y

las Coordinaciones Regionales y Delegacionales de Informtica a nivel delegacional del
Pgina 3 de 31 Clave: 5000-001-001

SEGURO SOCIAL
5 Definiciones
Para efectos de la presente norma se entender por:
5.1 administrador: son todas aquellas personas responsables de mantener la

disponibilidad y la funcionalidad de la infraestructura y servicios Institucionales de
acuerdo a las necesidades de operacin del Instituto Mexicano del Seguro Social.
5.2 ambiente de trabajo: se refiere al conjunto de herramientas, utileras, programas,

aplicaciones e informacin que un usuario tiene disponible para el desempeo de sus
funciones de manera controlada, en relacin con los privilegios de su cuenta.
5.3 amenazas: es una condicin causada por una mala configuracin o instalaciones
realizadas con opciones por omisin, que permite explotar vulnerabilidades de una
entidad atentando contra las propiedades de confidencialidad, disponibilidad e
integridad de la informacin.
5.4 anlisis de protocolos: software que permite conocer los paquetes que conforman la
informacin durante los procesos de comunicacin, procesamiento o manipulacin de
datos, mediante la separacin de estas partes.
5.5 antivirus: software especializado diseado para detectar, eliminar y prevenir virus
informticos en los dispositivos de la red Institucional.
5.6 aplicaciones institucionales: son todos los sistemas desarrollados por personal
interno y externo para automatizar los procesos operativos del Instituto Mexicano del
Seguro Social.
5.7 bases de datos: es un conjunto estructurado de datos, gestionado bajo el control de

un Manejador de Bases de Datos, el cual se encarga de controlar el acceso
concurrente, evitar redundancia, cumplimiento de las restricciones y reglas de
integridad, usar elementos que aceleren el acceso fsico a los datos (ndices,
agrupamientos, funciones de dispersin, ...), distribuir los bloques del disco del modo
ms adecuado para el crecimiento y uso de los datos, controlar el acceso y los
privilegios de los usuarios, recuperar ante fallos, entre otros.
5.8 biblioteca de programas: es una coleccin o conjunto de archivos que contienen

cdigo, desarrollados por un mismo fabricante bajo ciertos criterios, mismo que suelen
ser compatibles e interoperables entre s.
5.9 cadenas: son mensajes enviados a travs del servicio de correo electrnico que se
caracterizan por solicitar dentro del cuerpo del mismo ser enviados a cierta cantidad
de personas, con el fin de obtener algo a cambio.
Pgina 4 de 31 Clave: 5000-001-001

SEGURO SOCIAL
5.10 cifrar: es el proceso de transformar un mensaje para ocultar su contenido, de tal

manera que el receptor sea la nica persona que pueda recuperar el mensaje original.
5.11 configuracin de red: son los valores asignados y las opciones habilitadas para la
operacin de la tarjeta de red de un equipo de cmputo dentro de la red del Instituto
Mexicano del Seguro Social.
5.12 contrasea de encendido: es la contrasea asignada por el usuario, necesaria para

que un equipo de cmputo inicie el proceso normal de encendido, y por lo tanto, la
inicializacin del Sistema Operativo.
5.13 correo electrnico: son el grupo de tecnologas encaminadas a dar un servicio que
agiliza y facilita el intercambio de mensajes, documentos e informacin.
5.14 cuenta: es el identificador nico y personal que est asociado a un usuario, mismo
que en conjunto con una contrasea permite el acceso a recursos o servicios
institucionales.
5.15 contrasea: son una serie de caracteres que en conjunto con una cuenta (nombre de
usuario) permiten el acceso a los recursos o servicios institucionales, misma que debe
ser difcil de generar por todas las personas a excepcin del dueo de la cuenta.
5.16 confidencialidad: es uno de los servicios de seguridad en la informacin, el cual est

encaminado a revelar el nivel y el tipo de informacin nicamente a las entidades
autorizadas para acceder a la misma.
5.17 cintas: es un dispositivo de almacenamiento basado en una bobina magntica que

requiere de un lector/reproductor especial.
5.18 cartucho: sistema de almacenamiento que incluye una cinta magntica sin fin, lo que
le permite mayor velocidad que las cintas magnticas tradicionales y la posibilidad de
ser manejado por un sistema automatizado que no requiera la intervencin de un
operador.
5.19 CD: es un dispositivo de almacenamiento ptico que requiere de un dispositivo de

grabado, el cual utiliza un lser para imprimir puntos sobre la superficie brillante,
mismas que al ser ledas con un lser de menor intensidad, son transformadas en
cadenas de bits.
5.20 compilador: es un programa que genera lenguaje mquina a partir de un lenguaje de

programacin.
Pgina 5 de 31 Clave: 5000-001-001

SEGURO SOCIAL
5.21 desarrollador: es aquella persona que tienen acceso a la infraestructura o servicios

informticos institucionales de manera autorizada, misma que cuenta con los
conocimientos necesarios para disear, construir y probar aplicaciones para
automatizar la operacin Institucional.
5.22 dial-up: acceso remoto comnmente usado para Internet utilizando un MODEM y una
lnea telefnica.
5.23 diskette: dispositivo de almacenamiento basado en un disco magntico de pequeas

dimensiones y baja capacidad. Los disquetes se introducen en un drive para su lectura
y grabacin mediante el uso de una o varias cabezas lectoras-grabadoras magnticas.
5.24 disponibilidad: es uno de los servicios de seguridad en la informacin, encaminado a

mantener los servicios habilitados y listos para su uso en el momento en que sean
requeridos por los usuarios.
5.25 extensin: es el sufijo, o nombre adicional que se le da a un archivo tal como .XXX,
el cual caracteriza el formato por el que se genera, donde .XXX representa un
numero limitado de caracteres alfanumricos dependiendo del sistema operativo,
normalmente tiene tres caracteres pero esto es susceptible de variacin.
5.26 firmware: parte del software de una computadora que no puede modificarse por
encontrarse en la ROM o memoria de slo lectura, Read Only Memory, es una
mezcla o hbrido entre el hardware y el software, es decir tiene parte fsica y una parte
de programacin consistente en programas internos implementados en memorias no
voltiles.
5.27 firewall: es el dispositivo fsico que permite crear una barrera entre la red interna y red
externa, permitiendo el acceso entre las redes de acuerdo a las polticas de seguridad
definidas en su configuracin.
5.28 generador de contraseas: es un dispositivo fsico que permite fabricar cdigos

(contraseas) de referencia secretos en funcin de parmetros o caractersticas
deseables en periodos de tiempo definidos.
5.29 hardware: son los componentes fsicos que conforman un equipo de cmputo.
5.30 infraestructura: son todos los componentes que soportan los servicios informticos
institucionales.
5.31 Instituto: Instituto Mexicano del Seguro Social
5.32 internet: conjunto de redes de computadoras y equipos fsicamente unidos a travs

de medios almbricos o inalmbricos que unen redes o equipos en todo el mundo.
Pgina 6 de 31 Clave: 5000-001-001

SEGURO SOCIAL
5.33 integridad: es uno de los servicios de seguridad que establece, que la informacin
durante su procesamiento, manipulacin o transmisin, no sea modificada en
contenido, de manera que conserve su originalidad.
5.34 lista de control de acceso: es una lista donde se asignan permisos de acceso a los
archivos y directorios por usuario.
5.35 mesa de ayuda: es el nico punto de contacto encargado de recibir todas aquellas
incidencias de usuarios relacionados con problemas recurrentes, el objetivo de esta
mesa de ayuda es darle lo ms pronto posible solucin a los usuarios, mediante la
escalacin del problema a el rea correspondiente.
5.36 mensajera instantnea: son aplicaciones o software que permite comunicarse, o

enviar mensajes al instante, as como, intercambio de archivos.
5.37 macros: son todos aquellos programas que se ejecutan dentro de otros programas
como word o excel para automatizar tareas, su uso elimina la realizacin de tareas
repetitivas, automatizndolas, bsicamente, se trata de un grupo de comandos de una
aplicacin, organizados segn un determinado juego de instrucciones y cuya ejecucin
puede ser solicitada una sola vez para realizar la funcin que se desea.
5.38 perifricos: son todos los dispositivos que estn conectados fsicamente a la
computadora.
5.39 protector de pantalla: se trata de un programa que se ejecuta automticamente

despus de que el ratn y el teclado han estado inactivos por un periodo de tiempo
determinado. Las razones principales de la existencia de tales programas son:
- Para evitar que el recubrimiento fosforescente del monitor se marque como

consecuencia de dejar una imagen esttica por un tiempo prolongado.
- Para proteger informacin sensible desplegada en la pantalla del monitor en
ausencia del operador de la computadora
5.40 rebobinamiento: se refiere a la accin de regresar una cinta magntica, a un punto

fsico previo a aquel en el que se ubicaba en el momento de iniciar el procedimiento,
pudiendo ser hasta el inicio de la misma.
5.41 seguridad informtica: es el conjunto de normas, polticas, procedimientos,

estndares mnimos que deben ser considerados en el desarrollo, implementacin y
operacin de los sistemas y servicios informticos, con la finalidad de garantizar la
integridad, confidencialidad, autenticacin y disponibilidad de la informacin
institucional.
Pgina 7 de 31 Clave: 5000-001-001

SEGURO SOCIAL
5.42 servicios: son todas las aplicaciones que estn soportadas en la infraestructura
institucional y que agilizan y automatizan las actividades diarias de los usuarios.
5.43 software: son todas aquellas aplicaciones o programas instalados en una PC.
5.44 soporte tcnico local: se refiere a la ayuda tcnica que pueden tener los usuarios
dentro de su rea de trabajo en relacin con la distribucin geogrfica, central,
Delegacional o Subdelegacional.
5.45 sistema operativo: es el software encargado de ejercer el control y coordinar el uso

del hardware entre diferentes programas de aplicacin y los diferentes usuarios. Es un
administrador de los recursos de hardware del sistema.
5.46 software de escaneo: es la aplicacin que permite conocer los puertos o servicios
disponibles en los dispositivos de la red.
5.47 tarjeta inteligente: mdulo de memoria del tamao de una tarjeta de crdito en el cual
es posible almacenar informacin para autenticacin de usuarios.
5.48 usuarios: son todas aquellas personas que tienen acceso a la infraestructura o
servicios Institucionales de manera autorizada.
5.49 usuario interno: es todo usuario que se encuentra adscrito al Instituto Mexicano del
Seguro Social.
5.50 usuario externo: es todo usuario que no se encuentra adscrito al Instituto Mexicano
del Seguro Social.
5.51 virus informtico: es un programa informtico que se ejecuta en la computadora sin

previo aviso y que puede corromper el resto de los programas, directorios de datos e,
incluso el mismo sistema operativo.
5.52 web: es la informacin contenida en pginas y portales de Internet.
5.53 WAN: red de cmputo que se encuentra distribuida en un rea geogrfica

determinada como una ciudad o un estado, su finalidad est encaminada a enlazar los
diferentes edificios de una organizacin.
Pgina 8 de 31 Clave: 5000-001-001

SEGURO SOCIAL
6 Documentos de referencia
6.1 Constitucin Poltica de los Estados Unidos Mexicanos, vigente aplicable.
6.2 Ley Federal de Procedimiento Administrativo, vigente aplicable.
6.3 Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental,

vigente aplicable.
6.4 Ley del Seguro Social, vigente aplicable.
6.5 Ley Federal de Derechos de Autor, vigente aplicable.
6.6 Ley Federal de Responsabilidades Administrativas de los Servidores Pblicos, vigente

aplicable.
6.7 Ley de Planeacin, vigente aplicable.
6.8 Nuevo Cdigo Penal para el Distrito Federal en materia de Fuero Comn y para toda
la Repblica en materia de Fuero Federal, vigente aplicable.
6.9 Cdigo Federal de Procedimientos Penales, vigente aplicable.
6.10 Cdigo Penal Federal, vigente aplicable.
6.11 Cdigo de Procedimientos Penales para el Distrito Federal, vigente aplicable.
6.12 Cdigo Civil Federal, vigente aplicable.
6.13 Cdigo Federal de Procedimientos Civiles, vigente aplicable.
6.14 Reglamento de Organizacin Interna del IMSS, vigente aplicable.
6.15 Cdigo de Comercio, vigente aplicable.
6.16 Lineamientos Generales para la clasificacin y desclasificacin de la informacin de

las dependencias y entidades de la Administracin Publica Federal, vigentes aplicables.
Pgina 9 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7 Disposiciones
7.1 De carcter general
7.1.1 Las disposiciones contenidas en la presente norma son de observancia general y

obligatoria para todo el personal del Instituto Mexicano del Seguro Social (IMSS), as como
personal externo que preste sus servicios en la Institucin de manera permanente o temporal
a travs del personal institucional que utilicen, administren o desarrollen la infraestructura y
servicios informticos, asimismo, el personal Institucional vigilar que
7.1.2 La autorizacin, difusin e implantacin del presente documento ser responsabilidad

de la Direccin de Innovacin y Desarrollo Tecnolgico a travs de sus Coordinaciones y sus
respectivas Divisiones, mediante diferentes medios incluyendo los electrnicos.
7.1.3 La Divisin de Coordinaciones Delegaciones de Informtica ser la encargada de la

difusin y la vigilancia del cumplimiento de las disposiciones presente norma en el mbito
Delegacional.
7.1.4 El Instituto Mexicano del Seguro Social a travs de las Direcciones Normativas,
Coordinaciones Generales y Unidades es el propietario de la informacin que se almacena,
procesa y transmite dentro del Instituto.
7.1.5 Todas los rganos Superiores, Normativos, Colegiados, de Operacin Administrativa

Desconcentrada, Operativos y la Secretara General del Instituto Mexicano del Seguro
Social, definidas en el artculo 1 del Reglamento de Organizacin Interna del Instituto,
debern nombrar un representante de seguridad ante la Direccin de Innovacin y Desarrollo
Tecnolgico, con la finalidad de tener un punto de contacto para una oportuna distribucin de
actualizaciones de seguridad en la infraestructura o reaccin ante eventos de seguridad.
7.1.6 El representante de seguridad designado por cada una de las coordinaciones de nivel
central, y las jefaturas de oficina a nivel delegacional del Instituto Mexicano del Seguro
Social, tendr la funcin de verificar que cada uno de los integrantes de su rea de trabajo
instalen las actualizaciones de seguridad, as como la ejecucin de las actividades
notificadas, en caso de un evento de seguridad.
7.1.7 Los intentos (exitosos o fallidos) para ganar acceso no autorizado a los sistemas e
infraestructura, servicios o datos del Instituto Mexicano del Seguro Social, revelacin no
autorizada de su informacin, interrupcin o denegacin no autorizada de sus servicios, el
uso no autorizado de los sistemas e infraestructura para procesar, almacenar o transmitir
datos, cambios a las caractersticas de sus sistemas de hardware, firmware o software sin
conocimiento y respectiva autorizacin por parte de los administradores del mismo o
cualquier otra actividad que afecte a los intereses del Instituto, ser sancionada con la
Pgina 10 de 31 Clave: 5000-001-001

SEGURO SOCIAL
aplicacin de la reglamentacin vigente dentro del Instituto Mexicano del Seguro Social y la
legislacin vigente aplicable, como lo es la Ley Federal de Responsabilidades de los
Servidores Pblicos; sin que ello implique limitacin alguna de la aplicacin de cualquier
ordenamiento que sancione tales conductas y conllevar a la aplicacin de las sanciones
disciplinaras respectivas, adems de las consecuencias de ndole legal aplicables.
7.1.8 Las violaciones a estas disposiciones podrn ser causa de la revocacin de los
privilegios de uso del acceso a los servicios e infraestructura de cmputo del Instituto
Mexicano del Seguro Social, segn lo determine la Direccin de Innovacin y Desarrollo
Tecnolgico y de las acciones disciplinarias que establezcan los rganos responsables. El
uso inapropiado del servicio conllevar a la aplicacin de las sanciones disciplinarias
respectivas, adems de las consecuencias de ndole legal aplicables.
7.1.9 La Divisin de Seguridad Informtica en conjunto con las Divisiones dependientes de

las Coordinaciones de la Direccin de Innovacin y Desarrollo Tecnolgico debern revisar
por lo menos cada 2 aos las disposiciones descritas en la presente norma en el mbito de
su competencia o en cualquier momento que requiera un ajuste por avances en la tecnologa
o cambios en las necesidades de operacin del Instituto Mexicano del Seguro Social, segn
lo determine la Direccin de Innovacin y Desarrollo Tecnolgico.
Pgina 11 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.2 Para el uso de la infraestructura y servicios informticos
7.2.1 Uso y cuidado de la infraestructura informtica institucional
7.2.1.1 Los usuarios deben utilizar los equipos de cmputo, perifricos y el software
que tengan instalado, slo para el desarrollo de las actividades institucionales que le fueron
conferidas, relacionadas con el desempeo de su empleo, cargo o comisin, de acuerdo a
sta norma.
7.2.1.2 Los usuarios no deben fumar, tomar bebidas o ingerir alimentos en las reas
donde se encuentren instalados los equipos de cmputo y/o perifricos de acuerdo a la
norma de seguridad e higiene en el trabajo.
7.2.1.3 Los usuarios no deben causar daos o destruccin a los equipos de cmputo
y/o sus perifricos, aquellos que sean sorprendidos en un hecho de ste tipo sern
sancionados conforme a la legislacin vigente aplicable.
7.2.1.4 Los usuarios deben apagar los equipos de cmputo y/o perifricos, cuando
stos no se encuentren en operacin, excepto aquellos de los cuales se justifique su
operacin continua.
7.2.1.5 Los usuarios no deben alterar o daar los identificadores de los equipos de
cmputo y/o sus perifricos. Por lo tanto es su responsabilidad preservar su buen estado.
7.2.1.6 Los usuarios deben verificar que su equipo de cmputo se encuentra instalado
al menos con las siguientes condiciones:
- Estar conectado a la corriente regulada, cuando se cuente con este servicio.
- Estar soportado en una superficie slida y firme.
- Los cables de energa o datos no estn siendo presionados por objetos pesados.
7.2.1.7 Los usuarios deben utilizar la infraestructura de comunicaciones asociada a su

equipo de cmputo, para acceder solamente a equipos locales o remotos a los que tenga
autorizacin explcita.
7.2.1.8 Los usuarios que realicen actividades de robo de informacin, violacin de la

seguridad, anlisis de protocolos o generacin de ataques a la infraestructura informtica y
servicios informticos con los que cuenta el Instituto Mexicano del Seguro Social, sern
sancionados por la reglamentacin vigente aplicable. Asimismo, los usuarios que presencien
o sospechen de este tipo de hechos debern notificarlo a la Mesa de Ayuda.
7.2.1.9 Los usuarios no deben alterar la configuracin de red que les fue asignada al
momento de la instalacin de su equipo.
Pgina 12 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.2.1.10 Los usuarios deben verificar que su equipo de cmputo tenga configurada la
contrasea de encendido.
7.2.1.11 Los usuarios deben verificar que su equipo de cmputo tenga configurado el
protector de pantalla con contrasea, con la finalidad de evitar el acceso no autorizado a su
informacin en caso de retiro temporal.
7.2.1.12 Los usuarios deben asegurase de utilizar y mantener cerradas las chapas de
seguridad de los equipos de cmputo que cuenten con las mismas.
7.2.1.13 Los usuarios deben asignar contraseas personalizadas estableciendo los

permisos de lectura o escritura, o utilizar la lista de control de acceso personalizado cuando
requieran compartir archivos a travs de la red con otros usuarios del Instituto Mexicano del
Seguro Social.
7.2.1.14 Los usuarios de forma peridica (semestral, mensual, quincenal) deben realizar
copias de seguridad de la informacin crtica que almacenen en su equipo.
7.2.1.15 El extravo o robo de equipo de cmputo y/o perifricos deben ser reportados
de forma inmediata al rea administrativa correspondiente, para que se realicen las gestiones
pertinentes.
7.2.1.16 Los usuarios que requieran conectarse a la red Institucional utilizando equipo de
cmputo de escritorio o porttil propio o Institucional, debern asegurarse de que ste se
encuentre libre de virus informticos y con la totalidad y ms recientes actualizaciones
recomendados por el fabricante, antes de integrarse a la red del Instituto Mexicano del
Seguro Social.
7.2.1.17 Los usuarios que acceden a la red a travs de medios inalmbricos debern
asegurarse de que la comunicacin establecida est cifrada de acuerdo a los estndares de
seguridad definidos por el Instituto Mexicano del Seguro Social.
7.2.2 Solicitud y uso de servicios informticos institucionales
7.2.2.1 Los usuarios deben acudir a la Mesa de Ayuda o al personal de soporte tcnico
local cuando:
- Se presenten problemas en los equipos de cmputo y/o perifricos asignados,
software instalado o en los servicios que le son proporcionados.
- Requieran capacitacin o tengan inquietudes sobre el correcto uso de los recursos
y/o servicios autorizados.
- Requieran capacitacin o apoyo en la implementacin de las disposiciones para el
aseguramiento de su entorno de trabajo.
- Sospechen que su equipo se encuentra infectado por algn virus informtico.
Pgina 13 de 31 Clave: 5000-001-001
SEGURO SOCIAL
- Requieran la instalacin de un nuevo software o hardware.

- Requieran trasladar o dar de baja un equipo de cmputo y/o sus perifricos.
- Requieran del alta, baja y/o cambio de cuentas de usuario para acceso a la red,
sistemas operativos, bases de datos o aplicaciones institucionales.
- Requieran del acceso al servicio de Internet a travs de un enlace dial-up.
- O cualquier otra causa que a juicio de ste, amerite el acudir a la mesa de ayuda.
7.2.2.2 Los servicios de correo electrnico y mensajera instantnea slo debe ser
utilizado para los propsitos de comunicacin de asuntos relativos al Instituto Mexicano del
Seguro Social.
7.2.2.3 Los usuarios no deben utilizar el servicio de correo electrnico o mensajera

instantnea para:
- Enviar todo tipo de cadenas o archivos cuyo contenido pueda considerarse

ofensivo, discriminatorio o difamatorio, as como archivos personales de gran
tamao que congestionen la red Institucional.
- Enviar mensajes en forma annima o ficticia.
7.2.2.4 Los usuarios deben tener las siguientes precauciones al enviar archivos
adjuntos a travs del servicio de correo electrnico o mensajera instantnea:
- Evitar el envo de archivos que excedan en su tamao a los 2 megabytes.

- Evitar el envo de archivos que contengan las extensiones .exe, .bat, .vbs,
.pif, .reg, .scr y .com.
- Evitar el envo de archivos que en su nombre contengan mas de un punto ..
7.2.2.5 Todos los mensajes distribuidos a travs de la infraestructura de correo del

Instituto Mexicano del Seguro Social, an los mensajes personales, son propiedad de
Instituto, quien podr llevar a cabo el monitoreo de los servicios de correo electrnico o
mensajera instantnea, archivos anexos y cualquier otra informacin electrnica transmitida
a travs de sus equipos de cmputo.
7.2.2.6 El correo electrnico de dudosa procedencia debe ser manejado por los
usuarios con precaucin, es necesaria su eliminacin sin ser ledo y no debe ser respondido.
7.2.2.7 No se deber usar la infraestructura de correo electrnico o mensajera

instantnea para enviar informacin cuyo contenido difiera con las funciones asignadas al
usuario, enviar o reenviar mensajes de contenido difamatorio, ofensivo, racista u obsceno,
incluyendo, pero no limitndose a contenidos ofensivos sobre origen tnico, gnero, edad,
orientacin sexual, pornografa, creencias polticas o religiosas o discapacidades o
potencialmente ilegal.
Pgina 14 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.2.2.8 No se deber usar la infraestructura de correo electrnico o mensajera

instantnea para cualquier prctica tendiente a utilizar, distribuir y/o duplicar informacin o
programas que no sean consistentes con las licencias de uso correspondiente o no est
expresamente aprobada por su autor.
7.2.2.9 La informacin clasificada como de uso interno o pblica puede enviarse a

travs del servicio de correo electrnico. La informacin Confidencial o Reservada debe
cifrarse para su envo.
7.2.2.10 El servicio Web slo debe ser usado con el propsito de comunicacin o
consulta de asuntos relativos al Instituto Mexicano del Seguro Social.
7.2.2.11 Los usuarios del servicio Web deben adoptar absoluta seriedad en el manejo de
informacin Confidencial o Reservada, por lo que no debern publicar o distribuir algn tipo
de software con licencia o cualquier tipo de informacin clasificada como Confidencial o
Reservados propiedad del Instituto Mexicano del Seguro Social.
7.2.2.12 El servicio Web debe ser usado sin interferir con el rendimiento laboral del
personal y sin degradar el rendimiento o desempeo de los recursos de acceso al servicio.
7.2.2.13 El usuario debe dar cumplimiento a todas las recomendaciones que le sean
proporcionadas por el Instituto Mexicano del Seguro Social a travs de la Direccin de
Innovacin y Desarrollo Tecnolgico para elevar el nivel de seguridad en el uso del servicio
Web.
7.2.3 Uso de cuentas y contraseas
7.2.3.1 Las cuentas y contraseas asignadas son personales e intransferibles, las

consecuencias jurdicas y/o administrativas de los actos ejecutados con la misma son
responsabilidad exclusiva del usuario dueo de la cuenta.
7.2.3.2 Los usuarios deben cambiar su contrasea por una nueva en el primer acceso
despus de ser otorgada.
7.2.3.3 Los usuarios deben generar su contrasea de acuerdo al siguiente estndar,

seleccionar dos palabras, unirlas y aplicar cualquiera de las siguientes operaciones para
generarla:
- Seleccionar nicamente las consonantes

- Seleccionar nicamente las vocales
- Seleccionar caracteres intercalados (uno s otro no)
NOTA: A la contrasea obtenida, agregar al menos dos nmeros, hasta obtener una combinacin de letras y
nmeros de longitud mnima de 6 y mxima de 8 caracteres.
Pgina 15 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.2.3.4 Los usuarios deben evitar la repeticin de contraseas al efectuar los cambios
peridicos de las mismas.
7.2.3.5 Los usuarios deben cambiar su contrasea en caso de sospechar que alguien
ms la conoce.
7.2.3.6 Los usuarios deben evitar exponer o difundir su contrasea independientemente

del medio en el cual sea almacenada.
7.2.3.7 En caso de utilizar hardware de seguridad, tales como generadores de

contraseas o tarjeta inteligente, los usuarios deben traerlos siempre consigo.
7.2.4 Uso de software y antivirus
7.2.4.1 Los usuarios deben utilizar nicamente el software para el cual tengan
autorizacin del Instituto Mexicano del Seguro Social y le sea asignado para el desarrollo de
sus funciones.
7.2.4.2 Los usuarios no deben prestar el software propiedad del Instituto Mexicano del
Seguro Social para que ste sea copiado, o copiar software que sea pedido en calidad de
prstamo.
7.2.4.3 Los usuarios deben utilizar el software con conciencia y conocimiento de lo

establecido en la Ley Federal de Derechos de Autor.
7.2.4.4 Los usuarios deben verificar que su equipo de cmputo tenga instalado el
antivirus institucional, mismo que debe estar habilitado permanentemente, en caso contrario
lo debern notificar a la Mesa de Ayuda.
7.2.4.5 Los usuarios deben verificar que los archivos obtenidos de manera externa a
travs de cualquier medio, as fuera de una fuente confiable, estn libres de virus
informticos antes de ser almacenados o procesados en su equipo de cmputo.
7.2.4.6 Los usuarios deben informar a la brevedad al rea emisora, a la Mesa de Ayuda
o al personal de soporte tcnico local para que se tomen las medidas pertinentes, en los
casos en los cuales se determine que un archivo recibido se encuentre infectado por virus
informticos.
7.2.4.7 Los usuarios no deben abrir archivos que contengan macros, doble extensin o
extensiones poco convencionales, an cuando sean de fuentes confiables, con excepcin de
aquellos archivos con macroinstrucciones que hayan sido desarrollados por los
administradores, usuarios o desarrolladores, para la adecuada ejecucin de sus funciones.
Pgina 16 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.2.4.8 Los usuarios deben informar va telefnica a la Mesa de Ayuda, en caso de

notar que se estn recibiendo archivos no convencionales o de fuentes desconocidas para
determinar si se trata de un virus informtico.
Pgina 17 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.3 Para la informacin que se almacena, procesa y transmite por medios

electrnicos.
7.3.1 Clasificacin de la informacin que se almacena, procesa y transmite por medios

electrnicos.
7.3.1.1 La informacin que se genera almacena, procesa y transmite por medios

electrnicos ser administrada en funcin de la clasificacin otorgada por el rea
responsable de la misma.
7.3.1.2 Las figuras que intervendrn en la generacin, almacenamiento, manejo y

procesamiento de la informacin en el IMSS son: responsables, depositarios y usuarios
finales.
- Los responsables de la informacin, son todas las reas usuarias operativas de

los sistemas del Instituto Mexicano del Seguro Social las cuales son dueas de la
informacin, mismas que responden por la integridad de la informacin capturada y
procesada en la infraestructura de cmputo propiedad del Instituto.
- Los depositarios de la informacin, son todas las reas tcnicas de administracin

y soporte de la tecnologa y servicios informticos del Instituto Mexicano del
Seguro Social y son las encargadas de mantener la integridad, disponibilidad y
confidencialidad de la informacin que se almacena en la infraestructura de
cmputo propiedad del instituto.
- Los usuarios finales son todos aquellos que se encargan de la captura y

explotacin de la informacin, sin que sean dueos de la misma.
7.3.1.3 Las actividades de los usuarios finales estn limitadas de acuerdo al perfil y el
nivel de consulta que le sea autorizada por el responsable.
- El perfil es la serie de actividades que un tipo de usuario final podr realizar dentro
de un sistema de informacin.
- El nivel de consulta es la cantidad y el tipo de informacin a la cual el usuario final
tendr acceso.
7.3.1.4 Los responsables de la informacin deben determinar los perfiles y los niveles
de consulta sobre la informacin que sern asignados a los usuarios finales.
7.3.1.5 Los depositarios son los encargados de implementar los mecanismos de

seguridad necesarios para implementar la asignacin de los roles y el nivel de consulta a los
usuarios finales, determinados por los responsables de la informacin.
Pgina 18 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.3.1.6 La definicin de los mecanismos de seguridad a implementar para mantener la

integridad, disponibilidad y confidencialidad de la informacin estar a cargo de los
depositarios en conjunto con la Divisin de Seguridad Informtica.
7.3.1.7 La Divisin de Seguridad conjuntamente con las Coordinaciones de la Direccin

de Innovacin y Desarrollo Tecnolgico, revisarn peridicamente los mecanismos de
seguridad implementados, para garantizar la integridad, disponibilidad y confidencialidad de
la informacin Institucional.
7.3.1.8 Cada rea responsable deber definir en qu clasificacin se encuadra su

informacin de acuerdo a la normatividad vigente aplicable.
7.3.1.9 Cada rea responsable deber reevaluar la clasificacin de su informacin

peridicamente a la luz de las directrices institucionales de acuerdo a la normatividad vigente
aplicable.
7.3.2 Administracin y uso de la informacin que se almacena, procesa y transmite por

medios electrnicos.
7.3.2.1 El nivel de clasificacin de los documentos impresos que contengan informacin

clasificada (confidencial o reservada), tiene que estar marcado de acuerdo a la normatividad
vigente aplicable.
7.3.2.2 Cada Medio de Almacenamiento desmontable (cintas, cartuchos, diskette o

CD), que contenga informacin clasificada como Confidencial, Reservada o Pblica, tiene
que ser etiquetado de acuerdo a la normatividad vigente aplicable.
7.3.2.3 Todos los administradores de tecnologa informtica deben:
- Implantar los mecanismos de control para el acceso a los datos en funcin del nivel
de exposicin y revelacin de los mismos, de acuerdo al grado de criticidad.
- Verificar la integridad de los sistemas en produccin.
- Cumplir con todas las polticas, normas, procedimientos y estndares de seguridad
aplicables.
7.3.2.4 Las reas responsables de la Informacin pueden asignar o cambiar el nivel de

clasificacin, previo a la asignacin de una fecha de efectividad y difundirlo a los usuarios
finales involucrados.
7.3.2.5 Los responsables o poseedores de manuales, procedimientos, guas e

instructivos de operacin de los equipos de cmputo, telecomunicaciones y sistemas,
controlarn el acceso y uso de los mismos, bajo su estricta responsabilidad.
Pgina 19 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.3.2.6 En conjunto con las reas responsables de la informacin y las reas

depositarias, la Divisin de Seguridad determinar el algoritmo de cifrado y el tamao de
llaves que se implementar en cada uno de los sistemas de informacin que operen en el
7.3.2.7 Las reas depositarias debern utilizar los siguientes cdigos de color para
identificar los medios de almacenamiento de informacin, de acuerdo con su clasificacin:
Clasificacin Color
Confidencial Amarilla
Reservada Rojo
7.3.2.8 Los datos clasificados como Confidenciales o Reservados debern tener fechas
programadas de eliminacin y deber destruirse la identificacin del medio y cualquier marca
de uso, esto en estricto apego a la normatividad vigente aplicable.
7.3.2.9 Los medios de almacenamiento que hayan contenido informacin con

clasificacin Confidencial o Reservada que vayan a salir de uso, debern ser borrados
mediante un medio que garantice la eliminacin fsica de la informacin. Si van a ser
reutilizados o entregados a un tercero (reparacin, prstamo) debern ser borrados con
anterioridad, esto en estricto apego a la normatividad vigente aplicable.
7.3.2.10 La informacin Confidencial o Reservada no necesaria deber ser destruida (los

listados debern ser triturados y los desechos empacados antes de deshacerse de ellos),
esto en estricto apego a la normatividad vigente aplicable.
Pgina 20 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.4 De la administracin de infraestructura y servicios informticos
7.4.1 Plan de contingencias
7.4.1.1 El Instituto Mexicano del Seguro Social a travs de la Direccin de Innovacin y

Desarrollo Tecnolgico debe contar con un Plan de Contingencias Institucional que describa
las actividades a desarrollar para la oportuna prevencin, disuasin y deteccin de amenazas
y garantizar el restablecimiento y restauracin de la operacin en caso de desastres.
7.4.1.2 Todas las Coordinaciones dependientes de la Direccin de Innovacin y

Desarrollo Tecnolgico deben conocer el Plan de Contingencias Institucional, las actividades
a desarrollar en caso de presentarse alguna eventualidad, adems de contar con una copia y
apoyar en el desarrollo y mantenimiento del mismo.
7.4.1.3 El Plan de Contingencias definido debe estar actualizado y autorizado por la

Direccin de Innovacin y Desarrollo Tecnolgico y debe existir una copia fuera de las
instalaciones.
7.4.1.4 El Plan de Contingencias Institucional debe ser probado y verificado

peridicamente por la Direccin de Innovacin y Desarrollo Tecnolgico, las diferencias
determinadas resultado de las pruebas deben ser reflejadas en dicho Plan.
7.4.1.5 Los cambios en la operacin institucional deben reflejarse inmediatamente en

los procedimientos descritos en el Plan de Contingencias Institucional.
7.4.1.6 Todo el personal involucrado en el Plan de Contingencias Institucional deber

ser entrenado adecuadamente con el fin de minimizar las consecuencias que traen los
accidentes generados por descuido o desconocimiento.
7.4.1.7 La Coordinaciones de la Direccin de Innovacin y Desarrollo Tecnolgico

debern contemplar en el presupuesto anual los recursos necesarios para atender las
actividades asociadas con los planes de contingencias.
7.4.1.8 El Plan de Contingencias Institucional debe estar desarrollado de acuerdo a la

gua para el desarrollo y mantenimiento de Planes de Contingencia para Sistemas de
Informacin.
7.4.2 Respaldos
7.4.2.1 Los respaldos deben garantizar la integridad de la informacin (programas,

datos, documentos, etc.). En los sistemas que lo permitan se deber dejar registro
electrnico del proceso realizado.
Pgina 21 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.4.2.2 Los administradores deben mantener los controles necesarios para conocer el
estado de cada copia de respaldo y su ubicacin.
7.4.2.3 Los administradores deben realizar un respaldo total del sistema, antes de
efectuar cualquier actualizacin del mismo.
7.4.2.4 Los administradores deben implantar procedimientos para preparar, almacenar

y probar peridicamente la integridad de las copias de seguridad y de toda la informacin
necesaria para restaurar el sistema a una operacin normal.
7.4.2.5 Los administradores deben mantener una copia de los sistemas (aplicativo,
parmetros de configuracin, versiones de software, etc.) anterior a la versin actual.
7.4.2.6 Los administradores deben determinar el tipo de respaldo a realizar tomando en

cuenta, el tipo de informacin y las necesidades de operacin.
7.4.2.7 Los administradores deben determinar un calendario de respaldos para

establecer la periodicidad de los mismos.
7.4.2.8 Los administradores deben identificar los medios de almacenamiento de los

respaldos indicando, nmero de serie del respaldo, dueo de la informacin, sistema al que
corresponde, cantidad de registros obtenidos, fecha, hora, tipo de respaldo, y responsable de
la ejecucin del respaldo.
7.4.2.9 Los administradores deben generar dos copias de los respaldos y almacenarlos
en inmuebles diferentes.
7.4.2.10 Las solicitudes de restauracin deben ser por escrito y contener al menos:
autorizacin del dueo de la informacin, nombre del sistema del cual se desea recuperar la
informacin, ruta de recuperacin y seccin que desea recuperar.
7.4.2.11 Los administradores deben registrar en una bitcora las recuperaciones

realizadas, indicando al menos, nmero de solicitud de la restauracin, dueo de la
informacin, nombre del sistema, seccin solicitada, nmero de serie del respaldo utilizado.
7.4.2.12 Los administradores deben realizar pruebas peridicas para verificar que los
medios de almacenamiento no han sido deteriorados, como son lecturas, rebobinamiento y
copia a otro medio, cada dos aos, de cintas que tienen un ciclo muy largo de retencin,
verificando la siguiente informacin:
- El sistema operativo junto con las tablas relacionadas (datos de configuracin).

- Software de red.
- Compiladores.
- Software de aplicacin.
Pgina 22 de 31 Clave: 5000-001-001

SEGURO SOCIAL
- Archivos de seguridad.
- Bibliotecas de programas.
- Archivos de datos.
7.4.2.13 Las reas depositarias en conjunto con los responsables de la informacin

deben determinar la permanencia y la vigencia de la informacin respaldada de acuerdo a las
necesidades legales, contractuales y operacionales del Instituto Mexicano del Seguro Social.
7.4.2.14 Las reas depositarias en conjunto con las responsables de la informacin

deben definir el procedimiento de eliminacin de respaldos, especfico por sistema o por tipo
de informacin de acuerdo a las necesidades legales, contractuales y operacionales del
7.4.3 Seguridad fsica
7.4.3.1 Los administradores de la infraestructura informtica del Instituto Mexicano del

Seguro Social debern restringir y controlar el acceso a los componentes de cada uno de los
elementos de la infraestructura informtica de la Institucin.

Seguro Social debern proteger los respaldos y datos institucionales del acceso de personal
no autorizado para tal fin.

Seguro Social debern llevar un registro del personal que accede a las reas restringidas
incluyendo el motivo de la visita.

Seguro Social debern mantener actualizadas las listas de autorizacin de acceso a personal
contratado de proveedores de servicio de terceros.

Seguro Social debern implementar y dar el seguimiento pertinente al programa de
mantenimiento a infraestructura informtica.

Seguro Social debern instalar la infraestructura informtica en ambientes adecuados para
su operacin, administracin, monitoreo y control de acceso, para minimizar las amenazas a
las que se encuentren expuestos.

Seguro Social debern evaluar y aprobar las instalaciones elctricas, comunicaciones,
sistemas contra incendios y de aire acondicionado y dems recursos, que garanticen las
Pgina 23 de 31 Clave: 5000-001-001

SEGURO SOCIAL
condiciones adecuadas para la operacin ptima de la infraestructura tecnolgica del

Instituto.
7.4.4 Administracin de la infraestructura informtica
7.4.4.1 Los administradores de infraestructura informtica deben limitar el acceso a los

sistemas operativos, sistemas institucionales y/o bases de datos, mediante la identificacin
del usuario, a travs de su cuenta y contrasea, as como, la asignacin de un perfil y nivel
especfico.
7.4.4.2 Los administradores de infraestructura informtica deben cifrar programas

fuentes y archivos de contraseas y opcionalmente las bases de datos y canal de
comunicaciones, si la informacin que se almacene o viaje corresponde al nivel de
clasificacin Confidencial o Reservada.
7.4.4.3 Los administradores de infraestructura informtica deben identificar todos los

reportes y respaldos que contienen datos Confidenciales o Reservados y limitar el acceso a
los mismos.
7.4.4.4 Los administradores de infraestructura informtica deben prohibir la utilizacin

de datos Confidenciales o Reservados para realizar pruebas en los sistemas.
7.4.4.5 Los administradores de infraestructura informtica deben destruir datos

Confidenciales o Reservados que se consideren no vigentes en estricto apego a la
normatividad vigente aplicable.
7.4.4.6 El registro de usuarios y la administracin de la seguridad de los sistemas de

informacin que son accedidos en forma local y/o a travs de la red de comunicaciones, se
realizar nicamente por los responsables de la seguridad de cada sistema o plataforma, de
conformidad con los procedimientos establecidos.
7.4.4.7 El registro de las cuentas de usuario para autenticar el acceso a equipos de

cmputo y sistemas institucionales, de las diferentes plataformas de cmputo instaladas,
deber ser solicitado con apego a los procedimientos establecidos para ello.
7.4.4.8 Las cuentas con privilegios especiales sobre el sistema (por ejemplo: root en
Unix, Administrator en Windows NT) sern de uso restringido, slo para casos de
emergencia y para actividades relacionadas con seguridad (administracin de normas de
seguridad, definicin de relaciones de confianza, administracin de registros de auditoria y de
seguridad, administracin de cuentas y grupos de usuarios, actualizacin del sistema
operativo).
Pgina 24 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.4.4.9 Los administradores de infraestructura informtica deben personalizar las

cuentas para las actividades de administracin de servidores, bases de datos, servicios o
sistemas Institucionales, as como una cuenta de seguridad para el monitoreo de las
actividades realizada por cada usuario.
7.4.4.10 Todo usuario deber tener definido desde su creacin el ambiente de trabajo y
ste no deber ser modificado por l mismo.
7.4.4.11 El personal Institucional autorizado deber definir y vigilar el acceso que un

proveedor o contratista podr tener a la informacin, limitando el alcance a informacin
Confidencial o Reservada a no ser que sea autorizado explcitamente por el responsable de
la misma, en este caso el proveedor o contratista deber firmar un acuerdo de no revelacin.
7.4.4.12 Los administradores de infraestructura informtica deben registrar los procesos

ejecutados en el da y el estatus de terminacin de los mismos, tambin deben registrar
diariamente los eventos como fallas o inhabilitacin de cada servicio y las causas del evento.
7.4.4.13 Los administradores de infraestructura informtica deben asegurarse de que la

fecha y hora del sistema slo puede ser alterada por el administrador, misma que requiere de
la autorizacin escrita del jefe responsable.
7.4.4.14 Los administradores de infraestructura informtica deben configurar los

servidores para que el usuario que realice un acceso reciba un mensaje de ingreso en la cual
se le advierte que: el sistema slo podr ser utilizado por personal autorizado, las actividades
realizadas son monitoreadas y cualquier intento de ingreso no autorizado ser sancionado.
7.4.4.15 Los administradores de infraestructura informtica deben asegurarse de que en

la bitcora de auditoria queden registrados todos los eventos realizados por cuentas con
permisos especiales (administrator, guest, root, system, etc.).
7.4.4.16 La bitcora de auditoria slo podr ser accedida por la cuenta de administracin
y por las cuentas que se creen para revisiones por parte de la Divisin de Seguridad
Informtica.
7.4.4.17 Los nodos de comunicaciones WAN debern estar ubicados en lugares

cerrados y resguardados dentro de los edificios institucionales.
7.4.4.18 El acceso a los puntos de red deber estar vigilado por la seguridad propia de
cada edificio institucional y el acceso a los nodos nicamente se permitir al personal del
proveedor de servicios, quien deber presentar una identificacin oficial de la empresa al
momento de realizar el trabajo, previamente autorizado por personal del Instituto Mexicano
del Seguro Social encargado de la funcin.
Pgina 25 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.4.4.19 El administrador de los equipos de comunicaciones debe realizar revisiones

peridicas de las bitcoras de los sistemas de comunicacin para verificar si se han
presentado intentos de ataques o de explotacin de vulnerabilidades.
7.4.4.20 El administrador de los equipos de comunicaciones debe implantar alarmas en

los sistemas de control que le notifiquen cualquier anomala para que haya una respuesta
inmediata.
7.4.4.21 El administrador de los equipos de comunicaciones debe contar con lneas

alternas de comunicacin como respaldo en caso de cada de las lneas principales.
7.4.4.22 El administrador de los equipos de comunicaciones debe asegurarse que todos

los servicios y protocolos, es decir, todos los intentos de conexin hacia la infraestructura
informtica que soporta las aplicaciones o servicios institucionales pase a travs de un
firewall.
7.4.4.23 El administrador de firewalls debe configurarlos para rechazar cualquier clase

de software de escaneo.
7.4.4.24 Los administradores de la infraestructura informtica que se encuentre en la

zona de produccin realizarn las actividades propias de la administracin de los mismos in
situ, en caso de hacerlo de manera remota, debern de realizar esta actividad a travs de
software de cifrado de canal.
7.4.4.25 Se deber notificar a los usuarios de equipos PCs, cuales son sus
responsabilidades para lo cual deben firmar el conocimiento de las disposiciones, el
inventario de software instalado en su equipo y el conocimiento de la Ley Federal de
Derechos de Autor.
7.4.4.26 Se deber asignar a los equipos del usuario un nombre que identifique de
manera rpida al responsable del equipo y su ubicacin, de acuerdo a la nomenclatura que le
har llegar la Divisin de Seguridad Informtica.
7.4.5 Administracin de cuentas de usuario
7.4.5.1 La asignacin de cuentas de usuario para cualquiera de los servicios y/o

sistemas que operan dentro del Instituto Mexicano del Seguro Social deber identificar a un
solo responsable de sta.
7.4.5.2 El administrador debe establecer el perfil y nivel del usuario antes de asignarle
una cuenta.
Pgina 26 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.4.5.3 El administrador debe bloquear el acceso a toda cuenta de usuario despus de

3 intentos consecutivos fallidos de acceso en los sistemas o red.
7.4.5.4 El administrador debe restringir el nmero de sesiones por usuario.
7.4.5.5 El administrador debe habilitar el registro de los eventos (logs de seguridad),

relacionado con los accesos a los sistemas y las actividades importantes realizadas por los
usuarios.
7.4.5.6 El administrador debe bloquear cualquier cuenta de usuario la cual no se haya

firmado en el sistema o la red despus de 30 das.
7.4.5.7 El administrador debe eliminar cualquier cuenta de usuario que no se utilice por
un perodo de 120 das, si no hay causa justificada.
7.4.5.8 El administrador debe eliminar cualquier cuenta de usuarios del cual le sea
notificado el cambio de situacin laboral o baja definitiva del Instituto Mexicano del Seguro
Social.
7.4.5.9 El administrador debe forzar el cambio de la contrasea de la cuenta de usuario

en un periodo mximo de 30 das, la cual debe ser distinta, por lo menos, a las ltimas 5
usadas por la misma cuenta de usuario.
7.4.5.10 Las contraseas no deben ser mostradas en pantalla mientras son tecleadas, ni
deben viajar por la red sin ser cifradas.
7.4.5.11 Las contraseas deben tener una longitud mnima de 6 caracteres y una
mxima de 8.
7.4.5.12 Las contraseas deben contener caracteres alfanumricos y especiales.
7.4.6 Administracin de servicios informticos
7.4.6.1 Los administradores del servicio de acceso a Internet deben sugerir la

adecuada configuracin de los navegadores Web, esto para asegurar un correcto uso y
como medida de prevencin de ataques, intrusiones o cualquier acto que atente contra las
condiciones de seguridad.
7.4.6.2 El administrador del correo electrnico debe facilitar a los usuarios el cambio
de contrasea cuando stos lo estimen conveniente.
Pgina 27 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.4.6.3 El administrador del correo electrnico debe Implementar herramientas para

analizar todos los mensajes de entrada o salida para detectar virus informticos o contenidos
maliciosos.
7.4.6.4 El servicio de acceso remoto a la red Institucional ser otorgado previa

validacin de la Divisin de Seguridad Informtica, a los funcionarios que lo soliciten y a los
proveedores que lo requieran derivado de los proyectos Institucionales.
7.4.7 Deteccin de intrusos y vulnerabilidades
7.4.7.1 La Divisin de Seguridad deber revisar diariamente la existencia de

actualizaciones de seguridad del software Institucional, aparicin de nuevos virus
informticos, con la finalidad de disminuir los huecos de seguridad.
7.4.7.2 La Divisin de Seguridad al encontrar una actualizacin notificar a travs del

servicio de correo electrnico Institucional, a las Divisiones de Administracin de Bases de
Datos, Internet, Telecomunicaciones, Administracin de Arquitectura Tecnolgica, Sistemas
de Soporte a Decisiones, Servicios Electrnicos, y Repositorio Nacional de Transacciones
responsable de la administracin del software de base o de sistema operativo, para que
evale y en su caso aplique dicha actualizacin.
7.4.7.3 La Divisin de Seguridad al encontrar la existencia de un nuevo virus

informtico, notificar a travs del servicio de correo electrnico Institucional, a la Mesa de
Ayuda con la finalidad de que esta a su vez informe a los usuarios y stos se encuentren en
posibilidades de reconocer el virus informtico y no sea propagado hacia el interior.
7.4.7.4 La Divisin de Seguridad se deber coordinar con las Divisiones de

Administracin de Bases de Datos, Internet, Telecomunicaciones, Administracin de
Arquitectura Tecnolgica, Sistemas de Soporte a Decisiones, Servicios Electrnicos, y
Repositorio Nacional de Transacciones para determinar la configuracin de las herramientas
de deteccin de intrusos y vulnerabilidades, la cual debe ajustarse a las necesidades de la
operacin.
7.4.7.5 La Divisin de Seguridad se deber coordinar con las Divisiones de

Administracin de Bases de Datos, Internet, Telecomunicaciones, Administracin de
Arquitectura Tecnolgica, Sistemas de Soporte a Decisiones, Servicios Electrnicos, y
Repositorio Nacional de Transacciones para definir el procedimiento de reaccin ante
intentos de intrusin a la infraestructura tecnolgica del Instituto Mexicano del Seguro Social.
Pgina 28 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.5 Para el desarrollo y liberacin de sistemas
7.5.1 Funcionalidad
7.5.1.1 Las Divisiones y Coordinaciones encargadas de desarrollar sistemas o servicios

de informacin debern apegarse a la Metodologa de Desarrollo de Sistemas definida por la
Direccin de Innovacin y Desarrollo Tecnolgico.

de informacin debern habilitar la funcionalidad de cifrado de programas fuente, archivos de
datos, comunicacin entre el cliente y el servidor, y bases de datos si as lo requiere el nivel
de criticidad de la informacin que manejar el sistema.

de informacin debern integrar la funcionalidad para filtrar la informacin y las operaciones
del sistema con base en el perfil y nivel de consulta del usuario.

de informacin debern integrar un mdulo de auditoria que permita registrar y verificar los
eventos relacionados con la seguridad, el acceso y las operaciones realizadas por los
usuarios dentro del sistema.
7.5.2 Ambientes de trabajo
7.5.2.1 El ambiente de desarrollo deber observar las siguientes condiciones:
- Debe ser de uso exclusivo de analistas y/o programadores.

- Debe contener un directorio de software base utilizado por el rea de desarrollo
para sus trabajos.
- Debe contener un directorio de desarrollo y pruebas donde residen los sistemas
que estn siendo desarrollados, mantenidos y los archivos de pruebas
correspondientes.
- Debe contener un directorio de control para la correcta publicacin o transferencia
a los ambientes de produccin, programas ejecutables que han sido desarrollados
o modificados, y la transferencia de los programas en cdigo fuente a las
bibliotecas de programas fuentes.
- Debe contener un directorio de archivos fuente donde se alojarn todos los
programas fuente de la organizacin, que se encuentren en produccin, misma que
debe tener el mximo nivel de seguridad y control de acceso, ya que forman parte
del activo informtico del Instituto Mexicano del Seguro Social.
Pgina 29 de 31 Clave: 5000-001-001

SEGURO SOCIAL
7.5.2.2 El ambiente de produccin deber observar las siguientes condiciones:
- Deben residir los directorios que contengan archivos de datos, bases de datos,
programas ejecutables o compilados, distribuidos por sistemas o aplicaciones en
produccin.
- Debe contener un directorio de Objetos Ejecutables el cual contendr todos los
objetos ejecutables, que corresponden con programas fuentes debidamente
autorizados y de acuerdo con las normas sobre desarrollo de aplicaciones.
- Debe contener un directorio de datos de aplicacin el cual contendr los archivos
fsicos, bases de datos y las vistas lgicas asociadas y utilizadas por cada
aplicacin.
7.5.3 Liberacin de sistemas y servicios
7.5.3.1 Cualquier requerimiento de cambio en la funcionalidad o componentes de

sistemas debe ser solicitado e implementado por escrito y en el formato establecido.
7.5.3.2 Las Divisiones encargadas de liberacin de sistemas o servicios informticos

deben verificar que el sistema o servicio haya cumplido con el control de calidad apegndose
a la metodologa definida.

deben probar adecuadamente antes de ser aprobado por los responsables, el nuevo
producto o el cambio introducido a uno existente.

deben verificar que no existan otras modificaciones distintas a las requeridas o autorizadas.

deben registrar las implementaciones efectuadas en el ambiente de produccin, indicndose
como mnimo: fecha, hora, ambiente de procesamiento, nombre y versin del producto,
responsable que autoriza.

deben asegurar la separacin de funciones entre los responsables de la implementacin y el
rea de desarrollo.

deben verificar en el caso de que el sistema o servicio sea nuevo en el ambiente de
produccin, la existencia de definicin de mecanismos de seguridad asociados al producto.
Una vez efectuada su implantacin, controlar la activacin de los mismos.
Pgina 30 de 31 Clave: 5000-001-001

SEGURO SOCIAL

deben impedir las modificaciones al software instalado en el ambiente de produccin.
Transitorios
PRIMERO. La presente Norma entrar en vigor al da siguiente de su autorizacin.
Pgina 31 de 31 Clave: 5000-001-001

0 Norma de Seguridad Informática PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

0 Norma de Seguridad Informática PDF

Uploaded by

Copyright:

Available Formats

NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE

SEGURIDAD INFORMTICA EN EL INSTITUTO MEXICANO DEL

Pgina 2 de 31 Clave: 5000-001-001

NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE SEGURIDAD

La presente norma es de observancia obligatoria para la Secretara General, rganos

Los usuarios, administradores y desarrolladores a nivel central y delegacional que hagan

4 Responsables de la aplicacin de la norma

Las Coordinaciones de la Direccin de Innovacin y Desarrollo Tecnolgico a nivel central y

Pgina 3 de 31 Clave: 5000-001-001

Para efectos de la presente norma se entender por:

5.1 administrador: son todas aquellas personas responsables de mantener la

5.2 ambiente de trabajo: se refiere al conjunto de herramientas, utileras, programas,

5.7 bases de datos: es un conjunto estructurado de datos, gestionado bajo el control de

5.8 biblioteca de programas: es una coleccin o conjunto de archivos que contienen

Pgina 4 de 31 Clave: 5000-001-001

5.10 cifrar: es el proceso de transformar un mensaje para ocultar su contenido, de tal

5.12 contrasea de encendido: es la contrasea asignada por el usuario, necesaria para

5.16 confidencialidad: es uno de los servicios de seguridad en la informacin, el cual est

5.17 cintas: es un dispositivo de almacenamiento basado en una bobina magntica que

5.19 CD: es un dispositivo de almacenamiento ptico que requiere de un dispositivo de

5.20 compilador: es un programa que genera lenguaje mquina a partir de un lenguaje de

Pgina 5 de 31 Clave: 5000-001-001

5.21 desarrollador: es aquella persona que tienen acceso a la infraestructura o servicios

5.23 diskette: dispositivo de almacenamiento basado en un disco magntico de pequeas

5.24 disponibilidad: es uno de los servicios de seguridad en la informacin, encaminado a

5.28 generador de contraseas: es un dispositivo fsico que permite fabricar cdigos

5.31 Instituto: Instituto Mexicano del Seguro Social

5.32 internet: conjunto de redes de computadoras y equipos fsicamente unidos a travs

Pgina 6 de 31 Clave: 5000-001-001

5.36 mensajera instantnea: son aplicaciones o software que permite comunicarse, o

5.39 protector de pantalla: se trata de un programa que se ejecuta automticamente

- Para evitar que el recubrimiento fosforescente del monitor se marque como

5.40 rebobinamiento: se refiere a la accin de regresar una cinta magntica, a un punto

5.41 seguridad informtica: es el conjunto de normas, polticas, procedimientos,

Pgina 7 de 31 Clave: 5000-001-001

5.45 sistema operativo: es el software encargado de ejercer el control y coordinar el uso

5.51 virus informtico: es un programa informtico que se ejecuta en la computadora sin

5.52 web: es la informacin contenida en pginas y portales de Internet.

5.53 WAN: red de cmputo que se encuentra distribuida en un rea geogrfica

Pgina 8 de 31 Clave: 5000-001-001

6.1 Constitucin Poltica de los Estados Unidos Mexicanos, vigente aplicable.

6.2 Ley Federal de Procedimiento Administrativo, vigente aplicable.

6.3 Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental,

6.4 Ley del Seguro Social, vigente aplicable.

6.5 Ley Federal de Derechos de Autor, vigente aplicable.

6.6 Ley Federal de Responsabilidades Administrativas de los Servidores Pblicos, vigente

6.7 Ley de Planeacin, vigente aplicable.

6.9 Cdigo Federal de Procedimientos Penales, vigente aplicable.

6.10 Cdigo Penal Federal, vigente aplicable.

6.11 Cdigo de Procedimientos Penales para el Distrito Federal, vigente aplicable.

6.12 Cdigo Civil Federal, vigente aplicable.

6.13 Cdigo Federal de Procedimientos Civiles, vigente aplicable.

6.14 Reglamento de Organizacin Interna del IMSS, vigente aplicable.

6.15 Cdigo de Comercio, vigente aplicable.

6.16 Lineamientos Generales para la clasificacin y desclasificacin de la informacin de

Pgina 9 de 31 Clave: 5000-001-001

7.1 De carcter general

7.1.1 Las disposiciones contenidas en la presente norma son de observancia general y

7.1.2 La autorizacin, difusin e implantacin del presente documento ser responsabilidad

7.1.3 La Divisin de Coordinaciones Delegaciones de Informtica ser la encargada de la

7.1.5 Todas los rganos Superiores, Normativos, Colegiados, de Operacin Administrativa

Pgina 10 de 31 Clave: 5000-001-001

7.1.9 La Divisin de Seguridad Informtica en conjunto con las Divisiones dependientes de