Professional Documents
Culture Documents
INDICE
1 Objetivo ........................................................................................................................... 3
2 mbito de aplicacin ....................................................................................................... 3
3 Sujetos de la norma ........................................................................................................ 3
4 Responsables de la aplicacin de la norma.................................................................... 3
5 Definiciones..................................................................................................................... 4
6 Documentos de referencia .............................................................................................. 9
7 Disposiciones ................................................................................................................ 10
7.1 De carcter general............................................................................................. 10
7.2 Para el uso de la infraestructura y servicios informticos ................................... 12
7.3 Para la informacin que se almacena, procesa y transmite por medios
electrnicos. ........................................................................................................ 18
7.4 De la administracin de infraestructura y servicios informticos......................... 21
7.5 Para el desarrollo y liberacin de sistemas......................................................... 29
Con fundamento en lo dispuesto en los artculos 5 y 81D, fracciones I y II, del Reglamento de
Organizacin Interna del Instituto Mexicano del Seguro Social, publicado en el Diario Oficial
de la Federacin el 11 de noviembre de 1998, reformado segn decretos publicados en el
Diario Oficial de la Federacin el 13 de octubre de 1999, 17 de diciembre de 2001 y 19 de
junio de 2003, as como el numeral 7.6.1 de la Norma que Establece las Disposiciones para
la Elaboracin, Autorizacin e Implantacin de Normas en el Instituto Mexicano del Seguro
Social, aprobada mediante Acuerdo 54/2003 por el Consejo Tcnico del propio Instituto en
sesin celebrada el 19 de febrero de 2003, se expide la siguiente:
1 Objetivo
Esta Norma define las disposiciones mnimas a las que debern ajustarse los usuarios y
administradores en el uso, administracin, desarrollo y mantenimiento de la Infraestructura y
servicios informticos del Instituto Mexicano del Seguro Social.
2 mbito de aplicacin
3 Sujetos de la norma
5 Definiciones
5.3 amenazas: es una condicin causada por una mala configuracin o instalaciones
realizadas con opciones por omisin, que permite explotar vulnerabilidades de una
entidad atentando contra las propiedades de confidencialidad, disponibilidad e
integridad de la informacin.
5.4 anlisis de protocolos: software que permite conocer los paquetes que conforman la
informacin durante los procesos de comunicacin, procesamiento o manipulacin de
datos, mediante la separacin de estas partes.
5.5 antivirus: software especializado diseado para detectar, eliminar y prevenir virus
informticos en los dispositivos de la red Institucional.
5.6 aplicaciones institucionales: son todos los sistemas desarrollados por personal
interno y externo para automatizar los procesos operativos del Instituto Mexicano del
Seguro Social.
5.9 cadenas: son mensajes enviados a travs del servicio de correo electrnico que se
caracterizan por solicitar dentro del cuerpo del mismo ser enviados a cierta cantidad
de personas, con el fin de obtener algo a cambio.
5.11 configuracin de red: son los valores asignados y las opciones habilitadas para la
operacin de la tarjeta de red de un equipo de cmputo dentro de la red del Instituto
Mexicano del Seguro Social.
5.13 correo electrnico: son el grupo de tecnologas encaminadas a dar un servicio que
agiliza y facilita el intercambio de mensajes, documentos e informacin.
5.14 cuenta: es el identificador nico y personal que est asociado a un usuario, mismo
que en conjunto con una contrasea permite el acceso a recursos o servicios
institucionales.
5.15 contrasea: son una serie de caracteres que en conjunto con una cuenta (nombre de
usuario) permiten el acceso a los recursos o servicios institucionales, misma que debe
ser difcil de generar por todas las personas a excepcin del dueo de la cuenta.
5.18 cartucho: sistema de almacenamiento que incluye una cinta magntica sin fin, lo que
le permite mayor velocidad que las cintas magnticas tradicionales y la posibilidad de
ser manejado por un sistema automatizado que no requiera la intervencin de un
operador.
5.22 dial-up: acceso remoto comnmente usado para Internet utilizando un MODEM y una
lnea telefnica.
5.25 extensin: es el sufijo, o nombre adicional que se le da a un archivo tal como .XXX,
el cual caracteriza el formato por el que se genera, donde .XXX representa un
numero limitado de caracteres alfanumricos dependiendo del sistema operativo,
normalmente tiene tres caracteres pero esto es susceptible de variacin.
5.26 firmware: parte del software de una computadora que no puede modificarse por
encontrarse en la ROM o memoria de slo lectura, Read Only Memory, es una
mezcla o hbrido entre el hardware y el software, es decir tiene parte fsica y una parte
de programacin consistente en programas internos implementados en memorias no
voltiles.
5.27 firewall: es el dispositivo fsico que permite crear una barrera entre la red interna y red
externa, permitiendo el acceso entre las redes de acuerdo a las polticas de seguridad
definidas en su configuracin.
5.29 hardware: son los componentes fsicos que conforman un equipo de cmputo.
5.30 infraestructura: son todos los componentes que soportan los servicios informticos
institucionales.
5.33 integridad: es uno de los servicios de seguridad que establece, que la informacin
durante su procesamiento, manipulacin o transmisin, no sea modificada en
contenido, de manera que conserve su originalidad.
5.34 lista de control de acceso: es una lista donde se asignan permisos de acceso a los
archivos y directorios por usuario.
5.35 mesa de ayuda: es el nico punto de contacto encargado de recibir todas aquellas
incidencias de usuarios relacionados con problemas recurrentes, el objetivo de esta
mesa de ayuda es darle lo ms pronto posible solucin a los usuarios, mediante la
escalacin del problema a el rea correspondiente.
5.37 macros: son todos aquellos programas que se ejecutan dentro de otros programas
como word o excel para automatizar tareas, su uso elimina la realizacin de tareas
repetitivas, automatizndolas, bsicamente, se trata de un grupo de comandos de una
aplicacin, organizados segn un determinado juego de instrucciones y cuya ejecucin
puede ser solicitada una sola vez para realizar la funcin que se desea.
5.38 perifricos: son todos los dispositivos que estn conectados fsicamente a la
computadora.
5.42 servicios: son todas las aplicaciones que estn soportadas en la infraestructura
institucional y que agilizan y automatizan las actividades diarias de los usuarios.
5.43 software: son todas aquellas aplicaciones o programas instalados en una PC.
5.44 soporte tcnico local: se refiere a la ayuda tcnica que pueden tener los usuarios
dentro de su rea de trabajo en relacin con la distribucin geogrfica, central,
Delegacional o Subdelegacional.
5.46 software de escaneo: es la aplicacin que permite conocer los puertos o servicios
disponibles en los dispositivos de la red.
5.47 tarjeta inteligente: mdulo de memoria del tamao de una tarjeta de crdito en el cual
es posible almacenar informacin para autenticacin de usuarios.
5.48 usuarios: son todas aquellas personas que tienen acceso a la infraestructura o
servicios Institucionales de manera autorizada.
5.49 usuario interno: es todo usuario que se encuentra adscrito al Instituto Mexicano del
Seguro Social.
5.50 usuario externo: es todo usuario que no se encuentra adscrito al Instituto Mexicano
del Seguro Social.
6 Documentos de referencia
6.8 Nuevo Cdigo Penal para el Distrito Federal en materia de Fuero Comn y para toda
la Repblica en materia de Fuero Federal, vigente aplicable.
7 Disposiciones
7.1.4 El Instituto Mexicano del Seguro Social a travs de las Direcciones Normativas,
Coordinaciones Generales y Unidades es el propietario de la informacin que se almacena,
procesa y transmite dentro del Instituto.
7.1.6 El representante de seguridad designado por cada una de las coordinaciones de nivel
central, y las jefaturas de oficina a nivel delegacional del Instituto Mexicano del Seguro
Social, tendr la funcin de verificar que cada uno de los integrantes de su rea de trabajo
instalen las actualizaciones de seguridad, as como la ejecucin de las actividades
notificadas, en caso de un evento de seguridad.
7.1.7 Los intentos (exitosos o fallidos) para ganar acceso no autorizado a los sistemas e
infraestructura, servicios o datos del Instituto Mexicano del Seguro Social, revelacin no
autorizada de su informacin, interrupcin o denegacin no autorizada de sus servicios, el
uso no autorizado de los sistemas e infraestructura para procesar, almacenar o transmitir
datos, cambios a las caractersticas de sus sistemas de hardware, firmware o software sin
conocimiento y respectiva autorizacin por parte de los administradores del mismo o
cualquier otra actividad que afecte a los intereses del Instituto, ser sancionada con la
aplicacin de la reglamentacin vigente dentro del Instituto Mexicano del Seguro Social y la
legislacin vigente aplicable, como lo es la Ley Federal de Responsabilidades de los
Servidores Pblicos; sin que ello implique limitacin alguna de la aplicacin de cualquier
ordenamiento que sancione tales conductas y conllevar a la aplicacin de las sanciones
disciplinaras respectivas, adems de las consecuencias de ndole legal aplicables.
7.1.8 Las violaciones a estas disposiciones podrn ser causa de la revocacin de los
privilegios de uso del acceso a los servicios e infraestructura de cmputo del Instituto
Mexicano del Seguro Social, segn lo determine la Direccin de Innovacin y Desarrollo
Tecnolgico y de las acciones disciplinarias que establezcan los rganos responsables. El
uso inapropiado del servicio conllevar a la aplicacin de las sanciones disciplinarias
respectivas, adems de las consecuencias de ndole legal aplicables.
7.2.1.1 Los usuarios deben utilizar los equipos de cmputo, perifricos y el software
que tengan instalado, slo para el desarrollo de las actividades institucionales que le fueron
conferidas, relacionadas con el desempeo de su empleo, cargo o comisin, de acuerdo a
sta norma.
7.2.1.2 Los usuarios no deben fumar, tomar bebidas o ingerir alimentos en las reas
donde se encuentren instalados los equipos de cmputo y/o perifricos de acuerdo a la
norma de seguridad e higiene en el trabajo.
7.2.1.3 Los usuarios no deben causar daos o destruccin a los equipos de cmputo
y/o sus perifricos, aquellos que sean sorprendidos en un hecho de ste tipo sern
sancionados conforme a la legislacin vigente aplicable.
7.2.1.4 Los usuarios deben apagar los equipos de cmputo y/o perifricos, cuando
stos no se encuentren en operacin, excepto aquellos de los cuales se justifique su
operacin continua.
7.2.1.5 Los usuarios no deben alterar o daar los identificadores de los equipos de
cmputo y/o sus perifricos. Por lo tanto es su responsabilidad preservar su buen estado.
7.2.1.6 Los usuarios deben verificar que su equipo de cmputo se encuentra instalado
al menos con las siguientes condiciones:
- Estar conectado a la corriente regulada, cuando se cuente con este servicio.
- Estar soportado en una superficie slida y firme.
- Los cables de energa o datos no estn siendo presionados por objetos pesados.
7.2.1.9 Los usuarios no deben alterar la configuracin de red que les fue asignada al
momento de la instalacin de su equipo.
7.2.1.10 Los usuarios deben verificar que su equipo de cmputo tenga configurada la
contrasea de encendido.
7.2.1.11 Los usuarios deben verificar que su equipo de cmputo tenga configurado el
protector de pantalla con contrasea, con la finalidad de evitar el acceso no autorizado a su
informacin en caso de retiro temporal.
7.2.1.12 Los usuarios deben asegurase de utilizar y mantener cerradas las chapas de
seguridad de los equipos de cmputo que cuenten con las mismas.
7.2.1.14 Los usuarios de forma peridica (semestral, mensual, quincenal) deben realizar
copias de seguridad de la informacin crtica que almacenen en su equipo.
7.2.1.15 El extravo o robo de equipo de cmputo y/o perifricos deben ser reportados
de forma inmediata al rea administrativa correspondiente, para que se realicen las gestiones
pertinentes.
7.2.1.16 Los usuarios que requieran conectarse a la red Institucional utilizando equipo de
cmputo de escritorio o porttil propio o Institucional, debern asegurarse de que ste se
encuentre libre de virus informticos y con la totalidad y ms recientes actualizaciones
recomendados por el fabricante, antes de integrarse a la red del Instituto Mexicano del
Seguro Social.
7.2.1.17 Los usuarios que acceden a la red a travs de medios inalmbricos debern
asegurarse de que la comunicacin establecida est cifrada de acuerdo a los estndares de
seguridad definidos por el Instituto Mexicano del Seguro Social.
7.2.2.1 Los usuarios deben acudir a la Mesa de Ayuda o al personal de soporte tcnico
local cuando:
- Se presenten problemas en los equipos de cmputo y/o perifricos asignados,
software instalado o en los servicios que le son proporcionados.
- Requieran capacitacin o tengan inquietudes sobre el correcto uso de los recursos
y/o servicios autorizados.
- Requieran capacitacin o apoyo en la implementacin de las disposiciones para el
aseguramiento de su entorno de trabajo.
- Sospechen que su equipo se encuentra infectado por algn virus informtico.
Pgina 13 de 31 Clave: 5000-001-001
NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE
SEGURIDAD INFORMTICA EN EL INSTITUTO MEXICANO DEL
SEGURO SOCIAL
7.2.2.2 Los servicios de correo electrnico y mensajera instantnea slo debe ser
utilizado para los propsitos de comunicacin de asuntos relativos al Instituto Mexicano del
Seguro Social.
7.2.2.4 Los usuarios deben tener las siguientes precauciones al enviar archivos
adjuntos a travs del servicio de correo electrnico o mensajera instantnea:
7.2.2.6 El correo electrnico de dudosa procedencia debe ser manejado por los
usuarios con precaucin, es necesaria su eliminacin sin ser ledo y no debe ser respondido.
7.2.2.10 El servicio Web slo debe ser usado con el propsito de comunicacin o
consulta de asuntos relativos al Instituto Mexicano del Seguro Social.
7.2.2.11 Los usuarios del servicio Web deben adoptar absoluta seriedad en el manejo de
informacin Confidencial o Reservada, por lo que no debern publicar o distribuir algn tipo
de software con licencia o cualquier tipo de informacin clasificada como Confidencial o
Reservados propiedad del Instituto Mexicano del Seguro Social.
7.2.2.12 El servicio Web debe ser usado sin interferir con el rendimiento laboral del
personal y sin degradar el rendimiento o desempeo de los recursos de acceso al servicio.
7.2.2.13 El usuario debe dar cumplimiento a todas las recomendaciones que le sean
proporcionadas por el Instituto Mexicano del Seguro Social a travs de la Direccin de
Innovacin y Desarrollo Tecnolgico para elevar el nivel de seguridad en el uso del servicio
Web.
7.2.3.2 Los usuarios deben cambiar su contrasea por una nueva en el primer acceso
despus de ser otorgada.
7.2.3.4 Los usuarios deben evitar la repeticin de contraseas al efectuar los cambios
peridicos de las mismas.
7.2.3.5 Los usuarios deben cambiar su contrasea en caso de sospechar que alguien
ms la conoce.
7.2.4.1 Los usuarios deben utilizar nicamente el software para el cual tengan
autorizacin del Instituto Mexicano del Seguro Social y le sea asignado para el desarrollo de
sus funciones.
7.2.4.2 Los usuarios no deben prestar el software propiedad del Instituto Mexicano del
Seguro Social para que ste sea copiado, o copiar software que sea pedido en calidad de
prstamo.
7.2.4.4 Los usuarios deben verificar que su equipo de cmputo tenga instalado el
antivirus institucional, mismo que debe estar habilitado permanentemente, en caso contrario
lo debern notificar a la Mesa de Ayuda.
7.2.4.5 Los usuarios deben verificar que los archivos obtenidos de manera externa a
travs de cualquier medio, as fuera de una fuente confiable, estn libres de virus
informticos antes de ser almacenados o procesados en su equipo de cmputo.
7.2.4.6 Los usuarios deben informar a la brevedad al rea emisora, a la Mesa de Ayuda
o al personal de soporte tcnico local para que se tomen las medidas pertinentes, en los
casos en los cuales se determine que un archivo recibido se encuentre infectado por virus
informticos.
7.2.4.7 Los usuarios no deben abrir archivos que contengan macros, doble extensin o
extensiones poco convencionales, an cuando sean de fuentes confiables, con excepcin de
aquellos archivos con macroinstrucciones que hayan sido desarrollados por los
administradores, usuarios o desarrolladores, para la adecuada ejecucin de sus funciones.
7.3.1.3 Las actividades de los usuarios finales estn limitadas de acuerdo al perfil y el
nivel de consulta que le sea autorizada por el responsable.
- El perfil es la serie de actividades que un tipo de usuario final podr realizar dentro
de un sistema de informacin.
- El nivel de consulta es la cantidad y el tipo de informacin a la cual el usuario final
tendr acceso.
7.3.1.4 Los responsables de la informacin deben determinar los perfiles y los niveles
de consulta sobre la informacin que sern asignados a los usuarios finales.
- Implantar los mecanismos de control para el acceso a los datos en funcin del nivel
de exposicin y revelacin de los mismos, de acuerdo al grado de criticidad.
- Verificar la integridad de los sistemas en produccin.
- Cumplir con todas las polticas, normas, procedimientos y estndares de seguridad
aplicables.
7.3.2.7 Las reas depositarias debern utilizar los siguientes cdigos de color para
identificar los medios de almacenamiento de informacin, de acuerdo con su clasificacin:
Clasificacin Color
Confidencial Amarilla
Reservada Rojo
7.3.2.8 Los datos clasificados como Confidenciales o Reservados debern tener fechas
programadas de eliminacin y deber destruirse la identificacin del medio y cualquier marca
de uso, esto en estricto apego a la normatividad vigente aplicable.
7.4.2 Respaldos
7.4.2.2 Los administradores deben mantener los controles necesarios para conocer el
estado de cada copia de respaldo y su ubicacin.
7.4.2.3 Los administradores deben realizar un respaldo total del sistema, antes de
efectuar cualquier actualizacin del mismo.
7.4.2.5 Los administradores deben mantener una copia de los sistemas (aplicativo,
parmetros de configuracin, versiones de software, etc.) anterior a la versin actual.
7.4.2.9 Los administradores deben generar dos copias de los respaldos y almacenarlos
en inmuebles diferentes.
7.4.2.10 Las solicitudes de restauracin deben ser por escrito y contener al menos:
autorizacin del dueo de la informacin, nombre del sistema del cual se desea recuperar la
informacin, ruta de recuperacin y seccin que desea recuperar.
7.4.2.12 Los administradores deben realizar pruebas peridicas para verificar que los
medios de almacenamiento no han sido deteriorados, como son lecturas, rebobinamiento y
copia a otro medio, cada dos aos, de cintas que tienen un ciclo muy largo de retencin,
verificando la siguiente informacin:
- Archivos de seguridad.
- Bibliotecas de programas.
- Archivos de datos.
7.4.4.8 Las cuentas con privilegios especiales sobre el sistema (por ejemplo: root en
Unix, Administrator en Windows NT) sern de uso restringido, slo para casos de
emergencia y para actividades relacionadas con seguridad (administracin de normas de
seguridad, definicin de relaciones de confianza, administracin de registros de auditoria y de
seguridad, administracin de cuentas y grupos de usuarios, actualizacin del sistema
operativo).
7.4.4.10 Todo usuario deber tener definido desde su creacin el ambiente de trabajo y
ste no deber ser modificado por l mismo.
7.4.4.16 La bitcora de auditoria slo podr ser accedida por la cuenta de administracin
y por las cuentas que se creen para revisiones por parte de la Divisin de Seguridad
Informtica.
7.4.4.18 El acceso a los puntos de red deber estar vigilado por la seguridad propia de
cada edificio institucional y el acceso a los nodos nicamente se permitir al personal del
proveedor de servicios, quien deber presentar una identificacin oficial de la empresa al
momento de realizar el trabajo, previamente autorizado por personal del Instituto Mexicano
del Seguro Social encargado de la funcin.
7.4.4.25 Se deber notificar a los usuarios de equipos PCs, cuales son sus
responsabilidades para lo cual deben firmar el conocimiento de las disposiciones, el
inventario de software instalado en su equipo y el conocimiento de la Ley Federal de
Derechos de Autor.
7.4.4.26 Se deber asignar a los equipos del usuario un nombre que identifique de
manera rpida al responsable del equipo y su ubicacin, de acuerdo a la nomenclatura que le
har llegar la Divisin de Seguridad Informtica.
7.4.5.2 El administrador debe establecer el perfil y nivel del usuario antes de asignarle
una cuenta.
7.4.5.7 El administrador debe eliminar cualquier cuenta de usuario que no se utilice por
un perodo de 120 das, si no hay causa justificada.
7.4.5.8 El administrador debe eliminar cualquier cuenta de usuarios del cual le sea
notificado el cambio de situacin laboral o baja definitiva del Instituto Mexicano del Seguro
Social.
7.4.5.10 Las contraseas no deben ser mostradas en pantalla mientras son tecleadas, ni
deben viajar por la red sin ser cifradas.
7.4.5.11 Las contraseas deben tener una longitud mnima de 6 caracteres y una
mxima de 8.
7.4.6.2 El administrador del correo electrnico debe facilitar a los usuarios el cambio
de contrasea cuando stos lo estimen conveniente.
7.5.1 Funcionalidad
- Deben residir los directorios que contengan archivos de datos, bases de datos,
programas ejecutables o compilados, distribuidos por sistemas o aplicaciones en
produccin.
- Debe contener un directorio de Objetos Ejecutables el cual contendr todos los
objetos ejecutables, que corresponden con programas fuentes debidamente
autorizados y de acuerdo con las normas sobre desarrollo de aplicaciones.
- Debe contener un directorio de datos de aplicacin el cual contendr los archivos
fsicos, bases de datos y las vistas lgicas asociadas y utilizadas por cada
aplicacin.
Transitorios