You are on page 1of 62
1sen20%8 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina 6 SSECRETARIA DE GABINETE V COORDINACION ADMINISTRATIVA SUBSECRETARIA DE TECNOLOGHAS DE GESTION OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION Disposicién 1/2015 Be. as, 19/2/2015 ‘isto el Expediente CUDAP: EXP-IGM: 0030261/2014 dl Registro dela JEFATURA DE GABINETE DE MINISTROS, e Decreto N° 378 cel 27 6 abr de 2005, ie bocsin ncminstrativa No 669 ce 20 de Gclambore de 200%, ls Rescucin N* 45 el 24 de june de 2008 dela entonces SUBSECRETARUA DE LA GESTION PUBLICA la Duposciin Ne 6 del Be agceto de 2005 y BopoaicGn Ne 3 del 27 de agosto de 2013 del OFICINA DE TECNOLOGIAS DF INFORVACION, ¥ consivexanoe (ue el oscreto N° 372/2005 aprobé los Lineamientos Estratdgces que deberdn gir el Pan Naconal de Goberno Electrdnco los Planes Sectarlales de ‘Sic Etnies de OMIMITRACTON PUBLICA NACIONAL aC romaver el emp ery corha eb ern de {ue ls Dac Acminsratva N® 69/2006 gels JEFRTURA DE GABINETE DE MINISTROS establel en su arteul 1° que os organamos del Sector Pico Nacional comprendgos en artculo 7 da a cada madce deberan citar ban acecuar sus policas de saguridad de le ormacion conforme ala Pola = Seguridad Modelo» ctarae dere del laze de CIENTO OCHENTA (160) dos de aprabada dich Poles de Segue Modelo. ue artcuo 8° oe Ia menconaca decién administrative, facué al entonces sefor SUBSECRETARIO DE LA GESTION PUBLICA de fe JEFRTURA DE ASINETE DE MINiSTROS a aprobar la Potica de Seguridad Model ya lca les norras adaratslasy camplementarias cela ada rmecida, pudiende ha Butera delegate el DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION las focutodesaluleas ue consecoentement con alo, el artiul 2° de Is Resohucén N° 45/2005 da Is entonces SUSSECRETARIA OE LA GESTION PUBLICA hoy SECRETARIA OF ERBINETE ¥ COORDINACION ABMINISTRATIVA oo JEFATURA OE GABINETE DE MINIGTROS facts al sehor DIRECTOR NACIONAL def GFICINA NACIONAL “Plt de Seguridad des iormacién Madelo”y tar ls normes aceratoras ¥ complementaras que reuere la aplcacén de le Decsisn AdminisvalNe Ne 665/2008 {ue Is Disposien N* 20/2008 de fs OFICINA NACIONAL OE TECNOLOGIAS DE INFORMACION de fs entoncas SUBSECRETARIA DE GESTION PUBLICA dela SEFATURA DE GABINETE DE MDMISTHOS en su arti 1" aprob6 Ia "Poltca de Seguraac dela Inlormacon Medela”ofdenada po la Decsian Adminisuatve I> €69/2004, que srs como base paral elaboracn del reepecivs pleas» ictarse por cada orgeismoaleaneedo port toda noma, {Que Ib Disposictin N* 2/2013 de [a OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION do SUBSECRETARIA DE TECNOLOGIAS DE GESTION de fa SECRETARIA DE GABINETE Y COORDINACION ADMINISTRATIVA ce fb JEFATURA DE GABINETE DE MINISTROS en su artzulo 1° apr Ib "Pltca de Seguridad do a ivorrnacidn Modelo" que reempagd acualzd le msmos ies la que fusra aprobaca por Dispsian ONT Ne 6/2008, Que atento a incremento en caniked y varindad de amenazes y vaherabildades que rodean 9 ls ectvos de informacin, la Polica de Seguridad Model™ portunamenteaprobada requiere sr awalaga a fn de mantener su wigencia¥ nivel de eee usa ra lari por prt eas rani de acs ce seus oo sent pre grata I seu de lnormacn, a ue perme ue silo a través de la efctva implementacién de las medidas contempladas en cchas peltcas se podrd proteger acebatamente Ins recursos de Invomnacén ce los egansres como asi tambien ls tecnologia ullaga par su procesement {ue a presente medi se dt en ejerccl de ns ocutadesconferges por lac 1° del Resolusn N* 45/2005 del entonces SUBSECRETARIA DE LA SesTidy PUBLICA actual SECRETARIA DE GABINETE ¥ COORDINACION AOMINISTRATIVA dela JEFATURA DE GABINETE DE MINISTROS, FL OIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGIAS OF INFORMACION saricuto 1 — Ans I olin ge Sega de Inoracn Model’ gut ratmaia os mimes thes pases oor Dsposcn ONTTN* anvicuto 2° — insriyase a ts argansmos del Sector Albi Nacional comprenddos en el aticle 7° de la Decién Administratva N° 69/2004 de la SETATURA DE GAGINETE DE MINISTROS, a islrnentar los medidas adopladas en sus respectvas poiscas de seguridad de la lnformacin Santa del lazo de CIENTO OCHENTA (180) sles de publcod I presente. ‘anticuto 3° — comuniquese, publquese, dase 2 fa DIRECCIGN NACIONAL DEL REGISTRO OFICIAL y archivese. ~ PEDRO JANICES, Director Nacional Oneina Nacional de Tecnalopas de Informe, Politica Modele de Seguridad de a nformaciin 1. ntodueion 1.2 £Qué es segurdad def intormacén? 1.5 Evahucin dels esgos de segurised 1.6 Seleccén de controls hitpservcios nfoleg.gobainfolegnternet’anexos!240000-244998/242859inorma.htm 1162 15272018 INOLEG - Ministerio de Economia y Finanzas Piblicas - Argentina 1.7 kcéma emperor? sa Factores cies de ito 2. Términos y Deiniiones 2. Seguridad dela intormactén 2.2 Evalunciin de lesges 2.2 Tatamlente de Respes 2.3 Gestin de Rigo 24 Com de Seguridad dels Ivormacion 2.5 Responsable de Seguridad de la Informaciin 2.6 Ineidente de Seguridad 2.7 Res90 2.9 Wulperabiiad 2. Estructura dels pltica Modelo 4. Evatuaciin y watamiente de nespos 4.1 Eveline de os reagos de segura 4.2 Tratamiento de ass de segura 5. clusula: Police de Segurided de la thformacn 5.1 Categoria: Poltica de Sepurcad de a informacén 5.1.1 Contra: Documenta de la potica de seourdad cee wformacéa 51.2 Contra: Revit dela pola de seguridad de a nformacién 6. Clisula: Orpanizaciin 16.3 Corpora: Organizacin inten 6.11 Control: Compromise de Is crecién con I seguridad dela informactin 16.1.2 Control: Coorinacidn de a seguridad de la iformacién 16.2.3 Control: Asgnacdn de resonsablicages de a segunced ce informacion 16.14 Control: Autrzacén para instalacones de Precesamlento de Informaciin 16.15 Control Aeverdos de confidencitidad 16.1.6 Control: Contacte con otro organisms 16.1.7 Controls Contacto con grupos de interés especie! 6.48 Control: Revit independiente def seguridad dela nformaciin 16.2 Categoria: Dispestivas méviles y wabaj remote 16.221 Control Oispostivos Méules 16.2.2 Control: Tabao Remoto 7. cus: RecureaeHamenos 7. Categoria: Antes dl eres 7.4.3 Contra: Funciones y respansbiaades 17.42 Corral: Investigactn de antecedentes 7.1.3 Contra: Términos y condones de contatacsa 17.2 Categoria: rant clompleo 7.2. Convo: Responsasiidad dea dreccién 7.2.2 Contra: Concientzacén formacién y capacacén en seguridad de a informciin 7.2.3 Control: Proceso alzcipinario 7.3 Categoria: Case del empleo cambio de puesto de trabajo 7.3 Contra: Responsabiéad dal case 0 cambio 7:32 Control: Devolucén de actives 7.3. Control: Retiro de fs derechos de acceso 8. Ciusula: Gettin de Actives hitpservcios nfoleg.gobainfolegnternet’anexos!240000-244998/242859inorma.htm 2182 15272018 INOLEG - Ministerio de Economia y Finanzas Piblicas - Argentina 81 Categoria: Responsabliéa sobre os actvos 13.2 Contra: Propiedad de los sctivos 8.1.3 Contra: Uso acepable ce ls actives 1.2 Categoria: Clsieacin del ivormacién 8.2. Control: Dacrces de casfcacén 5.22 Conral:Eiqueta y manipulae dea inormacén 1.3 Categoria: Gestion de medias 2.3.1 Control: Adminstracin da MadosInorméticoe Removiblas 18.3.2 Control Eliminacén de Mesos de Informacisn 8.3.3 Control: Segurided de los Medios en Teénsito 9, Clivala: Gastin de Accesos 9.1 Categoria: Requerimentos para fa Gosbin de Acceso 9.2.1 Control Polica de Gestion de Accesos 19.1.2 Control Relas de Gestin de Acceso 9.2 Catepoia: Administra de Gest de Usuarios 19.2: Control: Regetraién de Usuarios 9.22 Control: Gestén de Prvielos 9.248 Control: Administracén de Contras Critcas 19.2.5 Control: Revisin da Derechos de Acceso de Usuarios 9.3 Categoria: Responsblidedes del Usuaro 9.3.1 Control: Uso de Contrasehes 19.4 Cotegora: Contral de Acceso a Sistemas y Aseacones 94.1 Control: Pltica de Ulzacién ce los Servis de Ree 19.4.3 Control: Autenteacén 6e Usvarios para Conesones Externas 9.44 Control: Autantcaién Noda 9.4.5 Control Preteen de los Puerto (Ports) de Disandsten Remote 9.4.6 Control: Subdivsin de Reges 9.4.7 Control Aceso Internet ‘94 Control: Cones 2 Ree 19.4.0 Control: Seguridad los Servicios de Red 19.5 Categoria: Control de Acceso al sistema Operatvo 9.5.1 Control eentfealén Automatica de Terminates 95.2 Control: Procedimentos ce Conexiin de Terminates 19.5.3 Control dentineaion y Autentiescin de los Usuarios ‘9.514 Control Sistema de Adminitracén ¢e Contraseias 10, clausula: Critogratia 10.1 Categoria: Cumplimiento e Requisitos Legals 10.1.1 Control: Folica de Ubzacén de Controle Criptogrsies 10.1.2 Control: rade 10.1.3 Contra: Firme Digtal 10.4.4 Control: Senos de No Reputio 10.15 Control Proton de claves crptoorScos 10.1.6 Convo: Proteccén de Claves clptogréieas: Nermas yprocecientos 13, Chur: Fistea y Ambiental 11. Categoria: Areas Seguras hitpservcios jnfoleg.gobainfolegnternet’anexos!240000-244998/242859inorma.htm 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina 13.14 Control: Porimeto de seguridad fico 14.1.2 Control Contes cos de entraca 15.1.3 Control: Seguridad de ofcnas, despacho,instalacones 11.14 conor: Protocién contre amenazas extemasy de orgen amblentl 15.15 Control Tabolo en dros seguras 11.16 Control: Areas e acceso pen, de carga y éescarga 11.2 Categora: Segui dels equpos 11.24 Control: emolbzamiont y proteciin de quizes 13.2.3 Control: Soguride del cableade 14.24 Control: Manterimiants de os equipes 11.25 Control: Seguride de os equios uere de las intalacones 11.26 Control: Ratllzacén o ratio sgure de equipos 14.2.7 Control: Ratrage de materiales propiedad del organima 13.28 Control: Police de Pantalos Lmpios 11.2.9 contol: Poticas de Esertones Umpos 12, Cltsula: Sepurcas en as Operacionss 12.1 Categoria: Procesiments y Respensablldades operatvas 12.1.4 Control: Documentacin dels Procedimiantoe Operatives 12.1.2 Control: Cambios ens Operacones 12.1.3 Control: Plniicaion ce a Capacicas 12.14 Control: Separaciin de entoos de desarrollo, prubas y operaciones 12.2 Cateporia:Proteclén contra el malware (Saige maliciso) 12.2.1 Control: Cont eantra el malware (éelgo melcoss) 12.22 Control Cédigo MB 123 Categoria: Resguardo (backup) 12.3.1 Control: Resquardo dels Informacién 124 Categoria: Registro y Monoreo 12.6. Control: Registro de eventos 12.4.2 control: Protoccén del registro de informacion 12.4.3 Convo: Registro del Administradory del Operador 12.4 Control: Sincrnzacin de Reloes 125 Categoria: Control de Software Opeacional 12.5.1 Control: Insalcin de sofware en sistemas operaconsles 126 Categoria: hamiistracien de vulnerabiidadestéenicas 12.6: Control: Adminisiracién de vunerobldades creas 12.62 Control: Retecones en la nstalaiin de sotare 12.7 Cetegera: Consideracones sobre le ours de los sistemas de informacss 12,7. Control: Conzles de autora de los sstemas de informacién 13, clauula: Gestion de Comunicacones 13.1 Cotegora: Gestén de a Red 13.1.1 Control: Redes 13.1.2 Control: Segurided de Servicio de rad 13.2 Categoria: ransferenca ¢e nformaciin 13.2: Control: rocedimientosy controle de interambio de a informacisn 13.22 Control Aeverdos de Intercambio de Infommacién 132.3 contol: Seguridad de a Mensaje 13.24 Control: Aeverdos de confidencildad 14, Cliusula Acguisicldn, desarrollo y manteniminto de slstemas hitpservcios jnfoleg.gobainfolegnternet’anexos!240000-244998/242859inorma.htm 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina 14.1 Categoria: Reqverimientos de Squridad do ls Sistas 14.1.1 Convol: Andis y Especfieacones de los Requeimients de seguridad 14.1.2 Control: Sogurided de servicios aplatvos en radespiblcas 14.13 conor: Protccén de services de apeatvos 14.2 Cotegoras Segui on ls Sstoes de Aplceisa 14.2: Control: Validacn ge Datos de Entroca 14.2.3 Control: Autentcacbn ce Menssies 14.24 Control: Valdacn de Datos de Sades 14.3 Coteporias Segura dels Archivos del Sistema 14.3.1 contol: Sotware Operative 14.3.3 Control: Cambios a Oates Operatvos 14.24 Control: Aceso a las Btecas de Programas fuentes 14.4 Cotegoras Segue del Procesoe de Desaroll y Soporte 14.4.4 Control: rocedmianto 6 Contol de Cambios 14.42 Control: Revibn Técnica de los Comblos en el sisters Operative 14.43 Control: Rastecén del Cambio de Paquetes de Software 14.44 Control Canales Qclos yCédigo Mecano 14.45 Control: Desarlo Externe de Software 145 Categoria: Gastién de vulerabdades terieas 14.5.1 Control: Wulneabiisacesténicas 15, Clasula: Relacones con Provendores 15.1 Cetegorias Segre dea informacidn en as releiones con el proveedor 15.14 Control: Potica de seguridad de la iformacién paras relacones con el proveedor 15.12 Control: Aborer la seguridad dentro dels acueraos el proveedor 15.1.3 Control Cadena de suminstro de tecologias oe ln informacin y comunicacones 15.2 Categoria: Aamiistracén ae prestacén de services de proveedores 15.2: Control: Supervisiin y Revisiin de los servicios del proveedor 15.2.2 Control: Gestén ge cambios aos servicios dl proveedor 16. closul estin de Incidents de Seguridad 16.1 Cetepora: Informe de los eventos ycebildades de a seguridad dela informaciin 16.1.4 Control: Reporte de los eventos dels saguriaa de norman 16.1.2 Control: Reporte de Ins deileades do eguread 16.1.3 Control: Comunicacin de Anomalias del Software 16.2 Categoria: Gestion de os Ineidentes y meoras dela seguridad de a inforacién 16.2.1 Control: Respansabldades y procecmlentos 16.2.2 Control: Aprencienda patr d los incidentes de la seguridad de a informecisn 16.2.3 Control: ProcesosDisepnaros 17. Clusula: Gestion da Coninuicns 17 Categoria: Gestén de coninvidad del Organism 17.1.4 Control: rocesa de Aaminstracén def continudad del Organiemo 17.4.2 Control: Contnuided de las Actividedesy Andis dels impactor 17.13 contro: tlaboracén ¢implementacidn ces sanes de contnuldad de as Actividades del Organise 17.4.4 Control Marc pr ls Planifcacén de le Contiided de as Actividades del Organisrna 17.15 Control Ensayo, Mantenimientoy Resvaluacén defo Panes de contnvidad del Organise 17.2 Categoria: Reaundoncas 17.24 Control: Disponbllae dels instlaclones de procesamieno def Iformacién 18, clausula: Cumplimento hitpservcios nfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 15272018 INfOLEG - Ministerio de Economia y Finanzas Piblicas 18.1 Categoria: Cumplimiento e RoquisitosLopales 18.1.4 Control: idenicacin dela Legisacén Apticable 18.1.2 Control: Derechos de Propledad intelectual 18.1.3 Control: Protacin dels Reistos del Organise 18.1. Control: Protein de Datos y Priv de Is nformacibn Persona 18.15 Control revercén del Uso Inadecuado de los Recursos de Procesamiento de Informacén 18.1.6 Convo: Regulaclén de Controle para el Uso de Crptograta 18.1,7 Control: Reesleclin de Evidenc 18.1.8 Control: Detostntoméicos 18.2 CeteporasRevsiones de la Polisca de Seguridedy le Compatibiided Técnica 18.2.1 Control: Cumplmlent dea Poltca de Seguridad 18.2.2 Control: Verifcacn del Compatibiided Téerica 18.3 Categoria: Consiaracones da Aucaris de Sistemas 18.3.2 Control: Protecén de los Elements Usizacos por la Audora de Stems 18.33 Control Sancones Previstas por Incumplimenta 1. ntrodveiin Argentina En dcemre de 2004, fs DA N® 69/2006 ge Ia Jefatura de Gaainete de Minstrosestableclé a oblgatoredad para los orpaniemos del Sater Publica Nacional {comprendges en es inceos 8) yc) del arculo@ dela Ley Ne 24.158 y aus modeatonas) ce + Dictar una poles 6e Seguridad de i Ievormacién conforms i Politica de Seguridad Modelo, o adecuar sus Poicas 6 Seguridad conforme al Modelo Sorobadon + Contormar un Comité de Seguridad en ls Informacién + Designar un eordndor dl Comité de Seguride de Is Informacién + Establecer las furclones dal Comité de Seguridad de la Informaci, fn 2005 mediante Io Disposicida N° 6/2005 de te Oficina Nacional de Tecnoogies de Iformacién se sprucée la primera “Poiice de Segurided de le Informacién Modelo" yen mayo del 2014 se proceds 9 eazar a acuaizacion de aqcl Modelo, en bare alas actunlzacanes strides por b norma ISO/IEC 27002 versién 2013 la ncorberacion ce famas como los que se mencionan a cone macs: Las aspects dave de este acualzaci son Funcementles + Comaromisoy apoyo dei drecién de a organzacién + Defrcén clara de un alance apropied. + Conclantizaciény frmacién dl personal. + Eveluoin de esgoe exhaustive yadecuade orgonzacén + Compromiso de mejora contra + Establecimiante de paleas y nomas. + Organizciony comunicacién + Actuazaclén de contrles, Inu dels elbusate 9 domino + cristogatia + Seguridad en as Operaciones Factores eticos 60 dito + La concintzacién del empleade por sogurcad, Principal objetivo 9 coneegu + Reatzacin de comités de areccdn can descubrimento continuo de no conformicaces 0 aclones de mejor + Creacién de un sistema de gestiin de inidentes que recnje notfieacones contnuas por parte los usuarios (los Inidentes de seguridad deben ser Feporacesy aalzade). + La segureae absolutano ext, 52 Wate de reduce esgo 2 nveesasumiies. + La seguricad noes un producto, es un proceso. + La seguread noes un proyecto, es una actwae contina ya programa de pretecin requlere el soporte de a organzacén para tener éxito, + La segureae dene ser inerente a es proesos de infrmacén y dela organizes, resgos hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina ‘Temor ante cambio: resistencia dels personas. + Discrepancias an los comnts ce ceccién + Delegacén de toss as responsbildades en departamento tenens +N asumi que a soguriad def informacin es nhereta ales procesos lb orpanizactén + Planes de Formac y corcantizaibn inacecuaces. + Defircén poco clare del aeance. + Excaso de meaidas ténicas en derimento de a formacin,concens2acisn y medldas 6 tpo crganizatvo. ‘Falta de comunicacin de os progress a personal dels organizcin. 52 hace saber que queda expresamente prohibico el uso para fines comerciales del presente cocumente, Asimsmo, las personas autorzadas para usar la “Polis Modelo" pedrén copia, modcaayreprocuclatncamante para aquelos hnes 8 os cuales até gestnada 1 presente modelo pace sufir modificaciones future, de acuerdo a Ins novedades ae se ragstren en Ia materie que trata, la eles sarén debidomente Spfobadasy comuncadas. La presente Plea de Seguridad dela Informacén se dca en cumplimenta de las deposciones legals vgentes, con el objeto de gestion adecuadarnente Ts Segurdae de vermacén, los sistemas nvormasens vel abintetecnolgca del Orpanisro, Debe ser canacida y cumpda por toda a planta de personal del Organisme, tanto se trate Ge funconaias palticas como tSeneas, ys4a cual fure Suniel Jevsrauico yu stuacon de rei, 1.2 £qué es segurad def informacén? La nformacisn es un active gue, come otos actives importantes, es esencaly en conseeuenca necesita Se protalde adecuadamente La informacion puede existe on muchas forms, Puede estar impress 0 esta en un papel, alnoconace electrénicamente,transmiida por corre 9 vtlzando ‘medes electronieas, mostada en peleuls 0 nabaga en una corwersocion. Cualqulera gue Sea b forma que tome ia informacdn, 9 media por el ual 53 tmacenada ocomporuca, siempre deblere star apropiadamente protege. La seguridad de Is informacsn esa proteccén de In infrmscin de un range ampli de amenazes para poder asegurar In continues del negocio, minimis sl nase dela operaion la cperaion normal cel organism 1a seguridad de la iformacién se wore implementanda un adecuado conjunto de conlrces; cluyenda polticas, proceses, pocadimienos, estructuras Btgonizoconales y funclones de sofware y hardware. Se neceston establcs, implementa matitoreay, revisar y mejor estos cotroles condo seo Recover pars asegurar que se cumple los objetves Ge seguridad y comers especnens. Esto se bles realizar en eonjuneén con otros procesos de {eston dal organism. 1.3 dor qu neceseton La iformacién¥ fs proceso, sistemas y redes de apoyo son actives importantes, Osis, lara, mantener y mejorar Ia seguridad de Io Inormacién puede {er erencl para mantener ova shea en operacén ce fs actividades cel organism, ooeerar Tegal Imagen Las organzecones y sus sistemas y redes de informacion enfentan amenszae de seguridad de un amplo rango de fuentes; incuyendo Maude por ‘amputador, expanse, sabotae, vondslamo, fuego. snundacén. Laz eausss Je dato come. cSige moles, prsto computarzade 9 staques, Se ‘Senegacén servo se hacen cada ‘vez mds comure, is ambicosas y cada vee mas sofsteacas. a seguridad de la nformacién es importante tanta para nageias cel sector pibiea came privade, y para proteper ls infaestructuras erica. En ambos ‘tetra a seguridad de [a iformarian neinaré Eomo un feiitedar; por ejemplo pars logra e-ganerne 0 enegotia, para ava" o Fed los hesgos ‘eleventes, Lr interconexion de reds poblensy prvades yf ieercamblo de Auentes de nfrmacén Inerementan la eukae ce Ingrar un eantol del acces [tendenci » h computacén dstibuca también ha seoaco hk sfecevdea de un contol cenvaly especaad. Muchos sistemas de infrmacén 90 han sido distiados pare ser seguro. La segurides que se putde lograr através de madis tances es lnitada, y biera ‘er apoyada por la gesisny los procecimientas sdecuodos.idettiear gu contralesestadlcerreqiere de Un ploneamien cidadosoy prestarstenesn @ lor detalles. Cn gertion de I seghrid ae ln informeisn requere, come minimo, ly poripacn de ls iferenes grips deiner, praveesres, erceroa, lentes u aioe grupos exterros, También se puede requerrasesoria especial de organzacores oxtemas 1.4 Requarimiantos de sepurigaa ‘odo comienzo con isetifear lor requerimlentoe de segurdad. Exsten tres fentes principals de reqvermlentos de seguridad, Une fuente s2 ceri de {valu lo reagos para ln organizacion, tomando en cuenta la scrategia gone yl Sbosvos cel orpansmo, Aras de a eau dl eg, se entan is amereras pra los acon se eae needa y le probate ecuren ys eel ‘va fuente son tos requerimientos tepals, reguadores,estanutares y contractual que tlenen que soistacer una erganacén, sus secos comerciales, ‘onlaisasy roveadoras de servico;y su ambantesococulura ‘tre fuente es et canjunto particule de prncios, objeto y reqerimietos uncanales par el procesamlent de lt informacién que una organizecién hi ‘esarrellad para sostaner sus operaciones, 1.5 Evatacia ae ls asgos ce seguisas Los requerimientos de segurgad se identfian mediante une cvaliacin metédca de fs respos de seguridad, El gasto en controls debera ser equlirad con el eafooperacoral probable resurace de falas en la sepuncad. Los reuladoe de ts evalunciin del ago ayudordn a guar y determinar la actin de gestion aproiada y las priotades para manear Ine cesgos de {segurdod ce ls inlrmacén, «implement los controle sleccondcon pars protegerse contra eros eos. {a evatacin da rosgo se deblera rpetrpentalcament pare tratarcualuler camble que podria Infulr an os resutados ce evaialén dal reso. ‘Se puede encontrar més infrmackn del evalua de os iagos de seguridad en i elhusula 41 “Evalindo ios egos del seguridad” 1.6 Seleccén de controls na ver que se han identifica fos requeriiantos los iesgs de segura y se nan toma las ceislones paral tratamiento dels Hes905, se debieen {sleconar los contol apopias y se dblerenimplementar pore esegura ue los eags se reduzcan a un hivelacestabl La seleccén da os controls de seguridad depende dels decisiones erganizacionalesbasadas enol crtero de aceptain del espe, opcones da tratamiento Gel viesg y el evfogue general pra la gestion dl resge apleade © W otganzadn, y también debiaran star suetas 2 todas los Fegulcones lala hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 782 15272018 INOLEG - Ministerio de Economia y Finanzas Piblicas - Argentina rnaconaes ¢ interaconales eplcble. 1.7 kcéme empezar? ‘Se pueden consserar un nimero de contrles came un buen punto de ini pata la implementasSo de la Seguridad de te iformaciSn. Estos se basan en Teaerimionts legaesssencales 9 pueden se cniseados coma ano practes comin para la seguridad del nfrmecn. us controesconsideracos come esendales para una orgarzacén desde el punto de vista leglsatveIncuyen, dependlendo de a laislcin apcable 2) protectin de datos y jvecdad de la iformeclin person, ») proteccénée es reaistos organizacinales, £6 aerechos de propiedad intelectual. Ls controes consideracos,prictica comin par a segura def informacén, Incuyen: 2) documento de a potia de sepurcad de a informacin ) asgnscén de resporsabildeds del seguridad dels informacin; © conocimiete,educeciény capactacén an seguridad de la informacion ©) procetsmianto correct en nt apeaione ©) aos def vlnerabied técnica; 1 gstin de ta continu opereconal 49) gestién de los incdentesy majoras del seguridad del informacén Estos controle se apean ala mayora de as orgarzaconesy en la mayrla dels escanarios. ‘Se debiersnotor que aunque fs controles en esta pollen son importantes y debleran ser consierados, se debe determinar Is relevance de cuslquer “ontrol fl de le esgoeespecficss que enfent la organizactan,Porla tanto, nave el enfoque abs menconado es cansderads ‘amo un buen punto {elnce, no reemplaza la selecion de controle basada en la evalusién dal ere 1. Factores chicos de dito La experencia na demostrado que los stulentesfactores con frecuenca son erteos para una exoss implementacién dela seguridad de la informacién ‘enero de una organtacin 2) pale, objotivosy setwaades de segura de informacibn que rlljan ls objetivos del argos ) un enfoque y marco refereneal para implementar, mantener, montorear y mejear Ia seguridad dela Infrmacén que sea consistent con fa cura Stganuaciona «soporte wile y compromise de todos los nveles de gestin; {21 un duen entencimieneo ce les requermlents ce seguridad dela Informacién, evalucin dl nesge ygestién del respo; 1) comunicacin efectiva dela seguridad dela ntormacn can todos os directors, empleades y otras partes para og 1) eisbucién de Uneamventos sobre la politica y los estndares de sequniéad de Ia Informacién para todos ls directores, empleados y ots pares Involucadas; 2) provsdn para el franciamiante de las actividades de gestisn de le Segurides de a informacin; 1 Brovee lconocimiento,capacacén yeeucacén apopiados 1 establecer un proceso de gestin de incites de Seguridad de la informacisn; 2) implementacén de un ssems de medicén que ae tlza para evalua el desempefo en a estén de la seguridad dels infrmacién yretroakmentacén de Sugorencias para el mejoramines 2, Theminos y Detniones 23 Seguridad dels Informacisn La seguridad deta iformacién se enande como la preservacién de as sauientescarateristias: CConfisenciadoc: se garontiza que I informacién ss accesible sSb a aqulias personas autorizaes 9 tener oeeso a a misma. Ineagridod: se salvapuarca la exacttud y totaicac 6 la nformaci y los métados de pracesamient Disponibitasd: se garantiza que lot us jos outrizados tengan acceso a la iformacién y a ls recursos relacionados con Is misme, toda ver que lo ‘Aatclonalmants,deben coniderarse los conceptos de Autentiedes: buses asegura a vader de Is nformaciin en emp, forma y dstibucén. Asimimo, se garetia el eigen de a infrmacén,validando el fmsor pare evar splastctn de idemodes, ‘Audtabiicad: define que todos los events de un sistema deben poser ser reglstrados para su contrat posterior Protecsién a a duplceiin: consiete en asogurar que une transocsén silo se realza une ver, # menos aue fe expectique lo contravia. Impl qe £6 grabe tna transacidn para logo rprodverie, con el objeto ce simular mulples peticenes del mismo ramtente or inal No rapudo: se rater aevtar que una enidad que haya envadoo racbid nfomacin alegus ane tereros que no la ens rac Legale: referdo al cumptmiento de las yes, norms, reglamentaones 9 ssposcones a las que ests suet ol Orgone. ‘Confiniidad de la Iformacién: es dec, que la Informacién generada sea acecuada para sustentar la toma de decsonesy la ejecucén de las misones y ‘los efectos de una correcta Interpetacén de ln presente Plt, 5 realzan las siguientes defines: Informacién: Se retire toda comunicadin orepresantacin de conocmiento come datzs, en cualquier forma, cn incusén de formas textuates, numerias, hitpservcios jnfoleg.gobainfolegnternet’anexos!240000-244998/242859inorma.htm 8i62 15272018 INOLEG - Ministerio de Economia y Finanzas Piblicas - Argentina gris, eartgréfieas,naraivas 0 audivisuales,y en cualquier medi, ye Sea magnético, en papel, en pantllas de cmputaras, audiovsual u oro Sistema de Inormacién. Se reflre a un conjurto indapendente de rcutsos de informacén organizades paral recoplacién,procesamiente, mantenimiente, ‘ransmiién y dlusen de informacn segun detarminades procecnlenos, tanto autamatzades cme Manuals ‘Tecnologia de la Iformeciin: Se ffir al hardware y sofware operados por el Organism © peru tercero que precese informacién en su nombre, pare levara abo una funcien propia del Organise, sin tener en cuenta Ta teenelogia Uolzada, va se wate Ge computacén ee Gatos elecommunicacones W oto the. Propleate de eiformecién:Detine # a persona responsable de la Itegide, conden ody dgpenbidad de una cera iformectén 2.2 Evaluacibn de Rlesaos Se entience por evaluacén de riesgos ala evluacSn de las amenarasy vuherbildades relat 2a inlormalény 2 ls Istalacones de procesemiente de Ib smo, la prososidad de que oeurany su patenclimpcta es b apeators del Organme. 2.2 Tatamienta de Respos Proce de seleccidn e implementacin de medias pera modest esgo 2.3 Gesén de Riesgos -Actvidadas coornadas para rig y controlar una erganizacin en lo que conciame a iago NOTA. La gestén de riesgos unvamente incaye la evsluscin de ergo, el tratamiento de ress, la aeptacén de riesgos yl comuricacn de esses 24 Comé de Seguridad de la Ivormacién 1 Comité de Segurcas dels nformecién, es un aerpointegrado or repretentates de todas bs Sreossustantvas cel Organismo, destined gorantiar el Spey manifesta oe los autondader 9 hyn Go sagodod 2.5 Responsable de Segudad de a Informaciin sla persona que cumple te furcén de supervisar el cumpimiento de bs presente Pla y de asesorar en materia de Sequiéaé de le iformacién a los Integrantes del Grvaniemo que aso requeran, 2.6 incident de Sequidad Un incdente de seguridad ex un evento adverse en un sistema de computadorss, © red de computadores, que puede comprometer o compromete ts ‘onfdencaldad, integra y/o Ssoniitaa ef iormacén, Pusde ser eaveado rmeciante fa explotacin de alguna vunerbiieag oun Inteto © amenaza ‘Geromper los mecangmos ge seguridad exstntes 2.7 Resg0 ‘combinacién dela protabad de ocurrencia de un evento y us consacuencias «impacto Una causa potencal de un nciéent no desoado, el eval puede ocasonar dais aun sistema v organizain, 2.9 Vulnerabiiad Una debiidad de un active © grupo de acivs que puede ser aprovechads por una amensza. 2.20 control Meco para gestinar el isgo,induyende polices, procedimintos, direcrces, prbtiaso esruturesorgaizaconses, las cuales putden sr de naturale emis, tenes, ce gestion, o egal NOTA. Control es también utiizado come sinnimo de salvaguarga 9 de cntramecda 3. Estructura de le pltica Mocelo ste modelo que se vide en dos pares, guardalasguente estructura + Cuatro capt intrecuctrios, can ts téminas gunerales ye etablecimianto de a Evian y el Tratamiento dels esgos, + Cotorce elsuslas que abarcan los eferentes aspacos © dominios dea seguridad dela nfarmscn. Se presentan de mane 2 mronyOwtricens capitsos Poliieade humane ~ Seguridad Srotense agg g Sdgnacie & FT egoremeeets gE ice jaecamareee corer aieieceeee ‘Stee inert stems sectebema ada edusulacontene un nimera de eategoias 0 grupa de conrles de Seguridad sriaciples. Las catorce clauslas (acompafadas por al nimero de ‘stegoies de seguridad principales includes dentro decade lsu) so hitpservcios nfoleg.gobainfolegnternet/anexos!240000-244998/242859inorma.htm si62 15272018 INOLEG - Ministerio de Economia y Finanzas Péblicas Argentina Pole do Soquridad (2); organizactén (2); Recursos Humanos (3); ces de Actus (3) Gestln de Acceso (5); Ccrptomata (2); SeguricesFscay Ambiental (2); Seguridad de Iss Operaciones (7); ‘Sequricas de as Comunicaciones (2) AdqusciSn, Oesarolay Mantenimiente de Sistema (8); Aelaciones con rovesdores (2; Gest de Incidents de seguridad de la ieformacién (2); {estin del Contnutad (2); Ccumptinient (3) Por cimo, por cada categor, se etablce un objetivo y coniene uno o mis controle a realizar. [Amode de sintess se enuncia a continuacin la estructura de cada cldusua Ctbusta 2 dominio 1. Ganeraigaces 2 objetivos 3 Akance “+ Responsabiidades 5: Potties categories + objeto cconrcles Las catorce ddusulas 0 dominios sn ctbusulse 1. Pltea de seguridad 2. Orgenizacén 4. Gostn de actos 5, Gestén ge Accesos 6. Cptograia 7. Seguridad Fiske y Ambiental 8 Segurdad de las operaciones 9, Seguridad de las comuniacones 10, Auli, desaroloy mentanimiento de sistemas 12, Gostén de Incientos de seguridad Ia nformacién 13, Gestin de continided 14, Compliments 4. Evaluacién y watamiento de respos Gonerticaces ‘odo Organlama ss encuentra expueste a neapos en materia de segurcad def infermacén. No este la sepurided completa, 20r aque es necesale conocer uals el mape de leagos a ual Se etrenta el organisa y tamer acclonestendantes minima’ los poses fects Acpatves de lo materolzadan de ‘ics dagen 5 por ello que resuka imprscindilegestionar los niesgos dl Orgnisme, come pir funcamental pars la gostién ce sequnid, onjetvo ‘Conacer os ress alos que se expone el Orgasms en materia de seguriéad def Informacién, “Generar infrmacn de uiida paral toma de decisones en materia de contoles de seguridad. hitpservcios nfoleg.gobainfolegnternet’anexos!240000-244998/242859inorma.htm 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina Aleonce sta Pollca se aplca a toda la informacién adminstrada en el Organism, cualquiera sea el soprte en que se encuentra Rexponsebiae Comité de Seguridad dela Informacisn sordresponsabte de que se gestionen ls resgos de sequncad de la Iformactén, brncande su apoyo para el ‘esarrlo de leno proceso y su mantenento el emp. Responsable de Seguridad de i Informacién junto con los Ttulares de Unidades Orgaizatvas seré responsable del desorole del proceso de gestiin de rsgos de sepuncad e fs informacidn, otis 4.3 Evaliacién de bs rlesgos de seguridad £1 organsme evalua sus espos identiicindoles, cantiicindets yprloraandoles en func dels eteros de aceptadién de resposy de los objetves da ‘ontalfelevaes paral mismo, Los resulledos guarény determina la spropiada aczén cela deci y Ios praidades para gestioer los Fesgos de {seguridad dela normacéy pare Is mplementacdn e cotrlesselocconados para prategerse contra estas esa. Se debe fect la evaluaciin de sesaoe perdcicamente, para trata cn fs cambios en los requermientos de saguidaéy en las stuacones de resp, por ‘Jomplo: cambios producldos en actives, emenezes, wuherabliaces, impacts, valoacon de lesgos. Asim, se debe eecuar la evluaccn cadaver ue Sturn cambios sgnficalves. Es convenente gut esas svaluacones de resges se leven a cabo de una manare metsdiea caper de produc ress comparables y reproducbles. 1 alcance de una evatuaciin de lasas puede inclu a todo al Oroanisme, una sare, un sistema de lnformacién particular, companentes espectices ce un ‘istama,o servicios, Renta "eomendablesaguir una metodloga de evaliacon Gevicagos para Hever a cabo el praca. 4.2 Tratamiento de rasgos de segura ‘antes de considera el tratamiento da un sesgo, et Organism debe dec los cites para determiners! ls rasgas pueden, 0 no, ser aceptadas. Los fiagos pueden ser acaptados al por sjemplor se evalué Que el Neago es bajo que el costo del ataminto no ex econdrscamente viele pare la Srgaizaién. Tales deciionesdeven ser lomades por bs eutordades y debidaments documenta. ara cada une da les riasgs idenbtcados durant a evaluacén de riesges, se necesta tomar una deisén para su tratamiento, Las posbles oplones para el tratamiento de esgoe nctyen 2) Mitger los rlesgor mediante le apleacén de conroles spropados para reduc fs nesgos; ») Aceptar tos resges de manera objetvay corscente, siempre y cuando dstossatsfaganclraments le pola y ls crtanes de aceptacién de riesges del Organism ‘var ls esgoe limnando las acslones que dan origen # Is ocurenca de eos; 4 Taster los resgosasocados a tras partes interesadas, por ejemplo: compatlas ce seguro o proveedores. Pars aqueliosriesgos donde la destin he sido le miigacén, se buscerd red lo sesgos un nivel acepable mediante Is implementaién de canoes, fener en cuenta fe siglente 2) requerimentosvresteciones de legstconesy requlalones nacional internacionales; ») abjetvarergonizaconses; © requermientos yresrecones operatives; 4) costo de implementacén y operaién en relcn directa 8 ls resgosreducldos, y proporcanales als requermientes yrestricones del Orgnisme) ©) Ia necesiad de equllorar as iversones en ln implemertacién y operacion dels controle contra al daa que podria resukar dels falas de sequnicd, Las controls implementar pueden ser selcconades del contenido de as liusulas de esta potica, 0 se pueden establacer nuevos contoes ara saistacer eeeidades eapecticn el Organimo. Fs neceario Feconocer que algunos contrles pueden no ser opleables a toca Sisto de informacion © & su bribe, poetan nose" apleables en todo lor Organimor. Se dabe recordar que ningin conjunto de contoles puede alcanzar 1a seguridad absoluta. Los conteles implementades deben ser evaluades permanentemente para que pusdan ser majorados en elcaniayefetvded 5. Clusul: Politica de Seguridad de a Informaciin La nformscién op un recurso que, come elresta de os activo Hane valor prs el Organise y por ensigulente debe ser debidementeprotesis Las Policas de Seguridad de la Iformacién protegen ala misma de una ampla gama de amenazas, a fn de garentzar la coninldad de los sistemas de Infrmacén y de a operacion del Organism, minimizar os sgos Ge dae y aosgurar el ficants cumpimints de os objtves del Organs, Es importante que ls rin pos de la Politica de Seguridad sean parte de acuta organizacional ars esto, se debe asequrar un compramiso manitesto de los miinas Autoricedes del Organism y de los tures de Unidades Organizatvas are fa ‘suse, donsaciény cumplimiento ea presente Pals objetivo Protagar los recursos de informacién dal Organism y la tecnlela utizaca para su procesamlento, frente 2 amenazas intrmas o externas, detberadas © ‘ccdenteles, con el finde asogurer el cumphinenta ela contaancialiga, lsprdee, Gaponibidad,igaldad y conaifded det inormacsn Asegurar Io implomentacén de las medidas de seguridad comprendcas en esta Politica, lMenticance los recursos y las paricas presopuestariss ‘Correspandientes, sin qe ello plque neceariaments la slgnacén de paredes adiconale, Mantene a Politica de Seguridad del Oraansme actualzada, a efectos de asegu su vigenlay nivel de ecacia hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 11182 15272018 INOLEG - Ministerio de Economia y Finanzas Piblicas - Argentina Aleonce ta plas oa to lito del Organs, 2 ss reais y Ista de os process, Sean Iterosoexterus vine aa ene & Responsabiicas ‘Todos los Directoves Nacionales 0 Generales, Gerentes o equivalents, thulares de Unidades Orgaizativas, tanta se wate de autoidacespolticas 0 personal {epics y S00 uel fuer su nivel Jersrauiea son resparaabls de lo mplementocén de sla Pollen de Segurded dele INformactn dent de sus Sraae Je responses, as! com sel cumplmiento de lena Pali por parte de equ de abe. La Poica de Segurdad de Ia Intrmacién es de aleacinobigateria para toc el personal del Organisme, cualuera cea su stuacin de ravi, el dra = fa ‘alse encionte afecada ycusiques ua el nivel delat areas que deueripeh Las maxima autordaes del Orgarismo aprucban esta Poca y son responsable dea autorizacibn de sus modeaciones, 1 Comité de Seguridad de a tnformacién dl Organism, + proceed» revisar proponer ala maxima autora del Organism pars su sprebacén le Plties de Seguridad dels Informaci y ls furcones generals ‘ctmateria de sepuncnd ce nformacn, + montarearé cambios signiicativos en os lasgas que afectan alos recursos de norman frente alas amenazas mas importantes; + tomar consents y superiors Is investigacin y montore de ls inedentes elatvo aa segura + aprobard las principales iniiatvas para incrementar la segundse dela iformacién, de acuerdo alas competencls yresponsabildadesasignacas a cada {ree asi come acordardy aprobard metadalogasy procesasespedins relatives a Sepurcea e i informacisn, + garentizad que Ia segurcad se parte dal proceso de oloificacién de fn nformacén; evalua y coordinar In implementacén de controls especicos de Sepurdad ce fa ntermacén para nuevos sistemas o services; + promaverd a situs y apoyo a la seguridad de Ia iformacién dento del Organise y coordina a proceso de admintacin de la continuidad de las ‘sethidades del Organs. sc ste spur frmason Oran, Dear none deen o> agate sge srs moss saa al eee 7 £1 Coordinador del Comte Seguridad de lo Infrmacin srs esponsable de + eoordnar as acclones del Comnté de Segurcad cea Informacisn y de ‘ impulsr ls inplementacin y curnplimiento dela presente Potties. 1 Responsable de Seguridad dela Informacion: + cumple uncones relatvas # le seguridad de ns sstemas de infrmacidn del Organism, lo eualinckiya a supervsin de todos ls aspctas inerentes & ios temas tratador on ln presente Potien. ls Prpletanes cela informacén y Propetares de actvos son responsable do + asicar a nfrmacién de acuerdo can al grado de sensbded y erica de ls mime, + documentary mantener actalizada la casicacénefecuaea, + define qué usuarios deben tener permis de acceso @ le infrmadén de acuerdo @ sus unciones ycompetenda fe Responsable del Area de Recursos Humanos 6 quien dosempefe esas funcones,cumpli la funn de: + notiear a todo al personal que ingresa de sus oblgaiones respecto del cumplimento de a Pollca de Seguridad dele Informacliny de todas las norms, procediwentesypraccae que de ala san, + Asiiemo, tends 9 su crgo lo noticaciin de fp presente Polca »t0G0 el personal, de ls cambios que en ella se prosuzcan, I implementsciin def ‘Suserbat de los Compromisos ce Contienclaldad (entre otros) y ls tares ce capactacés coninua an materia de Sepurcad £1 Responsable del Area Tnfrmtica cumple I ured de cub los recurimiantos de seguridad informa etablcdos pare la opereién, administraién y omunicacion fs sistemas y recrses de tenologia del Orgarisme, Por ora parte tener Tuncén de efecuar ls tareas de desorrll y marterimiento Ge mstomes, sigulendo una metoccogia de clo de wda de sstemas aproplada,¥ que contomple la incusion de medidas e seguridad an les sistas focasas foes, 1 Responsable del Area Legal» ursca vericark el camplinianto de le presente Politica en la gestisn de todos los conratos,ceverds u etre documentaciin {el Organsmo eon los emplnados yen cago Ge #xatin con los terror. Azmismo, asasorars an meters legal sl Organise, an io que se rofere Ia Seguridad cela inormacen Las usuarios de be informacén y de ls sistemas utizados para su procesamients son respansables de conocer, dara conocer, cumple y hace cum la Poltis de Segurded dele Informacéawgents a Unidad de Auceora Interna, o en su defeco quen sea propueto por ol Comité de Seguridad de fa Infermacién es responsable de pracicaraudzorias peidcleas sobre los sstames ¥ acldadas Vneuladas con lo tacrolgla de infotmacis, debtenco ifermar sabre el cumple de as esecicadones feaides de seguizad dele ivormacion esableidas por esta Policy poles hormes, proceaimlento y Praclcas que de ella srjn (Ver Clusula 18 Complmient), 5.1 Categoria: Palica de Seguridad del iformacén objetivo Propercnar a la Oiecién Superior Ia dreccén y soporte nar le Seguriced de la informacién en concerdanc con los requerinientas y 1s byes y reguaconesrelevantes. La gerenc sebeestblocer clramente la direccan ea polica en nes con los objetvos 5.11 Contra: Documente dela poli de sepunéad ce a infermacén documento de a plea debe ser aprobado por el Comité de Seguridad, publcadey comuniade a tades os empleadosy les partes externas elevantes. sta Poltca se conforma de una serie de pauas sobre aspectosespecfcos de la Seguridad del iormacén, que inluyen ls siguientes tépeos hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 12182 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina ‘rgonzacén deb Segurided ‘rientado a seministrar la seguridac ¢e la nformacibn dentro del Organism y establecer un marco gerancl para controlar su implementacié, Getiin de Actives Desorago a mantener una adecuada proteccén de los actvos dl Organism. ‘Orientado reduc los iesg0s de errr humana, comisén ee lltos contre el Organise 9 us inadecusde de instalacones Fisica y Ambiental Destnado a impediracesos no outorzados, dofiose ntecerencs als sedes informecibn del Orgonitm. “Gest ce las Comunicaciones y la Operacones Dirge a gorantizarefunconamiento correct y segura de les instalaiones de procesamianto del infarmacisn y mative de comunicacn Gast ge Accesos ‘Oriente 2 controlar acceso gic 2 a iformacié, [Adquisicén. Desaroley Mantenimiento eos Sistemas Covent a garanzar fa incorporalin de madisas de sepuridae en loe sistemas de informacén desde au acgulsclin, deseo y/o implemertacin y LGestibn de Inegentes de sud ‘rientado a aerinistrar todos ls eventos que atentan contra a contcercaldag,nteoridd yalspnibildad de a iformactén y ls actives tacnlipens ‘Gestiin de Continvidad ‘rientado a contrarestr ls interrupciones dels actidadesy proteper los procesos citns da los efectos ce falas slgnfcatas odesasres, ‘cumptinients| Destrago a impadir infraccones y volaciones de las lees del derecho ev y pera; de las cbgacones establctas por lees, estatuts, norms, Feolamenteso cntates y dels raquistes ce sundae ‘finde asogurr la iplementaciSn de Is medidas de seguried comprendidos en esta Polls, ol Organism denticas os recursos neceseros ndieard ‘ermalmente las parties presupuestaras correspondents, como anexo ala presente Poltica. Lo exprerado anterorments no Implcorsnecesarisments Is _asignacen de paricassresupuestarasasiconale, La mdse dl Organs aprbar orale a Pata la cori toss os empleads, means Resporsale el rea de Reisos 5.1.2 Contra: Ravisin dea poltea de seguridad dela nformacién La polica de seguridad dela informacén cede tener un dicho, responsable de as athidades de desarai,evaluacén y rein del pal la actividad de revisién debe inl las oportunicades de mejores, en respuesta 3 los cambies, entre otros: orgarzacenales, normativos, legates, de terceres,tecnoligis. Las mejoras tends en cuenta deen quedar regsradasy tener ls sprebactones de fs responsabes Comte de Seguridad de Ia Informacién debe revisara a intervals planeades y prever el tratamiento Ge caso dels cambios no plancades, 3 efectos de Asimisma sfectuors tose macificacén que ses necesare en fUncdn a poses cambios que pueden elector su defini, com ser, cambios tecrolics, ‘ariocgn de lor conte de lor consi, mpc dolor indenter de regurida, te 6. Cliusula: Organzacén Generalcaces a presente Poltica de Seguricadestablece la administracibn de la Segurcac dela Iformacién, como parte fundamental de ls obetives y actwiaces del Grgontmo. Por elo, se defn formamente un Ambo de gestién para efecuartareas tales como a aprobactéin dela Plt a coordnacin desu Implementacin y Ia {signaclén de urconesy rsponsebitdades Asmisme, se contenplaré la neces de esponer de fuentes con canacimientay experimentadas pers ol esesormiento, caoperacén y colaborscién en ‘materia de seguridad df Informacion, or cto tado debe tanarse en cuenta que cetas actividades del Organism pueden requerr que tercers accedan 8 Informacén interna, o len puede ser ecesore a tererzacsn de certesfunconesrelacorades con el procesamsnto de I iMarmaciin. En estos csos se eanstuerer que lo informecién pusde Donerse on renga l acceso do sions tereeor se produce en el marco de une edecuods adminstacan de a seguridad, por lo que se etabecarsn lz free adocuadas para ib pretoecin ge formacs, onjetvo [Administrarla sequicad cela informacion dentro del Organism y establcer un marco gerencal para Inlary controlar su implementacén, asi come para la ‘lsibucion de funclonesy vesponcabiidades. Fomentar lo consu y coperaedn con Orgenismas expecaizadas pre le obtenciSn de areca en meters de seguridad de la iformecién hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 13962 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina “Gorantzor a apliacén de medidas de seguridad adeoueds en ls ecesae de terceroe@ I nformacin dl Organism. Aleonce ta Politica se epic a todos los recursos del Orgaiame y a todes aus relaciones con terceres que implquen el acceso 8 sus dates, recursos y/o # lt saministractin y contra de sus sistemas de informe. Responsabiicas 1 Coordnador del Com ce Seguridad de le infrmacién srs el esponsable de impulo Ie implementocién de la presente Plea Comité de Seguridad de la Informacién tended a cargo al mantorimiants In presertacén para la aprobacién de Ia present Polica, ante [a méxina ‘utoraae cel eranisme, el sejumianta de ecuereo alas incumbencias propas ce cada arcade las actividades relates sla segurdad de ls informactan (andiats de reagan, morterea de Incgentes, supervain de investigation, mplementain Ge controls, administraian dela continudad, impulsin proceso de concentra, etc} la propesién se asignacén ce funiones. Responsable de Seguridad cela informacén asst al personal del Orgarismo en materia de seguridad de fa irformacién y coornars [a interacién con ‘Organsmos especalados. Asimismo, Junto con Ws propstafes de la Ivormacén, analiza el resgo de los accaves de teceros la informacion del ‘Orgarsmo yveicaré le opleacén de las mecides de seguridad necasarias poe lo protein del misma Los Respansables de las Undades Orsanizatwas compin la funciin de autorzar Ia ncorporaciin de nuevos recursos de pracesamiento de nformacin 2 Iss ‘rene de su incumberl, La Unidad de Austria Interne 0 an su defacto quien sea propuesta ar a Comité de Sepurdad dela Informed seré responsable de relzar revisiones Independentes sobre lo wigencia yal crmpimenta se hs presente Plea 1 Responsable del Ares de Adminstracén cumpié la funeén ge Inchir en los contretos con provesores ge services de tecnologia ¥ euaauer otro Sr Siguriod ce informacn yd tose armas, pracedmiansey pica emcnagne, n=" ® ¥meoneed cel campiiento dea rca Responsable del Area Jurca paréciaré en dicha tare ‘Asimismo,noliearé los proveedres sobre as macacones quest eect 2 I Pallic de Sepurises del Infrmacén del Organise. pottica 16.1 Categoria: Organzacén ntema objetivo Manefar le Sequrac de i nformacén dento del organism. ‘Se debe establecer un marco referencal gerencal © poles, per ilar y controler la implmentacn de seguridad de Ia informacion dentro del 1a orreccén debe apobar la poltica de Sepurdad ce la informaci,asignar les roles Ge Sepurcaay coordinary revisar la implementacén def segura en {ao elegans, {6.301 Controls Compromiso def Sscén con In seguridad de a inforclin 1a drecelén debe apoyar ia seguridad de 1a lnfrmacdn a wavés de una decelén clare, mostrande eompromiso, asignando roles ¥ reconsclendo ‘espansebicades expictas Debe formula, revsar y aprar la pote de segurdad cel Infermacén, como asimisme revisar ls beneficios de la implementacién de a misma. 1a seguridad de la informaclén 2s una responsabilidad del Organismo campartida per todas las Autoiéacespoltcas y Dractores Nacionales © Generals, ‘Gere o aqivelente, or lo cual se cen el Conia de Seguridad de i fvformac, ntegrade por representantes de todos las Diecores rnensonados, ‘Sestinado a gorantzar el spoya manifesto de las autordades 2 Io inieatvas ce neguridae de Is informpeisn. El misma conard con un Coordinader, que “umpira la fines ge impusar I mplementacss cela presente Pla. Contermadin dal Com de Seguridad de a Intormacdn Esta Comb tendré entre sus unclones 19) Revisor y prapaner @ Is msi autrdad del Organise para su aprebecén, Ia Paltica¥ les Rncones geneales en materia de Segurided de Ie informacén b) Monitorear cambios sigitcatvos an los rasgos que afectan alos recursos of infrmacn trnte a las amanazas més mportanes «Tomar eanoemiento y supervisr la Investigaciny monitoreo de bs indents relives la seguriéa 4) Aprobar las aricipaes inciativas para incrementar la seguridad ce la informacin, de acuerdo a as competenclasy responsablldades asgnadas a cada fast 1) Acordaryaprobar metedoogias yprocesos especies relatives al seguridad del informecn 1) Garantzar que la seguridad sea parte del proceso de paniicacién informatica del Organism. 191 Ealvar y coordina a implementacin de controles especfcos de seguridad del informacién para muevos stems 0 servos. 1h) Promover a fusién y apoyo le sepuncac ce Ib infermacién dentro del Organisme. 1) Coordinar el proceso de edministaciin de Io continidad de le opertora de les sistemas de trtamient de la Infrmacén del Orpanisme frente @ Interruptones previa. EL ---(Subseeretario ce Coorainacisn o equvalerte en cada rea ministerial o Secretaria de la Presicancla dela Nacin oe uncenarie dasignado por Ios maxims utoridedes en cade Organisme descentalzado Indes cargo) cooanars ls aclvigades el Comite de Seguin dela Informac. 2 Se refer 9 dar curso ales propuestas prosentadas por parte de Ins Ares de acuerdo 9 sus competencias,slvindolas a In maxima avtoridad, 9 través del ‘come de Seguridad, con relcin af segurided dala informacion del Organism. Devas nclatvas en Ser aprebades luego por la mama autorded el ‘Organism 16.2.2 Controls Coorsinacén de a seguridad de a iformecién hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 14182 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina Tiplcament, te cordineciin de le sepurced de la informed deniers involurer ls cooperaién y colaboracén de ls Directores Nacionales 0 Generales, Gorontes equvalentes, varios, aamiisradores, dieeRacores de aplcacn, auditor y personal ce seguridad, y capaccades eapedalzedos en Sreae come seputes temas legals, recutsas humares, TT 0 gestian del espe Esta actividad eblera ay eseoue ue as ectvidades de seguridad sean ejecta en conormidd con la pltca de segurded de a informacion; ») leonttearcéme manetar las no-conformiaces; «6 aprobar as metodologlas y process para la seguridad de la iformacién; por ejemple, la evaluacin dl riesgo yl lasiicaddn dea itarmacidn 2) ientiicar cambios sgifcativos en ls amenazasy In exposicén de Is informacin y los medias de procesamiento def informacién ante aenaz3s; «2 evaluar Ia cone y coordina le implementacén de los contoas de a seguridad de informacion; 1 promover de meaner eecive le eccacbn,capactacibn y conodimiento de la seguridad dela inarmacin través de tad la argozaién; {1 evalar la nformacin recibida del monitoreo y reisar bs Incents de seguridad dela nformacién, yrecomendar ls aciones apropladas en respuesta 2 Ios nedentas de seguridad de lormaden enttiados. 16.2.3 Control Asignacién de responsblidedes de la seguridad I nformasss La astgnacin de responsblldades dela sequridad de le informacién debe ejcutarse en forma alneads 2 fa polfica de seguridad dela informacin (ver dausulaS police ge seguraae cela informanon). a (Inaicar la més autor del Organism}, asigne le funciones relatives ala Segurdes Iformsis del Organisms 9. (indica cargo}, en adelante el Responsale ce Saquidad e la Informacion, qulon tana a cargo las funcones lavas a fb soguriéad de los sistas da Informacén cel Organism lo cualincye a supervision ce toes los aspects Inhereneso seguridad informacatatedes ela prasete Pale, 1 Gomté de Seguridad dele Inormacdn propondré 6 ls outordad que coresponde pers su sprabacin ls defricin y signeién de la responebiidades fue surjn del presente Meo ‘eoreruoc st etatn es pcsss 6 sawed, cndse en cde caso ees esporsbies ce caplet els aspects de este Pata Proceso Respon sable ‘Seguridad del Personal Sopa Fisica y Ambiertah Sequiiad en las Comunicaciones yas peraconas Control ee Accesos Seguridad en of Desarlloy Martenimiento 40 Sistemas Plnioacin ol Contrusdac Operativa De iqual forms, soguidamente se cetalan les propitaris ée [a informacén, quienes sarin ls Responsables de ls Unicades Organizatvas 3 cargo dol mangle dae misma Infor Propst “Recursos ‘Processes Adrinis msi am arodacos —elueado trator on . Cont Selomas able te vores ogame io, bases east, camunice Presa ‘cave aclarar aut, si ben los propstartos pueden delegar fa administracin de sus funcones a personal id6neo a su carg, conerverdn la esponsabidad del ‘mplimienta de los mismas la delegecén se lo adminstedian por pote de le propetaris de le Informacion sers documented por fs Tames ¥ proporconada al Responsable de Seguros de Io Informacsn 16.144 Contr: Autorlacén para instalacones de Procesamlento de nformacibn as nuevos recursos de procesamient de nfrmscin Serbo autorlatdos por los Responsables de las Unidedes Orgaizativasinvolurede, consideande si hitpservcios nfoleg.gobainfolegnternet’anexos!240000-244998/242859inorma.htm 15162 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina propdsto y uso cenjuntamente con el Responseble de Seguridad de I nfrmacién, afin de gerantzar que se cumplan todas Is Poltcasyrequerimentos de Sogurtad perenorte. Las sigulentes guia deben ser conalderaces para el proceso de autrzaclin: 2) Curplir con los niveles de aprobacién vigentes en lb organizeién, incluso el responsable del ambiente de seguridad de Is informecisn,asegurando el umpliminte de las pains y raquermientos ») Cuando cavrspone, se vericard el hardware y software pare garantizar su compatibiidad con bs componentes de ors sistemas del Organism €) Eluso de recursos personales de procesamiento de informacén onal lugar de tabato puede ocasionar nuevas vulnerablléades, En consecuenca, su wso Sera ovaluado en cada case por el Responsable de Seguridad de fz Informacien y debe ser autorzace por el Responsable cel Arca Inermatca por el Director Nacional (General, Gerents © ecuvalnte en el Organism) responsble del ea al que se destnen os recursos, 16.4.5 Control: Aeverdos de conidencitdad Se defriin, implementarén y reviarén repulrmente fos acuerdos e coniganciadag © ce no dvupeciin par Ia protecén de fe ifarmacén del ‘Organsmo. Diches acuerdos daben responder a los Tequermlantos de confdendaldad © no dvulgaton del Orgatioma, los cuales seran revisades erddcomente. Asmismo, deben cumplrcan toda leilacsn 0 normatva que aeance al Organisme en Matera de con? aencilcas dela nformadi. Dlenos acuerdos ceben clebrarse tanto con el personal del organism come con aquellos teceres que se elactnen de alguna maners con su nfrmacin 6.2.6 control: Contacto con ctr organises Acfectos de intercanbiar expeieniasy obtener asessraient para el mejoramlento de las prices y controls de seguridad, se mantendrin cantatas con fos sguientes Organisms especial dos en tema rebtvoe Ia seguridad Informa ‘fiche Nacional de Tecrolgias de Iofrmacn (ONTE) dependiante de la Subsecrtaria de Tacologas de Gestién dee Secretaria de Gabinete y Coordinaciin Aemnistvative uel eflura de Gabinete de Mitra Programa Nacional de Inraesrucuras Criteas de informacién y cibersaquridad (ICIC) £5 una nidae de respuesta ane incidents on redesy sistemas, que ‘conalzay coordina los esfurzos ante los incldntas de seguridad que aectan alos ecusos Inermaicos dal Sector PUBIC Drsceién Nacional de Protecién de Ostos Personals dependlente del Ministerio de Justice y Derechos Humanos. En los Itercamblas de informacin de ‘egurog, nose dvolger nfomacén sense (Se aeverda alo deride en fy normativa wigan, «Ley 25,326) 6 conidencl pertneciente ol Organise personas no asoracae, £1 itercabio de informacion conidncil por fine de asesoramianto 0 detransmisién de experiencia, sto se permite cuando se haya femado un Acuerdo ‘be Confidencilidad previo @ con aguas Orsarizncanes eepeielizedos en tomar elves a seguridad ele Informacion cuyo personel eats abligado a Tantonerla conicencal oe ge ls tomas que tat, 16.1.7 Control: Contacte con grapes deinterds especial 1 Responsable de Segurged de a nformacin seré el encegedo de coordnar los conccimlents los expeienclas cizponiles en el Organsmo a fin de brncar ayudo en la toma de decisones on matena da sequndad, Ese pods obtener asesoramiento da ovos Organises Con el objeto de epUmzar Su ‘estén, 20 nabltaré al Responsable ce Seguridad de la Untrmacn el contacto con las Unidages Organizavas de todas las Aras dl Grganemo Debe considera ser miembro de grupos de interés especial par: _2) Acquire nuevos conocinienos acerca de las mejores pricecas y estar atualzade; ) Asegurar que la concenizacin acres ee seguridad de a iformacién estéacuslizada y completa; «)Reciiralertastempranas, aviss yrecomendaciones ante ataqus yvulrerabildades; (© Preporconer vneulos adecuadascurante ol tatamiento de los Incldentes de sagurdad de la informaclén, 16.2.8 Control: Revsin indepercnte de a seguridad! de ln iformacién 1a Unidas ae Audzora Interna oen su defecto quien sea propuesto poral Comité de Seguridad dela nformacin realzarérevsones ndependentes sobre fa gers omen’ gun cel oa de Sopra del Intomactn,» waco Ge gaanrar sues pica Ga brn Fen Estas revisionas dabon ini las oportunidades de evaliaién de mejora y las necesidades de cambios de enfoque en la Segurda, ncuyendo poltcas y ‘objetvos de conto. ‘Se deben registrar y eperter todos estas ctidades. 6.2 Categoria: Diepostvos mévies y rao remota onjetvo -Asegurar a seguridad de In nformacin cvango se util metios de computacény tae-rabajo movies 1a protecsén requrida se debe conmensurar con los asgos que causan estas maneras Ge trabajo especicas. Cuando se liza computacién mévi, $2 ‘eden considera bs reaped abejor on un ambiente desprotagio y se dear open la prtecr:sn epopia. el cua dl tle“vabe, ls orgenizeion ‘be apliarprteccén af lugar ce teletrabayoy aseguar gu se establazcan os areslossdncuados ara eta manera de trabaisr ‘Cuando s0ulizen ispostves informatics mavies se debe tener especie! cudado €7 garantiar que no se comprometa la informacén nil infraestrusura {el Orgonismo. Se debe tener en cuenta en este sentido, cualuler dspostvo mévi y/o remouibe,incuyendo: Netebooks, Laptop PDA (Asstente Personal Digta), ‘Telfones Celulares y sus tarjetas de memcria, Dupostivos de Almaceramiento removes, tales coma COs, DVDs, Dqueles, Tapes, y cualauer dposttve ‘de almacenemiento de cnexion USB, Tarjetas de contfesion personal (conta de seco), Sspostvas eipograiar,chmarss digas, se sto Ista no es taxatva, ya que deben Inciitse todos les dlspesves que pucleran contenerInfermaclén confidenlal él Organise y por lo tanto, Ser pases de sufi un inedent en el gue se compromtalasegutdad del misma Se desara in procedimients adecuados pra estos dspostios, que abarquen ls siguientes coneeptos 2) La protect sea necesart, 1) El ecceta seguro a oe epestives «La wtilaacion segura de los espostvos en lugares piblios hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 16162 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina 1) Elaccso os sistemas de informacion y servis del Organismo a través de dchasdsposives. 12) Las tdenicas enptogrticas a ular para I transmisién de nformacin dasifiada 1) Los mecanismes de resquarde dee nfrmacén conten an ls dspostvas. £118 protecién conta software mallcese, La uulzacién de cspostivas mvs incramanta fe probebidad de ocurrancia Ge incdentes del tina de plraia, robo o tut, En consacuencia debe Eee Snecma ol pov a se, eo ora rocedmiro sob bs clots spel sea ae be pos 12) Permanacer siempre carca de lspativ. 2b) No der desatencdos los equpos {No lamar la atencién acerea de portarun equipo valieso. 1 No pane idenicaciones del Orgasm en el dispastive, save los eetrictmente necesaros, 19) No ner catos de contacto ténleo en sposivo. 1) Mantener efraca la informacén dlasiteac or otra parte, se canfeccionarin pracedimientos que permitan al poseeder del dispositive reportar ripidamente cualquier incdente sufi mitgar los Feagos aes que evertualmantsestuveranexpvests los sstamas de Iormacion dal Organismo, fs Ue Mehra _2) Revocaién de as credenciales afectadas ») Notifcacén grupos de Trabajo donde patencilmente se pusieran haber cemprometige recursos. 16.2.2 control Trabao Remoto El tabejeremato ui tecnologia de camunicaciones para permitir que ol personal role en forma remote desde un lugar exterro el Organism. trabajo remeto sélo serd autorzado or el Responsable dela Unided Organizatva, © superior Jerrquco corespendiants 2 la cual pertenezca el wsuaro olctante,conjutamanta con el Responsable de Seguridad cl Informacén, cuando se verngue que son adoptadae toca las media que corespendan fh materia de segurised dele nformacin, de mado de carpi cn la police, normas procediientos eaten. Estos catos sarin ge excepcin y sordn contomplados en stuaciones que justiiquen fs Imposilldad de ola forma de acceso y [a urgency tales como horares eel Organisme, sated de les autoneades, ete Pare lo, se etoblcerén norms procedimientes pare al trabajo remato, que consideren las sgulentes aspects 12) La sequrad facaexstene en a st de trabajo remo, tomando en cuenta Ia sequidad ca del ecfice y del ambiente loca ») El ambiente de trabajo remote propuest, ©) os requermlentos de segurided de comunicaciones, tomands en cuenta In necesidad de acceso remote 9 fs astemas Intrros del Orgone, la Sonsilldad daa Informacion ea que se accador3y que pasard a raves dl vinculo ce esmuricacen y la sersibldad el sistame interno. 12) a amenaza de acceso no autorzado@ nfrmacién 9 recursos por parte de otras personas que ulzen el lugar, pr elem, familia y amigas. 2) Eta la nstalaciin /desinsalcén de sofware no autonzado por el Organisme. Las controlesy dlspesicionescomprencen 2) Proveer de mebilario para almacenamientoy equpamientoadecuado pare Ins actwides de trabajo remo. ») Def e wabajo permite, et horario de trabajo, Ia clasiicacién dela informacién que se puece atmacenar en el ecu remeto desde al cual se accece 2 18 red del rganisma y los sistemas intenasy servo alos cuales wabajadorremato es eutorzado a scceder «© Proveer de un acecund equi de comunicacién, con ineusén de métodos pars asegurar al aceso remote 6 Incu seguridad isc, 1) Defnir regis arletacin respect cel cease de lerceras a equpamientee informacién. 1) Proveer el hardware y el soporte y mantanimiento cel software, 4) Dein ls procecimienos de backup y de contnuldad de las operaciones. 1) efectuar autora y monitors dela seguridad, 1 Reazar a anulacin de as autorzaciones, derechos de acces y davoluién del equipe cuando fnacen ls acticades remota. 1) Asogurar el entegr del equipaminto en ls mismas conscones en que us entregedo, en el caso on que ce ls necsicsd de trabaiar en forma remote Se imolemantardn procesos de audtora espectces para le casce de acceses remotes, que serdn revsados repulsmente, Se leverd un cept da incgentess finde corragi eventuals falas eh la seguridad de ate lipo de nccasos, 17, Chua: Recursos Humnor coneralcaces Le sepurdac de la infrmaciin st besa en la capaidas para preservar su integidad, confidencaldad y dsponibiided, por pare de oe elementos Involuredes en su tratamiento: equipement, sftwar, proceaimientos, sl como das Fecusas humans que tlvandiehos companentes kn esto sentido, os fundamental educa « Informa al personal desde su Ingroso en forma cons, cualquiera sea su stuacin ce revista, acerca de las faces do segura que afectan al desarrofo de sus funcones y de fs expecatvas Gepoatadae en elos en materia do segurdad y asurtes de hitpservcios nfoleg.gob.ainfolegnternet’anexos!240000-244998/242859inorma.htm 7182 15272018 INOLEG - Ministerio de Economia y Finanzas Piblicas - Argentina “onfidencaidad. Oe a misma forme, es necesarie define las sanciones que se apa en casa de Incumplient La implementaciin ¢e la Politica de Seguridad ge Ip Inormacién iene come meta minimizar la probabliéad de ccurenca ge incgentes. Es por elo que results necesavo implementa’ un mecanismo gue permitarepertar las debilzaces los Insentes tan prota como sea pusBle, 2 fn de subsanarlos evar ‘rentuales repbcadones, Por o tanto, es importante anczer las causes del indents producide y aprender Gel mismo, 6\fin Ge comepw les press Sestentes, que na pesieren prevents, evltoro el Rta. orjetvo Reduce lsrleages de error humeno, comin de ios, uso Inadecubdo de nstalacione y recursos, y manele no autorende dee lnformectn, xplictar ls responsabliéaces on matera de seguncad en l etapa de reclutamlenteée personae incutas on los acuerds de cofdencatiad a frmarse y ‘arnear su cumpliienta durante el esermpeho cel Inavidue como criplend, ‘Gorantzor que os usuarios estén ol corrente de los omenezas « ncombencas en meteria de Segurided de I inormacién, y se encuenien capactados pare respalear la Plies Ge Sogurdad dal Organise enol ranscrse da ss reas normals EstablecerComptomisas de Condencalad con todo el personaly usuaiosextarnes de las Instalaciones de procesamiants de nfrmadn Establecer las ecramlentas mecanismas necessri pare promover la comunicsién de deblicedes exstentes en materia de seguridad, as come de los Inccestesceurnaos, con el net ce mnmina us efector y prevent sy reinecenla. sta Poltca se ales tada el personal del Organise, cuslglera sea su stueién de revit, y al personal externo que sect tareas dette del dma del Organism Response del rea de Recursos Humanos inci les furcones relives 9 1a seguridad de Io informacén en las descpcones de puestos de los ‘empleados, nformard a to el personal que ngresa de sus eblgaciones respecto cel cumplmiento de [a Peles Ge Sequnicad dela Informacion, gestoraré tos Compromisas de Cnidencatdad con el personal coordina ls tareas de capactaclon da usualos respacto dela presente Plica, 1 Responsaste del Area ude partciparé en te confeccién del Compromisa de Confidencialidad a frmar por Ios empleados y terceros que desarralin tuneones ah el organism, en ol asesoramiento sobre Tos tanciones 8 ser apleadas por incumplieno de To prsants Poses y en el tratamiento Je Inccentes do seguridad que requeran ce au nee-vencin, 17. Categoria: Artes dl empleo objetivo Asegurar gue log empleados,contratitasy tercerosentienden sur responsabildades, v sean idéneos pare los role para los cusles #27 consierados; y reduce resgo 6 robe, frauda y mal use de les meds, as respensbidades de Seguridad deben ser atadas ances del empleo en as defiicione de trabajo adecuada yen Ios teminos y condiciones del empleo. 17.4 Control: Funclones y respansbileades Las tuncione yressonsabildaces en materia de seguridad Sern incorgorads an la dascrizcn de as rasponsabldades dels puesxs de abajo. sts incurdn ln responsablldades generates relacionadas con lb implementacén y el martenimiento de Is Patiea de Seguided,y les responsabilidad: ‘specieas vineladas a ls potacosn de caca uno dels actives, oa ejecicion de procesos © aetidades de seguridad determinades Se dutcn y cmucicarén dramente Ws cle y responsable de sepulded 9s canton pare puesto de wade aurare el process oe 17.42 Contra: Invetigactn de antecedents Se evar 2 cabo controles de veriicadi del personal en el momento en gue se soia el puesta Estas contol inhi todas los aspects que iniquen Ibs rormae gue tl efecto alesnzan ol Organisms, ls chequees de verfeacén deen incl: _2)Dispoitiidad de referencias de carder satsfactrias ») Chequeo del curriculum wae del poetlonte «6 Contrmacién de ttles académicesy profeslonaes menclonados por el postulate 1) Aereatoin de 6 entdad 17.1.3 Contra: Términos y condcones de contratacén Come pate de sus témines y condiciones incoles de empleo, los emplesdos, cusleuirs sea su stuscién de revst, Rrmarén un Compromso de CContiseciidos 919 divagscén, en lo que respects al rtamiento del informacion del Orgenem. La copia femads del Corpram debe re ravens en forma segura por el rea de Recursos Humanes u ova comptes Asimiame, madianta e Compromise de Configencialdad ol emplsado declarer conocer y aceptar la exstanca da determinadas actividades que pueden ser beta de conraly monkereo. Estas stiidades eben ser detalladas finde no waar al erecha la privacidad del empleedo Se desarlar un procecimlento para la suscip'n cel Compromiso de Coniencialidad donde se inchirin aspects sobre: Suseripldn nial el Compromiso por parte del toaidad del personal. Revisibn del cntenie del Compromiso cad... (Ider perade no mayer al af). Nétoce de re-surcrpcn en coso de modiiecén cel txts del Campari. ls terminos y condiciones de emple establacerén la responsablicad el empleaco en materia de sopunéad de a Ifermacé. cuando corresponds, fs trminos y condones de empleo establecsrén que esas responsbildedes se extenden ms ald de los limites de la sede del ‘Grgonime yee! horaro normal de abs. Los ceracos y obigacones del empeado clatvos a Ie seguridad dela informacén, or efemplo en relacéin con ls loves de Propiedad iselectual fa Iepislecen de protectin de datos, se encantravan elrados Includes eh os tarmines yconalcones de emstes 7.2 Categoria: Durante el mpleo onjetvo hitpservcios nfoleg.gobainfolegnternet’anexos!240000-244998/242859inorma.htm 18162 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina -Asegura que los usuarios empleados, contrasts ytercras personas estén al tanto de ls amenaraso inqulctues dela seguridad de Ia iformacisn, sus ‘esponsabicaces y ouigacanes, estén equlpadas para apeyar Ta pales de seguneas organzacioral ene curso ce su trabajo normaly ¥ reduc el Mes90 ‘Se deben defn as responsabildades dels gerenis para azagurar que se apliqu Ia seguridad le largo de todo tempo del emplea dels person dentro el Organismo. 7.2. Conta: Responsabidad de a areeisa La dirscidn solictard alos empleados, conratistas y usuarios ée terceras partes que apliquen Ia Seguridad en concordancis con ls paliteasy procedmientos ‘stablecces porla organizacen, cumplenco con le siguiente: 12) estar adecuadamente nformacos de sus roles yresponsablidades de seguridad Ge la informadibn antes de que Se ls corgue a acceso & nformacisn {erable 9 ale temas de inormactén; ) ser provistos de guia pare establcer ls execttivas de sepuridas de su rl dentro del Organism; «se matvades para cumpli con las plas de seguridad del Organise; ‘9 akeancen un nivel de conclencs sobre a segurded scorde con sus roles yresponesbldades dentro del Organism: 2) econ ws cones y seine del emp, los cules clue es polis de Sepia de lineal de reat y mds accede de + mantenerse cons habiicaces ycaltficacones adecvadas, 5 los empleados, contrast y usuarios no son conscentes de sus responsabildades de Segunda, eles pueden causa das considerables a erganisme, Un personal motiade tne més probabildodes de ser més cosfabe y cauror menos neidentes Se segursod de aired, 7.2.2 Conta: Concentzacén, frmacién y capactacén en seguridad daa informacisn “Todos las empleados del Orpanisme y, cuando ses pertinente, os usuarios eterno y lo terceos que desampeian funciones en e oxpenimo, recibir une {seeuade eapoctscin y actuslzacén perada on materia dela poles, normas y procedmientos del Organism. Esto camprende los requermientos de ‘epunaod y ns responwonlicaceslogoles, at como In capactaciin referca al uso correc Ios etalocones se procasomento oe mnformacsn ye oS0 Correct dels recursos en general, com por ejemplo su estacin de aba), 1 Responsable del hres de Recursos Humancs serd el encargado de cording’ ls accones de copactacion que srjan de a presente Pac, cata (indiear periodicidad no mayor a un afo) se revsaré ol materal cvresponclente a la capactacién, afin de evaluar Ib petnenca de su ‘eatin, de acuerco at estado del arte de ese momento, Las siguientes dren serdn eneargedos de genera el mateal de capactaciin {reas Responsables del Matonal éeCapactacién ‘Advclonalmente, tas areas responsables ce generar el material de capacaciin dspondrin de Informadiin sobre seguridad de la tnformacén para la ‘Raminitvacin PUbica Nacional en le Coordinaisn ae Emergendas en Redes Teleivormatias ars complementar bs materials pr elas generados 1 personal que ingrese al Organise rec el material, indcSndosele el compormverto esperado en lo que respecta a la seguridad dela iformacién, ‘les do srk otorgaces os prvlegos de acceso alos sistemas que correspandan Por otra parte, se arbirerdn los medias ténicas necesarios para comunicr a tade personal, eventusles modifeacones @ novedbdes a materia de {egurdad, que deban ser atadbs conn orden preferencial, 7.2.3 Control: Proceso ascipinaio ‘Se seguir proceso ascipinai formal cantemplado los normes estatutara,excalafonarissy convencneles que igen a personal dela Asmiistracisn Pais Nacional, para tos empleados que waln ls Pais, Nowmas y Procedrmertos de Seguridad del Organ sme. 1 proceso discptnare también se puede wlzar como un element csuasve para evar que los emleados,contatistas trees que vielen ls plas y procedientos dela seguridad del organism y cuelgue oto incumplimienta de ie seguridad 7.3 Categoria: Case del empleo cambio de puesto 6 trabajo onjetivo Asegurar que los wsuaresempleados, contrasts y terceras personas salgn del Organisms 0 camsien de emplea de una manera orden. Se deben establacer ls responsablidades para asequar que a saliéa dal Organisme dal usvarie empleado,contratsta 0 tercera persona sea manejada y se complete la devolucin ge todo ol equipo y se aiminen todos los derechos Ge acceso. 7.3.8 Contra: Responsabidad del case 0 cambio Las responsabtdadas para reatzar a dsvinclaién o cambio de puesto deben ser claramente dafinasy asignadas, Incuyendo requerimientos de seguridad Y resparoebiidedes legates o sostrony,tuanda sea apropiaca, las rasporuabibdades calenids dentra de colguer aevedo de configencaldady los {erminesy condicones de empleo con cantnuided por un pods define e Uermpe lego dela fnelacin del role del empleade,contratita 9 usuarle ‘se torera parte Puede ser necesario ivormar aes emsleaces, contatstasy erceros de es cambios en al personal y os acuerdos de opera 7.3.2 Contra: Devolicén de aetvo “ods los empleados, contrat tas usuarios de trceras parts deben devoler todos las actvos de Ia organizacén en su poder (eoware, documentos orporatves,equpamient, dapostives de computacsn males, areas de credo, tarjetas de ngeso, etc) as la termnadon de Su empleo, Canwate, © En fs casos donde el emoleace, convatita y usvaris tengan conocimianto que 9s importante para fs opesciones actuals, es3 informacién debe Sor ‘ecumentaday transfert al organismos 7.3.3 Contra: Retiro de fs derechos de acceso ‘se revisarin los ceechos ee acceso de un Incvidu los activos asocados con los lsemas y services de nformacisn tras Ia desvinculciin, Esto ‘determinard sles nacasare remover los derechos da acceso, hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 19162 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina {Gon el cambio de un empleo deben remaverse todos los derechos da acosso que ne fueron aprobades para al nuevo empleo, comprenendo esto accesos legless flsces, loves, tarjetas de lersicacio, stalaciones de procasamienta Ge b Informacién, suserpcanes, y remocén de cvaluer cocumentacén ‘Que Wo identiique como un membre corinte del Organise, ‘un emplendo,contatiste 0 usuario de tercera parte que se est desvnculando tiene cnecimiente de contraseRas para cuentas gue permanecen activa, ‘sts dabon sor camolacas tas fs alzacion 0 cambio de empl, contateo acuerdo, Se evalard la reduccdn o eiminaciin dle derechos da acceso a fs actvos dela nformacion y a fs istalcones de procesemient de le infrmacén ‘tea de que el empleo termine ocamble, dependande ce factors de esos, tle come’ 12) 5 fs terminactn o cambio es inciago por el empleado, cntatista 0 usuario de tarcera parte, 0 por la gestén yb razén dela fralzacén; 2) as responsabitdades actuaes del empleado, contaistao calque oto usuario © elvaor¢e fos actvosaccesibes avalon 2 clusula Gestiin de Actives coneracaces El ovganmo debe tener un concileta precy SOD ns ates qu poses como pre Important del smnisracdn de spe, Agus eels de + Recursos de Informacén: bases de datos y archivos, documentacén de sets, menuales de usuario, material de capactacén,procedimentos operator ‘2 ae soporte, planes de contnuceay contingenc, fermaccn archaea, et, ‘Recursos de software: software de aplicaciones sistemas operatives hesramentas de desrollay publican de contends, ubtarios, ee + Aetwos feos: equipamints infermstin (precesaderes, monitors, compvtadoras porisles, médems), equiges de comuncacones (routers, PAB, ‘rdgunas de fax, contestadores automaceas, switches Ge cates, atc}, medles magnéicos (ita, d'scos, depostvos Mévis Ge amacanamlant de datos Then ries, scar extarnes, et), clos equipes tecless (Taconaces can el sumnito eldcnce, undades de are acondiionado, canta ‘Stlometlzndes de seceso, te), able, lugares de emplazamvent, ete. + Services: services informtices ye comuniactones,utitares generals (ealefaccién,uminacin, energia eléciea, ce) Las actives de informacién deben ser clasiicacos de acuerdo a senshidad y cred de la iformacién que cantieneho ben de acuerdo & le funcioaldaa ‘ue cmplenyrotledos en funcsn 8 la, cons bet de Setar cima ha de sr tratadaY protege ich informecion, “Generalmente, Ia informacion deja de se sensible o ertca después de un crt peiedo de emse, por ejmple, cuando la nfermacin se ha hecho pis. sts aspectos daben tanerse en cue, puests que a casfeacion por axceso puede eductoe an gastos alelonals Mnecasavos paral Organs Las poutas de dasiieacin deden prevery contemplar el hecho de aue Ia dasficacén de un item de informacéo determinedo no necesaramente debe ‘astenerseinvanable por siempre, gue és pusde cambiar Go sevens con ura Pais predetermine. Se Sebe conscear Ip canted ce ctegorios 8 Ltr a nner de neon de cone next permis y epitvarlos tonto noextoss. + imped obs Itetos de idenreain, una vex superado lite peti, Desconecta conexones de comuniccones de datos ‘Umar el tempo méximo perio para el procecmlents de cones, Sl ete es exci, a tens debe fnalzar i cone, 1 Despega ls gue forma, a completers une isn ent: Fecha y hora de conesén extra atari Detlef nents de conesn no nono desde a oa coment, 9.58 Conta: enticaclin y Autenticacén de los Ussaioe “odo os utvaioe (nid personal de soporte tne, como os operadores, adminstradores dered, programadoes de sistemas yadminiadores de on posefondec hata logor lindo responsable, an Ge garaniza a varabies dees anes. oe enfeaores de ua to aron ngoN indice sel nel de pevloge Haase En creunstancias exceplonales,cuendo existe un claro benef pare el Organism, sear uulzarse un ientieadarcompartida ara un grupo de usuarios © tne area eapecen. Pare cos desta ndae, se dacumentar a jusicacsn y aprobocon del Propielars dele Inormacsn se que se trate Si 2 vtlizer un metodo de eutenceclin fico (por ejemplo uteticacoes de harcware), debe implementarse un procedmlentoGue neu 2) Asignar la heramenta de autenticacn ») Rogiswar os poseedores de autontcadores, 6 Rescatar el auteneador al momenta de a desvinculacln del personal al que s2le otro. 1 Revocarel acces del autenticader, en caso de compromise de Segui. 254 Control: Sltema de Adminsracén ge Contaseias Las contrasafas constiuyen uno dels principales mesos de vaecn dels autridad den usuario para secader un servicio inform. Las sistemas de sémintrac an de cntrefgs deben consul una heramienta sfense tarstva ae sorantee contraefos de cal fl seta de administracin de contraseias debe hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 2a162 15272018 INOLEG - Ministerio de Economia y Finanzas Piblicas - Argentina 2) Imponer el uso de contrasafias incduales para determina resporsnblioces, ») Permit que os usuarios selecconeny camben sus propas contaseis (luego de cum el plazo minimo de mantenimento de as mismas) incur un procedimenta de conrmacian pra conemple los eters de ingress, €)Imponer una selecién de cnerasaas de calda sean lb sefalco en el punto “9.3.1 Control: Uso de Contract” (6) Imponer cambios en es contraseias en aquellos casos an que los usuerias mantengan sus proiascontrasefas ©) Obigar 2 los usuarios » cambiar las cantaseiasprovsoias en su primer proceimiento de Mentfieacién, en los e3505 en que ellos selecconen sus 1) Mantener un reise dels mas 15 contraseis utizadas por el usual, y evtar la reutlzalén de as mistnas {9 Evtar mostrar las contrasefas en pantalla, cuando son ngresaéos 10, cdusula: Crptogratia coneracaces a ctetgrate use en ors pra pare pote frac dl ego de Seu ue misma puede ser ierceptad por euler pasena no sto rece Ia probabil de que partes no avtonizadas puedan tener acceso 8 I nformacén, Se debe tener culdaco can ls sistemas de encstacién que no protagen 2 toda la Infrmactin para asegurar que aquelainformacién dlasticade como objotves ‘Geranezar el use acecuado yefes2 ee la eptoprata para protegerlaconficenciabc2e, no-epudla, la autentccas y/o la ntegeldad de la iformactén, sta politica se apca a todos los sistemas Informs, tanto cesatollos propos o de terete, y a togos las Sstomas Operatves y/o Software de Base que Integra culquera de los arbintes admini-ados por el Orgentmo en donde render los desardos mencionades Responssbias Responsable de Seguridad de ia Informacién, junto con et ropletario de fa Infomacdn, defined en funn 2 ta ereldad de Ib informacié, tos Fequerimientos de protaceién mesinte métocoscriplogrdfers, Luego, «1 Responsable de Seguridad del Infarmacén defi Junto on el Responsable del Area de Sitemas, os matodos de enerpeén a ser stesso ‘Asimismo, el Responsable de Seguridad de la Informaciin cumpli as siguletesfuncones Defines procedenietos de administacén de caves Veritear el cumplimento dels contoles establecios para el desaroloy mantonimianto de sistemas Garantie el cumptimienta dels requerimietos de Seguridad para el sttwar, Define pracedimients para: el control de cambios a bs sstemes; In vericacibn In seguridad de las platforms y bases de cates que soparton & interactian con Ios stem el conta de e8digo malicosry fb detnicn de ln funcones cel personal invlucrad en el proces ce entrad Ge tae 10.1 Categoria: Cumphmiento de Requistos Legale objetivo ‘Se wlzarén sistemas y téenlcaseristoorificas pore Ia proteccién del informacién en base 9 un endlis de Heng efectuad, con el fin de ssegurar una Becuada protecion da su conidoneaiéad e iegridad, Se debe desarolar una polica sobre el Uso de eonolascnptograces, Se dabe establecer una ‘estan clave pra sstener el uso de tenlas eptograias. 10.1.4 Control: Polica de Uzecin de Contoles Criptogrfics 1 Orgasm astablce la presente Poca de uso de controls enptogréfiess afin de determina su corecto us, Para elo se nea que 2) Se uttzardn controls crptogrécos en fs sgulentes casos 1) Par In proteccsn de claves de acceso 9 sntemas, dato y servos. 2) Fara a wansmisién de formacén clasteada, fuera del émbto del Organise 3) Par al resguardo de inormacn,cubndo assure de la evaliscin de resgosrealzad pore Propietarlo dels Informecié el Responsable de Segura {eb Informactn, ») Se desaralarén procecimintas respect de i adminstacén de claves, de a recuperaiin de inormaclénciada en caso de périda,compromso 0 daio 2 as claves y en cuanto al reemplaz dels aves de sia. ‘#1 Responsnble del Area Informica propor la siguiente asignacén de funciones: hitpservcios nfoleg.gobainfolegnternet’anexos!240000-244998/242859inorma.htm 30162 15272018 INfOLEG - Ministerio de Economia y Finanzas Piblicas Argentina uncon ce e Implemontacon de te Poitiea de Contales Captaris Adrinisralon de Claves {9 Se ultzarin, come minimo, ls siguientes algctmas de cade y tamafos de clave: crado Simsrico ‘Agertme Leng de Clave AES 128/1927256, apes 168 bn8 IDeA ‘28 bis Re zope RC 128 ote (Grado Asimética Langit canna de Uae Alparims do cue Para centficados utizados RSA. 2046 bts ‘on sonics relacionados & ‘a fim digital (setoio de ‘iomgo, — alraconanionto se9uro dececumontos lecénicn, ete} 50 2048 bes COSA 210s Para cetfcados de silo RSA 1024 bts equ, Para corfoatos de RSA. 2048 bts centesder 0 de Joformscidn de estado de cortcades sa ose ote COSA 210 ts Pera cortfendos de RSA. 02s usuario (personas fsicas @ suri) sa 1024 bs ECDSA 160 bas Para digesto semu0 haa 2565 Ls algortmos ylongtudes de clave mencionaes son los que ala fecha se consieran segurss. Se rcomienéa verficar esta conden pendcamente con el ‘objeto ce efactua ns actualzacanes correspondents, 10.1.2 Control: Credo Meaarte la evluacén de resges que levard 2 cabo el Propetaro de la Informacin yal Responsable de Seguncad dela Informacié, se identcard al nvel Fequeize de protecién, tomando ch cuenta el Upo yi caldad del algvtme de cage utlzade yl lenis de as claves crplograticas 9 UUlaar AI Inplementar lo Plea del Organsme en materia eiptogrfca, 56 consderarén los controle apliables @ Is exportacén © importciin de tecnologia enotogries 10.1.3 Control: em Digital Las fems tales poporconan un meso de protein de In autenticdade integride de os documentos electrénicos. Pueden splcarse a value tipo de ‘Socamento cue se proces slecrimicamente. Se implementan medante el Uso de ura téenica erptogstiea sobre h Base ge aos chves ranconacs de mmanevs Unica, dande una clave, denomnaca grivade, se Ulza para ear Una firma y lao, cenorunaca publea, para vere ‘Se tomarés recaudos para proteger le confidence de as claves privedes. ‘Asmismo, es importante proteger la nteridad dela clave pia, Esta protecién se provee mediante el uso de un carifcado de clave pile Las algaritmas de fee ulzades, como asi también I longitude ave a emplar, son los deseptos an a presente pale, ‘se recomiendo que las cloves enstogrifea uiizadas para frmar digtalmente no sean empleacas en procedmlents de cfrago de informacién.Dichas claves ‘eben sor resguardadas bajo el corto axcsWo desu ular AI ulizar tras y eutineados dgtales, se considera la legilaciin vigente (Ley N* 25.506, el Decreto N® 2628/02 y ef canfunto de normas ‘omplementaror que Tian © modfican competencas y etablesen procesmientor) que deserba las condones bajo he ciales na frma spa et Tepalmente vata hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 31162 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina fn alunos casos pods ser necesorestablecer scerds especies era respalar el uso de las frmas dgtales. A tal fin se debe obtener asesoramiento lepalcon respect al marco normatvo aplesble ya mosaliiad del acterdo 8 implement, (Ver Csusula 10,1 Conrok Potie ge wizacén Ge comtoles enptografas, en eluadro de cfrado asimaties) 10.1.4 Control: Senos de No Repucio Estos sonvcos so utllzarén cuando sea nacesario resolver dsputes acerca de ib ocurrencia de un evento acién, Su objetivo es proporconarherramientas pave evar que aquel que haya orgnado una bansacasn electrancerigue habera fectusco, 10.15 Control; Proteccn de claves ciptogrees Se implementaré un sistema de administracin de caves crptogréficas para respalar Ia utizcén por pate del Organismo de ls dos tos de ténicas ‘rptogratas, saber 12) Técnicas de cave secrets (eriptagrfie simétric), cuando dos 9 més actves camparten la misme clove y éte se lea tanto pora car nformecisn come par descr ) Téenleas de cave plbtca (rptogrataasimdtrea), cuando cada usuario tere un oar de aves: una clave plblca (que puede ser rvelada 2 cualquier persona ulizade pare citar yuna clave prvada {que debe mantenese e9 secrets) ullzade pars desta: Las coves eximélias lizades pra stad no {Sebonsorlas mares que se Ulizan por Srmor dgtslmente “Todas las claves serdn protencas contra mestfiacin y destuccié, y las claves sacretas y prvadas serdn proteoéas contra copia © divlgacién no ‘Se apiarin can ste props los slorimos crptogrsficasenumeracos enol punt 10.1.1 Contra: Palit de Utlzaién de Controle Ciptogriens '5e proporconard una prteccén adecuada al equipamientoublzado para genera, almacenary archvar claves, consiardndole ric ode ato resco, 10.1.6 Convo: Protecsén de Clves ciptogréficas: Normas yproeseimietos ‘Se redacarin ls normas yprocedimintos necesaries par: 12) Generar daves para dterentes sistemas eriplagrifeas yaerentas aateacones ») Generar y obtener certificads de cave pobhce de manerssegUra Distr daves de forma segura a es usuarios que crresponda, Incuyendo informacib sobre cémo deben actvarse cuando s2 recban. 1) Almacenar cloves ncayendo le forms 6 acceso # ls mismar por parte de los usuroe autorizdor. 2) Cambiar o acualzar claves, nuendo relas sobre cundo ycémo éeben cambiars as caves. 1) Revocar elves incuyendo clmo deben retiree o desactivarse tas miss, por elemplo cuando ls claves estén comprometias o cuando un usu se ‘Sesvincle sel Orgenizmo (on Suyocauo ln claves tambien eben arenas), 9) Recuperar claves péraidas o ateradas como parte de la aéminstacién de la contiuldad de las actwicaces dal Orpanismo, por ejemplo para la 1 Areva cloves, por clemple, para Is nformacin archivada 0 resguardoda » Destrureaves. 1) Registrar y suitar ln stidadescloivas 9 a aeminstracin de aves. ‘An de reduc Ia probabildad do comaromiso, las claves tondrin fechas do Inco eaducldad de vigencl, defnidas de manera que sélo puecan ser Uzedas pre! apso ge. (Iciear psp ne mayo" a 12 meses) Ader de in aminstraién segura de las claves secrets y prada, debe tener en cuents Is protecién de Ins claves pias. Ete problema es aborcace rmedante el use da un certiiace de clave adbea Esto coriado sa gonerara ce forma que vince da manera irc Ta ivermacion rlatva al propletare dal ar de aves pubtca/pvada con a lve pubiea, En consecvenca es importante ue ol proceso de adminisrcisn de ls certfcados de dave pbs seo absolutamenteconfible. Este proceso debers ser lovsdo acaba por una enidad denominacn tordad de Crean (AC) 9 Canfensor 1, cldusul: sca y Ambiental La seguridad fica ambiental senda el marco para minimizar los resgos de dais itererencias a a nfrmacin y 2 les operaciones del Organisms, ‘misma, pretende ear al meme el leago de serasos fens no atorizedos, maciont sl extgblecmiento de permetros de se5¥dod Se distinguen wes conceptos 2 tener en cuenta: Ia poteccién fica de acesos, la protecién ambiental y el wansport, proteccién y mantenimiento de ‘Seulpaminte ydocumentactn establecimiento de perinetros de seguridad y Sreas protegia facts Ia implementacés de controls tendlntes » proteger log instlsciones de Procesamiento de vermacc ertca sensible del Organism, de accesasfsias no autorzados; 1 contra de los factores ambiental permite garantzar al correct fundanamiente de Ios eaupos de procesamienta y minimiza las interupdones de ‘sewice. Deben contemplarse lant los “egos orl instalcanes del Orgaisma com en instalacones proxies ala sede del mam que pun interfere “on los acsvicoder 1 equpamiento donde se almacenainformacén as suscepble ce mantenimiento peréaico, 0 cual implica en ocasiones su Wasldo y permanenca fuera de las drens protegidas del Organamo, Dichos procesos deben ser ejecutados ajo esticias normas de sepurided y de preservation de ls infrmacin ‘Simacenade en lot mismor. Asi tambien tendré en cuenta lo aptesisn de dehae normas en ecuipomienta perteneciente al Organism pero sudo fisteamante foe eal mismo Cheusng") asi como on equipsmiente ano que albergue sstenae yo presta servos de procsamlento de invormacon al ‘Organismo (nesting), Las informciénslmacenada an es sstemas de proceesmiantoy la documentacién contenida en dlerentes meds de slmacenamiento son suscepble de ser recuperasos mientras no sstan sence stizades Ex por elo aur el transporte y Ia dpesiean Anal presenton riesgo Que deben ser evaluadoe. hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 32162 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina “Gran cantdad de nformcén manesnd en las ofines se encuentre elmacenede en papel, por lo que es necesario establecerpautas de seguridad para Ie conservacén de cena documanaclon fara su desc cuore a! arerte, onjetvo Proven eimpedireeesos ne autrzades,dofose interferes als sedes, nstalaciones informacibn del Orgensme. Proteger et equipamients de procesamiento de Informaciin citea ¢el Organlsmo ubicéndolo en éreas protepldas y respuardadas por un perimetro de Scgurdad delndo, con mesidas de segurigady conraks de acceso apropados.ASimsmo, contempas la polecasn gel misma en su raslecey permenena ‘ae des Sreosprotesids, por motivos de manterimiento ate. ‘Controar los Factores ambentales que podian perudicar el correct funclonamlente el equpamiento informatics que alberga la informacién del Organsmo. Iplementar meaidas para prteger la lnformaclén manejade pore personal en bs oflinas, en el marco normal de sus aboresMabtuals. Propercionar protec proporcanala los resgosWentcados sta Please oplica todos los recursos fscos relatos 8 ls sistemas informacion del Organime: instalacanes, equipaient, cableade, expedient; ress ce amacenomiont, te Responsable de Segurcad dela Invormacsn defini junto can el Responsable del rea Informit los Propitarios de Informacié, sein earrespond, Tas melas de seguridad fica y ambiental pare el resjuardo de lo actvos clas, en funelon @ un andlss de Neegos, y covtrelars su Imolemantace, ‘Aimisme, verea’d el cumplimiento te las cspesicones sobre sequigad lc y amovetal nd cadas en la presente Ciusul, 1 Responsable del reo Infrmitice assis el Responsable de Seguridod dele Tnormacién en le defsiién de Iss meds de segurided & implementor en freee proteidar,y coordina tu implerentgcisn,emimo, controlar el montenimento del equpamienta informatica se acuerdo Is indeacones Se proveecore tanto dentro com fuera Ge In nstlacones del Groans, Las Responsabes de UnidadesOrganiatvas defini os nivees de acceso sco del personal dl organise las reas restingidas naj su responsabilidad Los Propietarios de Is Informscén sitorivarin formalmente el trabajo fuera de Is Instalacones con informacén de su incumbencia 9 los empleados del ‘Organism cuando le crean convenient La Unidas de Auditors ntema o en su defacto quien sea propuesto por el Comité de Seguridad de la Tnformacin revisaré ls egistos de acces 2 las Seas protege “odo a personal cel Organsmo es responsable dl cumalimento ea palica de pantallasy escrtoriostmplos, para la potsccién de f Iformaciénreatva Trabajo dara ens oinas. Potts 11. Cateporia: Areas Sequras objetivo taro aceso fica no autoriado, cae einterterencia conf Informacién y ls locales cel Organism. Los madios de procesamianto ds nformacin cic a cenfidencil deen ubicarse en reas segures,protegides por ls parmelros de seguridad deinids, con Isr borreras de segurid ycontrales de snrad epropiodos. Deen erarFcomenteprotegicos del seceso no autorzado, dao eerferenc 11.2.1 Control: Perimeto de seguridad feo Las protecién fen se Weverd cabo mediante a creseién de diverses bares o medias de control fies alrededor de Int sees del Orgensmo y delat Inealsciones de procesamienta de Infrmactn. 1 Organismo uttzardperimetos de seguridad para protege fs areas que contleneninstalciones ce procesamlento de informacén, de suminsto da nega alicia, de ae aconalconado, y cualuler otra area considerada ites pare el coredto funconamienta de le satumas de aformacin, Un perimeto de segurcaa esta celimitado por une borer, pot ejemplo use pore, une puerte de acceso contalado por sapostve de outenlencon un Sertoro u ofcia de rcapcsn atendos por persona. El emplazamiento 1 fortaleza ce cada barter estordn defncas por l Responsasie del Area Invermatica con el asesoramionto del Responsable de Seyurdad de a Informacion, de acverdo ofa evalvacion de resposefecuadax ‘Se considera ¢implementaré as siguientes tneamients y contra, Sen corresponds 2) Defniy documenta daramente el perimetro de segundo ») ica as stalacones de procesamlento de informacién dantre del permet de un edifice © dread construccdn fscamente sétéa (por ejemplo no ‘eben exis abertures an ol primeto 0 drees donde pueda producse focimente una irupctn) La parades extemas del hr Geben ser aha y tod at Puersae que commican con el exterior deben estar adecuadamente poteg es contra acsasos no dutonzbgoe, por ejemole mediante mecenismar e conta, ais, alarmas, eradur35 6) erlicar la eistencia de un drea de recepidn atendida por personal. Si sto no fuera posible se implementardn les siguientes meds alternatives de “antral de acceso isco ol rea 9 waco. (inlear obras medias alterstivas de conrl) £1 gocesa 8 dienos Great y sai estars restngio ‘iclsivaments al personel sutorzado. Los méscdos implementados rghtorin cada ingress y apres an forme prel. 4) Extender las bareras fisicas necasaras cesde el iso (ea) hasta el taco (ea) afin de imped elngreso no autorzado y la contaminacéin ambianta or eiemplo por incendie, humedad e mundaccn, «) Iéetiearclaramente todas las puertas de incendio de un peimetro de sequridac ln drea segura puede ser una oficina con lave, 0 varas ofcnas roseadas por una barrere de seguridad fsa tema continua. Pueden ser necesaios Dever petneos wnat pr nrc Ya ere ec trees eueein ce segura ary laa bree Se 1 Responsable de Sequridad dela Informacion levard un registro acuaizado de os sos proteqlées,indcanco: 1) Rdenticain del ito y Area ») Princpates slomentos a protege 6 Meaaas Ge protecién tia 13.1.2 Control Controle eos de entrada Las dreasproteiéas se resquardarén mediante el empleo ce contoles de acceso sen os que Serén Geterminados por el Responsable de Seguridad de la hitpservcios nfoleg.gobainfolognternetianexos!240000-244998/242859inorma.htm 3062 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina Informacién junto con el Responsable de Are Informatica, a fin de permit a acoso s6lo al personel autorizad. Estos controles de eccese fico tendrén, Doria menos, Ins siguientes cractrstcas 12) SupervisaroInspaclonar alos vskantes a draa proegidas y registrar l fecha y rerio de su Ingres y eprso, Slo se permit el acceso mediando propéatos especicos y svtoizedos instuyendose ol vstante an el moments Ge ingreso sobre we requeriniantos Ge sepurled el Ae ¥ los Procedimentos de emergencs ») Controlar y titar et acceso al infrmacin dasificada ya las nstalaciones de procesamanto ce informacién, excsivamante als personas avtozac8s Se utlzeran Tos siguientes controle de aulerticain era autosar¥ validr logs ls acceses---- (por ejemplo: personal de guarla con Istado de personas hablitadss 0 por tarjeta magnice © Inligente numero de idetfieacon persnel (PIN), ie). Se mantenard on registro protegise para perme ctr todos lo acest {6 tplementar el uso de una icertincacién univca visible pare todo el personal del Svea proteada 2 intro acerca de cuestionar la presenca de ‘esconocdes no escataces por personal eutartade y 2 culgule” persona que no exhiba una aentMcaciéh vse 4 Revisar y actual” cada. (deine orodo no mayor 36 meses) los derechos de acoso ahs reas protoglas, fs que serdn documentados y frmados porel Responsable de a Unidad Organative cele cue cependa, 1) Raviar los registra de acceso a lat ress protepdes, Est trea la resizer lo Unidad de Audtora Intema o en su defect quien sea propuesta pore {Comité de Sepurded de bs Informactn 11.23 control: Seguridad de ofeinas, despachos,instalacones Par a seeccdn y el diseSo de un bre protegida se tended en events la pasiilded de dae producide por incendi nundacin, explesis, agitacin cil, y Bitar formos de Jesastres naturales provoradoe por el hombre. También se tomarn en event lz eepascones y normas (ereancores) en mater Sanidady segurided,Asimismo, s consideraran las amanazasa Tb seguridad que reresontan los efies 20rasaledaras, pot ejemale, eacion 2009 ‘Se define los siguientes sitios com ress protgides del Orgeniemo areas Proteins ‘Se establecen ins siguientes medidas de protecién para reas protogidas 12) Unica las instalacones creas en lugares a las cuales no puede acceder personal no autrzad. ) Extablecer que le eiicos 9 stos donde se realcensctivdedes de procesamlento de iormaién erin dteetos yofscerén un sefialamientaminime de 5U propést, si signes oovios, exteriors o intenors, 6) Usicar as funclonesy a equpamiento de soporte, por ejemplo: impresoras, fotocopiagoas, méuinas de fax, adeeuadamente dentro del dea protegida fre evr sottudes os eccate, el cul pod compromter i inert. 4) Esablecor que las puertas y vetanas permanecerén ceradas cuando no haya wialanc, Se agregardproteccin externa a las vatanas, en particular las ‘que Se encuentran en planta bajo presentan resgos especies. 1) Implementar os sigulentes mecanismas de corral para le deteciSn de intusas (detar cules) Los mismos serén nstalados sean ‘éndares profesional y probads persleamente. Estos mecanizmos de contra compronderin todo he pert eceroresy ventonaraccesbles, 1) Separar las nstatacones de procesamlento de wvormacién adminstracas por el Organism de aquellas admin stradas por trceros. 19) Resting el accor pbc Ins gus tletnieas y Istados de tldfonos internas que identi los ublescanes cel insalacones de pracesamiento de Invormacen sensible hy Armacanar loa munaraies pigeeses 0 combustas an la guests lugares aguas a wna uranca prensa ie dane protagil dat Crganiama ‘inchir lata de lugres segues), Los sums, como os dle de estan, no srbn trasiaadea a ren protegidehasla que sean requerds, 1 Almacenar los equpos redundartes ya Informacién de respuardo (back up} en un sito seguro y distant del lugar de procesarvente, pars evita dafos ‘caslonados ante eventvals conungencias an a sto princoa (deta ubeacs). 15.1.6 Control: Proteccén contre amenazes externas y de arigenambientl ‘Se debe asignary aplcar protein fica contra dafo per fuego, Iundacin,terremote,explosin, rev chil y obs formas de desostres naturales © ‘ausados por el hombre ‘Se debe prestor considera # cualquier amenaze contra seguridad prosentads por leaes veins; pr ejemplo, un feg9 enn efi vecina, escape de gun en el echo o pisos an s3tano 9 une explosion en calle Se debe consierar ls siguientes Ineamientos para eitar el dao por fuego, Indl, terremoto, explosion, revue cv y otras formas Ge desastres aturals 6 cassodos por el Nombre: 2} los matorals pelarosos o combustibles deben sor lmacanados @ una distanca segura dal ea asegurada. Les suministros a granel como papelria no ‘deben macenarse ene rea asaquads) 1) el enuipo de reemplans y los mesos de respeliodebiran ubicarse # une distance segure pare evtar el ode un dessstre que eect lca principe «se cebe properconar equine conta-incondios ubicado adecuadamente 11.15 contol abajo en dreas seguras are inerementar Ib seguridad de ls éreas, protegéas, se estabecen fos siguientes contrlesy lneamientos adiconsles Esto icluye contoles para ol personal ve trabaj en al ares protagica, asi como para las accwdades de tercers que tengan lugar ll: 12) Dar a conocer al personal a enstencia del dre protesida, 0 de las adtividaces que all se evan a cabo, séle ses necesaro para el desarote de sus foncones ») evar eecucén ce trabajos por parte de tercares sn supervsén. «Bloque icamente« nspecciona perideicamente as Sreas protegidas desscupadas 4) Lmitar el acceso a porsoral del servicio de sopore extrno als srs proteaiéa 0 9s instalcions de procasamlento de Informacién sensible. Este ‘tcoso, coma el da euslgler ota persona ajana que Toque aceeder al area proteaiéa, sera otorgade solamente cvando sea necesario y se enecente ‘utoracey montoreado. Se mantanara un ragisve ce teges las aczesos de personas jonas 5) Puden requerrse barrerasy perimetos aeconales para contoar el acceso fsco entre dreas con dferentes requernlentos de segurldad, v que estén Ubleadas dente dal mismo perietro de segura hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 3462 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina 1) imped tingreso de equips de computeién més fotogrfco, de vdeo, aus 0 cusluir otro ip de ecupamento que resists informacisn, # menos frnayan sido formalmenteavtorzadas por al Responsable de dicho Srea o-el Responsable cel Arca Informatie y ol Responsable Seguridad ce Invermacie, 19) Prohibir comer, bebery fumar dentro dels intaacones de proceamient del informecién, 11.1.6 Control: Areas e acceso pln, de carga y éescarga Se controlarén ts draas oe Recagcén y Olstibuciin, las cuales eatarén elstdas de ae insalacionas de procesamianta de informacion, 2 finde impadir Para elo se establecern conrolesfsices que consicerarin los siguentes lincamietos 12) Litre acceso ols reas de dept, desde a extern dela sce del Orgensmo, sto al personal prevamentelenticada autriado 2) Dicer al rea cde depéstto de manera tal que los suminstros puedan ser descargados sin que ol personal que reali lb entrega acceda a otros sectoros ‘elec, 6 Proleger tases os puertas exteriors dl sepéstocuance se abre la puerta intema ‘9 Inspecconar el mater entrante pare descarterpelaros potencies antes de ser trasiadado ese el $re8 ce depts hassel lugar de uo. 2) Registrar el material entrante al Ingresar a sito pertinence 1) Cuando fuese posible, el material enrante debe estar segregado 0 separado en sus derentes partes quel constitu. 11.2 Categoria: Segunad dels equpos objetivo tar péraia, ea, robo 0 compromiso de os actvosy ln interupcén ge bs actives cal Organism. ‘Se debe protager a equipa de amenazas tics y ambientaes, 11.24 Control: emolozamionte y proteciin de auises £1 equpamlento ser ublado y protesdo de tal manera que se reduzcan los rasgasocasionades por amenazasy pelgfes amblenales,y las oportunidades ‘be accnso no aularizade,tenendo en cuenta ls siguientes puntos 2) Ubicarolequpamiento en un sie donde se minimice el acceso innecesari proves un contra de acceso adecsaco, ») usicr as instalacones de procesamientay almacenamsento de informacign que manejan datos dasfieados, enn sito que permita le supenisin durante ‘© Alstar os clomentos que requerenproteccén especial para reduc el nivel general de protecciénrequena, 8) Adoptar controlesasecuados pare mivmiza” el aspo de amenazas potencies, por Amonazas Potoncaies Ccontoles Robo @huto Ircendo Erploshos Hum Irundacones 9 fiaconae do aqua (o fata de suinisto) Poivo ibraciones tacos quimicos Interfarencia en al suninistro de enema eldcrice (cores de suriiso,vaiacén 6 tensién) FRadlaconeletromagnisics Demumbes Bt ‘Se deben estableertneaientos sobre las actividades de camer, beber y Fumar a proximida de bs meds de procesaiento dele informacén Ravisarregularmente fs condones ambientales sara veriar que las mismas no afectan de manera adversa al funcenamients Ge las instalacones de Procesamiante dels informacdn. Esta favstn se realaré cada! (ida? periocldad, na mayer 2 Sus meses) ‘Se deben aptcar protec conta ayes a todos los eis y se eben adaptar firs de protec contra rayos a todas as Unease ingrese de ener y ‘omunacones {Consderar asimisma ol impacto dels amenazas cada ena punto d) que tengan lugar en Zonas primes 2a sede dl Organise, 13.22 Control: Insalciones de suministro £ equgamianto estar protepido con respecto alas pelbles falas en el sumintro de energlau tras anomalas eldcricas, El sumiisvo de eneroiaextaré de ‘euerda con las sapeifescones del fabless o proveedor ce cade eqina, Para asegurr la canthuised del sumo de aera, se contempardn Ios ‘gvientes medidas de cont _2) bisponer de mules enchufes neas de suministro para evar un Unce punto de fala en el suminsto de anrsi, ) Contr can un suminist de sreriainterrumpible (UPS) para asegurar sl apagada reguladoy sstemdtio ola ejecucin cantinua del equipamients que ustents bs operaciones erica del Orgnisine. La dstrminecion de dots operelones teas, sera el resultado dl andlisis de Impacto "ead por el Responsable de Seguriad de a Informacion corjuntamente con fs Propetaios dela Informacén con curbenla Los planes a coningenca contemplaran [Bs accones que nan de emprendarse ante una fala-de la UPS. Las equpos ce UPS seran Inspecconados y provados paréaiamene pare asequr GU ‘ionan correcamente y gue enen la sulonomia requerida ©) Montor un generedor de respalde pars los casos en que el pracesamiento debs contnuar ante una fala prolengads en el suminstro de energie. Debe hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 35162 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina realzarse un andsis de impact dels posiblesconsecuencas ante una intecrupcén pralongada del procesamiento, can el objeto de deri qué components Gerd necesor abastecer do energioafenatva,Dicho ands ser) realzace per el Responsable de Sequrioad ce Ta Tnformacén conjuntarsete con Ios Fropietries de In inormacén, se dlapondrs de un adecuado sumo de combusile pars garentzar Que el generocor pueda ‘uncanar por un parce prolongace. Cuando el encendio de los generadares no sea automatic, se aseguraré que el Uempo de furconamiento Je la UPS permite el encenalo ‘anual de os mismos. Los generadares sera nspecsonados probados periment Sore asegurar que funconen sean lo previ. ‘Asmisme, sa procuraré que los Ineruptores de emergencia se ublquen cerca ¢e ns salidas de emergoncia dels salas donde se encuentra ol equaamviento, ‘tee “actar un corte rapido ge Ia energia tn cose ds produce una suacin cries. Se proveeré de kminacn ce emergence ceso oe producrst ina fala eel suminisve prinéoal de energl. Se implementard prolacaén contra descargas elericas eh Todos ts eicos yliness de comunieacanes Srtenae de seuerdo a las normotivas vigente. Las opciones para logar a contri dels suminstres¢e anersi nclyenmliplesalmentaciones para evar que ura fala en el suminstrs ée enersia, 11.2.3 Control: Sequride oe cableade El eableaco de onorgaeléctriay de comunlacionos que transporta Gates © brinda apoyo alos Servicios de informacion estar proteldo contra intereepctin ‘.caho, mediante Is siguientes accones 9) Cumpli con los requisites tenios vigentes de a Replica Argentina ) uilzaro\soducto o eableado embuido en lb pared sempre que sta posible, cuando correspond» las instalaciones Ge srocesamiento de Inormacién. En 1u doect estarssaujetar bla siguentaproteccon alernatva:... (aaiarsroteccn alteratve cel cablesdo) 1 Protage o cablendo de re contra intereepein no autrizada o dao median los siguientes controle... (eempl: e uso de conductos o evitande {rayector que atraviesen Sess pss). 4) Separar os cables de eneraa ces cables de comunicacines sar ewtarIntrfrencias. =) Protege al tendo del cableaco troncl (Backbone) mediante a utizeién de ductosbindacos ara lo sistas sensible 0 crtcos. Yosssu (etallarcusles Son, se implementa fs siguientes controls adiionales: 12) Instalar conducts bnados y relatos cajas con eetradura en les puntos terminalesy de inspecidn )Uttzar utes 0 medios de transmis alteratvas. 14.24 Control Mantenimianto de las equipas ‘Se realizar el mantenimiento del equipamiento para ssegurar su depended e ntegrded permanents. Para elo se debe considera 2) Someter ol aqusamiento 2 tareas de mantanimierto prevantvo, de acierco con lo intavales de servicio y espectcacones racomendades sor el Provecuory con ta autarzaisn formal del Responsastes del Area Informatica El Area de Informatica mantandrs un Ista acualzeco del cquipamiento CoP Eletale dele freedonco en gue se reslzaré st mantenimients preventive. ») Establacer ue slo ol personal de mantenmientoautorzado puede brindar mantenimentsy leva a cabo reparacnesen el equpamlent, Registrar tas es als supuestas 0 reales y todo el mantenimient preventive y eomacive reaiade 1) Reheat o eto de equipamiente des sede del Organise para sy mantenimlent, 12) Etminar ta tnformacén contancial que contenga cualquier equlpamente que Sea necsaro eta, realzéndose prevamente las respectvas coias de resguardo. 11.25 Control Seguridad de los equpos fuera de las Insalcones £1 uso de equpamianto dectinado al procesamianto de Informacn, fuera gel dmbito del Organiemo,seré autorzado por el responsable patrimana. En el ‘aio de que eh tl misma se almacene ‘formeciss dlsiicad, debe ser aprosada ates poral Propieaio de la Mama. Ua seguridad provto debe ser cuwatente fa sumistraca dentro él bits del Crganssmo para un propos smi, renendo en cuenta Is resgos ge bala” Frade a misma Se respetarén permanantemente las instuclones cel fabricar respecte del cldado del equipamients.Asimismo, e mantandré una adecuada coberture de {sgure para proteger el equrparinta fuera dl smbto dl Organise, cuando sea converte Los esges de segundss, por ajemplb: dafo, robo 9 incecapcén; puede varar cansidrablemente entre los exfcios y s9 debe tomo en cients para ‘valor los cotrles apropados 11.26 Control: Rewlzacn 0 ei seguro de equipas La informacién puede verse comprometce por une desafectacon uns reutiacén descuidees del equpamiento. Los medios de alnaceramiento ‘onfen'enco materal sensible, por ejemplo discos rgidos no remoubles, sarin Tileamente dest 0 sobrescrtos en forma segura en lugar de vehzar ae ‘unelones de borado estinaay, SegUn coresponda Los depostvor que cantengon informacién conidencal deven requere une evauacén de esgo pare determina si fs items debieran er Fscamente ‘estrldes on lugar 6 erviaros a roparar 0 dascartar 14.2.7 Control: Ratraga de materiales propiedad del organo El equisamient, ls nformacin yo 2ftware no sarin retrador dela sede del Orgone sin sutarizaeén formal Periéicamente, s2levarén a cabo comprobaciones puntuales para detatar el retro no autorzada de actives del Organism, ls que serénlevadas a cabo poe iodcar el Area responsable), 1 personal serdpussto en conocimianto cela posed de ‘alain de dichaa comprobecones Los empleados deen saber que se lovan a abo chequcosinespeados, ys chequeos se deben realzar con la debida eutorzacén de ls requerimientos legals regulaores, 14.2.8 Control: Policas de Pantabes Lmpias Les usuarios debe garantizar que los equips desatndies scan protegdos adecuadament os aupes nstalados on Stas de usuarios, por efemple etacones de aba svidors de rcios,reqularen una protec aspects contra acess Responsable de Seguridad de fa Informaciin debe coordinar con el Area de Recursos Homanos fs tarsas de concentzacén 2 todos los usuarios y ‘conatisas, acfea de los requermientasy procesimientos de seguridad, para le protaccon de aquipes dasatenaies, ao! come de Sus funclones en alain ‘ia implementacin de ica protecion Los usuarios cumplsn cn las sguentes pasta: 42) Conclulr ts sesiones actnas al nazar las taeas, 2 menos que puedan protegerse mediante un mecanisme de bloquee adecsado, per ejemale, un hitpservcios jnfoleg.gobainfolegnternet’anexos!240000-244998/242859inorma.htm 3662 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina protector de portale prtegiso por conraseh ») Proteger las PCs 0 tarminales contra usos no autonzades mediante un blocueo de seguridad © control equialente, por elemple,contraseha de accaso ‘landoo s2ubzan, 13.28 Control: Paltleas de Exertoros Limos Se adopta una police de escrtories tmplos para protege” decumantes en papel y dlssestives ce almacenamiento femoviles y une poltica de pantalias ide lettres ae poceamnio ce foes,» de esa er Hapa Ge aa Po ean Peachy 2 dew imac at Se aplcarin los siguiente neamiantos: 2) Amacanar bajo lave, cuando coresponda, los documentos en papel y los mds lnermias, en gablnetes yu oto po de mebifanie segure cuando xin send vilizedes, especialmente ers del Rorara de robo. 2) Guarcar bao llave In nfrmacin sensible o rie del Organisma (preferentemante an una caja fuerte a gabinete a prusbe de Incencos) cuando no ests ‘2h, especialmente cuando no hy personal en la ofa «) Desconcctar de ls rod / sistema servile las computadorss personales, terminaes « impresoras argnades 9 furcones citas, cuando estén ‘Sesstendias. Lae mismo deben ser protaidos medinee corracras de sequréae,conaseRas i oror corrals cuando no estan en veo (com> por esemplo Ib utltzacién 2 protectors oo partala con contrasea). Los responsable de cada rea mantendran un regio Ge ls contrasahaso copa Ge ls laves 2 Spur vas on el sect ou cage aes seers se eearn peels on sobe cago ce Ge sepurded pare Inet aca No 1) Protager los puntos de recescién y envio e corso postal y las maculnas de fx no atendas 1) Bloquear as ftocopiadoras (0 protegerae de alguna manere dl ute no autrizado) fuera del horario normal trabajo 1 Retire inmedtamente Is nformacén sensible o confer, una ver impress 12, cdusua: Seourided en as Oneraciones Generabcaces La proeracén de sotware malicioso, come virus, Wayanes, et, hace necesara que se adoplen medidas de prevencisn, a elctos de evita a ecurrancie de tales omnes. Es convaniente saparar los amblentes de desarle,prusba y operaciones de los sistemas del Organismo, establecende procedimlenos cue asaguren la ‘aldad de ls procesos que se implmenten en el Amite operetvo, e fin de mininizar los Mesgus ae incicentes producldos po la manipladén de invormacén spertva opjetvo “Gorantzar el funconamianto corrcte y sguro de las instalaiongs de proceeamianto a iformaci, Establecerresponsablléaes yprocemientos para su gstén yoperac,incleyendoinstruccones operatva, procedimientos para la respuesta a incdentes Y separacin de funcenes “Todos las nstalacones de procesamlento de informacién del Organise, 1 Responsable de Seguridad dela nfrmscin tend su cargo, entre otros: + Define procedimiantes para ol control de cambios alos process operatives decumentados, los sistemas e instalcionas de procesamiants de informacsé, y ‘entear Su cumotiiento, de manera que no stecen Ta Segudad det vormacen, + Etablocererterios de aprobacn para nuevos sistemas de informecin, actuazacones y nuevas versiones, contemplange Io reazacién de las pruebas ecesanas artes de su aprobacon dente, Veriiea que slehosprocaamiantos de aprobalon de software icluyan aspects Ge seguridad para todas las + Define proceimientos pare al monejo de incientes de seguridad y orale admintracn dels medias de almacsnamiento + Define y documentar contoles pare fa deteceén y prevencén del acceso no autorzad, fe protectin contra software mallcoso y para garantzar la Seguridad ce tos datos los services conectados en la fees del Organism + Desarrlarprocedimientos adecuados de concentizaibn de wsuers en materi de seguridad, controler de acceso alsistema yadminsraién de cambios. + Verfear lcumplilente dels nermas, procecimintesy controle establcios. 1 Reaponseble del Aree Tntormtic tend a su cargo lo siguiente: + Contrlarlaexstncia de documentacibnactualizaa relaionaca con los procedmientos de operaciones + ft posible inacda epg de lo cation prs & sitenas y ecupamint y wear a cred implant, agro Fesponsainaades + Aeminstrarlos mesos tencosnecssaries para permit a segregacin dels amblentes de procasamients + Herat us necanins de capa es lease operas prove la ua emanasde apa, 2 evar peters emenaas ‘Sto sogurgeg del sistema ols servis dl usuers. + Contrlarlareatzacin de as copias de rasquardo de Ifermacié, asi como la prueba periéelca¢e surstauracén, + Asegurar a restr de las ectvdedes realized por el personel aperatio, pare su posterior revi, Implomentar los controls de sequriéa cefnidos (software maicioso ¥ access no autoriades) hitpservcios jnfoleg.gobainfolegnternet’anexos!240000-244998/242859inorma.htm 3762 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina + befinie implomentar procecimients par lb acminstracén de medio informstices de almacenamionto, como nts, discos, csetes informe impresos YY paralaeliminacsnsepura alos msmes. + Parlpar enol Watamenta de os nedentes de seguridad, ce acer 8 ls praceaimietosestablecidos 1 Responsable de Seguridad de f Informacién sunt con ol Responsable del Area Informa y el Responsable del Area Jurisica del Orgaismo evaluarin los omtatesy acverdos Con tecares para garanzar la Incorporacton ge censceraclanes Flatvas 8 segura dela Ivormacteninvolueraca ch la gestan de tos procucos o servis prestados. cada Propetoro de Ia Informacisn, junto con el Responssble de Seguréed de Is Informacion ol Responsable cel Area Informstica, determina los Fequerimientos para resguardar la iformacs" per Ia cual es respensabe, Asmisme, aprobard los services de mensojeriaautarzaces are Wansporar fa Invormacén cuando sea requeldo, de acuerce a ou vel de ertiogea La Unies de Autor interne o en su defeto quien sea propuesto por el Comité de Seguride de a Tnformacib,reisaré las actividades que no heyon sido Posbes sogregar. Asimsro,rovisrd ls rogistos de actviades dl personal oprabve, Pots 12.1 Cetepera:Procesimlentos y Responsabildads operatvas objetivo segura aperacién corectay segur de las metios de pracesamiento del informacén. ‘Se deban establecer ls responsabiidacesy procedmlents parla gostén v operacién de to¢os los meds de procesaminto dala nformacis. Esto incluye ‘et esarrle da les proceaimentas ae opera apronados 12.1.1 Control: Documentacén de los Proceimientos operatvos ‘Se dacumentardn y mantendrin aetuazades ls proceamients operatives ientiades en esta Poti y sus cambias sera autarizades poral Responsable { Segurded del informe. Las procedimintesespeciicaréninetructones paral eecucin detain decade tare, incloyendo 2) rocesemienta y mang dela ifarmacién b) Requermientos ce programacén de proceso, interdependenciss con otros sistema, tempos de inicio de Iss prenras tars y tempos e terminacion de «© Instruciones pare el manejo de stares uaras condones exceplonaes gue pueden surgir durante la eecucdn de tress 4) Restriccones enol uso de vtlitaros del sistema, ©) Personas de soporte @ contact en caso de difeutades operatives teres imprevistas 1 Insruccones especislos para cl manejo de *saléas, como el use de papelera especial o Is sdministractin de saldss contdencales, Inchyend proceaimentes para elminatign segura de salcas fais Ge tress 49) Reino del sistema y procedimients de recuperaion en caso de progucrse alls en sistema ‘Se presarerd adiooralmente documentacién sobre procedimientos refers als siguientes actvidodes 2) Instalacn y manterumlento de equipamiento para el procesamiento de ivormacién y comunieacones ®) Instlacén y mantenimiento de is pitaformas de processmieto «9 Mortoreo dl procesamientey las comuniacones. 4) Inco y nalzasso de a ajecucin des sstemes. 2) Programactény elecucén de procsos 1) Gestiso ae services. 2) Resguarso e informacion. 1) Gestdn de incdentes de saguridad en el ambiente de procesamlent y comunicaclons. 1) Remplezoo cambie de companentes del oibiente de procesamientey comunicacones 1) Uso de corr lactic, 12.1.2 control Cambios ens Operaciones ‘Se detnran procedimientos gor el conral de ls cambios en el amblanteoperatvo y de comunicaciones, To cambio debe ser evaluado previamente en aspects tcnieas de Sepudad 5 Responsable de Segurise de le Infermacién cotolaré que ls cambas en os componente operatvosy de comuricacones no aeete a segurcad de lot ‘amor nde a sformacisn que soportan,t1 Resporesble del Area Informatie evalu el pose paca opcrtve se lor cambios previstoey verifier Correct implementa Se retendrd un registro de audtora que contenga ada la intormacin relevane de cada cambio iplementado Ls procedimientos de control de cambios eontemparn ls sigulentes puntos: {2} 1oentncacién yrelstro de camblassigneatves. ) Evaluacion det posible impacto de leno cambios ©) Aarobacin formal d as cambios prosuestos 4) Planicacsén del proceso de cambio 1) Prusba cel nuevo escorai, hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 3e62 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina 1) Camuniesiin de detaies de combis ¢ toes las personas pertinent 19) Ieentcaién dels responsabildades por fs cancelacisn de les cambios falices yf recuperacién respec de los mises. 12.1.3 Control: Plnicaion ce a Capacicad 1 Responsable del Area Informatie, ool personal que éste designe, efecuar el monitoreo de ss neces¢ades de capscidad de los sstomas on operacén y proyecar los Mturas demandas, 2 fn de gorantizar un procesamlanto y almacensrvento adecuades. ava ello tamara 2n cuenta aaemds les Nuevos Fequerimienios ce ls sistemas as! come los tendencas scluakes y proyectaces eh el pocesamiento de la infermacn det Organise pare at period ‘Stlptodo de vido (el de cae componente. Asimismo, ormaré les hoceidades detectadns ls outonaades competentes para que pucdonIenttiar y tetar potencsles culls ce bots, ave podran plantear una smenaze a la seguried 0 * fs contnuces del procesamlent, ¥ pueden planes une ‘sseeunce aan corectv, 12.1.4 Control: Separacn de entoras de desarrollo, pushas yoperaconaes Los amblontes de desarollo, prucba y operaciones, slempre que soa posible, estarin separados preferatements en forma fica, y 50 éefririn y ‘ecumantaan as realas para a ransferenca de software dace al estado Ge cesarrale hac el estado procuctv>, ra lo, tendrdn en cuenta os sguiantes controle: 2) Ejecutar el sofware de desoralloy de produccén en sferentes amblenes de operaciones, equpos, 0 drecoios. ») Separar as actiiaades ae desarrollo y prusha, en entomas cferentas ©) Imposir el acceso a los complagores, etores y otros ulitaros del stema en el ambiente de pradvcién, cuando no sean Ineizenssbles para el ‘nconamento cel mame, 6) Utiarsistamae de autenticacén y autrizacén independients para los dierent ambiente, as como pers de acceso 2 los sistemas, Prob os “huarios compartir contracshas en estos sistem. Lae interfaces dels sitemae izevfearénloromente» evs natancie se sats eaizando Io cohesion. {Define propietanos de Is nformacisn para cada uno de los ambientes de procesamlent exstents, 1) etpersanal de cesarolla no tends acceso al ambiente productive, De ser extrema dha necesidag, se esablecerd un procedimienta de emergenda pre ‘ulontacion, docomenteidnyregatre de dichos access. 12.2 Categoria: Potecién contra el malnare (éalge maicioso) objetivo Proteger Ia intooriéad del software y la inogracén. Se roquere tomar precauciones para aviary detectar Ia ntoduccén de célgos malicosesy cbeigos ‘mavies no-2utorzaces. el setware los meds ce procesamiareo ce a nfermacien son vuherales ala ntroduccan de cools malaeses, como se, ere ‘tos, rus Trayenas, bombes lglas, ete Las vsuaries ceben estar al tanto de los peigras de ls cigas malicoses. Cuance sea sprepiado los grentes ‘Sebon introduc contol pore ear, detector yelimin’ ls beigns malicososy contol Ios cigos mati, 12.24 Control Cont eortra ol malware (éelge malicoso) 1 Responsable de Seguridad de a Inarmacidn defird contol de dleccsn y prevencin par la protecién conta software mabiso, £1 Responsable del Jews Informatics, oe personal designoda por tse, implementare dese contol 1 Responsable de Segurdad dels Inormacién desarclar procecimintas adecuados de corcientizacién de usuarios en materia de seguridad, conoles de ‘ccaso al sstema y emiisvacén de cama. Estos coneles deben considera etablecerpollas Y procedimerts frmales que conten as siguientes 2) ProhiiIe nstalacn y uso de Software no autorizado por el Organise (Ver 181-2 Contra: Derecho ce Propiedad Insecta). Radactarprocedmmantos pare evar le resgoscelecanadas con laabtenclin de archives y software desde o a tavks de reges externas, o por cualquler ira media (a: dopostves ports), sefalonde las medidas de proleceéns tomar © Instalar y acualzar penddicamente sofware de deteccién y reparacén de vis, examinade cemputadoras y mesos Informatics, como mesida 4) Mantener ls sistemas oda con is timas sctualzaciones de seguridad esponibes (proer ches actuazaciones en un entorno de prueba previemente ‘en que constsiyen cambios ertcor 9 le items). 2) Rewsorparaicamante a contenido de software y datos da ts equpos de procesamuerto que sustentanprocesos citens del Organise, investgande ‘Gemelmente la prescrcla de aries ho aprabadas 0 modiesionas no autrzagas 1) Verficar antes de su uso, ls presencia de virus en archivos de medias eletrénlens de orgen Ince, 9 en archivos recbidos 9 través de reds no ‘conales, ) Radar oroceiiets para ect 6 iormacn rata 8 sefiare mle, guatiand aie ls bles dealt sean exacos « 1) Concentizar al personal acerca del problema ce Ios alos antivirus (ropues) y ls cadnas falses (hoax) y de cémo procecer frente alos mismes. 1) Redectr normes de pratecin y habla de pusras de conean de dspostves més y sus derechos de acceso 12.2.2 control: ge Méui En caso que al céigo mévil sea 2utorzaco, se debe garantizar que la confguradsn asagute que el céigo mévilautorizado epere ce acuerdo 2 una ‘anlgureion de seguridad daramente defini, prewniende que el cadigo iv noautorzado ses ajentado ‘Asmismo, se implementarén aciones parla proteccin contre accones malisas resutantes dela ejeucibn no autorzaca¢e céigo mévil come ser: 12) ejecusén del eéaigo méuil en un ambiente Kgeamente aisle; ) Bloque del uso do céeigo méul 6) Blquee de a recepei de ebaigo mévi {9 actvaclin de mess tenicas como sea dsponble enn sisters expecico para asegurar que el cidigo mévl es gestonade: £2) contol de los recursos alsponibles para el acceso del cSigo ml 1) implementacén de contales rptogrifices pera eutentca de forma univoes el eign mél 12.3 Categoria: Respuardo (backup) hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 30162 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina objetivo Martenelaintegriad ydisponilided de Ia informacion los mecios de procesamlento de informacén, ‘Se deben sstablecer los procesimientas de ruina para implements la poltica de respale acardada y la estrateaia (ver tembin Cléusula 17.1 Categoria ‘Gestion ce Continidad el Organise) pare tomar eapias de resplde de lr dstory proctor retauraionoporine 12.3.1 Control Resquarde ge le Informacién 1 Responsable dl Ares Informétco, de Seguridad de eInfermactény las Propetrios de Iformacén delarminsrdn los roqurimlenos pare resguerdar cada ‘afware 9 aato on funeén de mu eleag En ase aoa, se defines y documentaré un esqueme ce resguardo dels informa. Responsable del Aces inforstca spond y controlar la realizacin de ichas copes a! como la prueba peilca desu rstauracin eitegrldad. Para to se debe contar con nstalacanes de resguatde aue gatancen la dspenibdad ae toda la Sfrtncisny el sotate erca del Organisna Las itera ‘be reaqurdo.deben proberse perideamente, osegurdncose que cumolen con los requerimientas de los lanes de continued se los ecowdedes. dl ‘rganismo, segin a punto (ver también Clusula 1721 Categoria: Gestion de Continua del Organism) Se deiarénprocecimiantos ara el resguardo dei informacér, que deben considera es sguentes punta: 49) Defrr un esquema de rétulo de ls copas de reagusrde, que permits cantar ean tada ls nformecién necesaris para Mentifear cada und de elias y Sominisrarios denidamente ») Estalecer un esquema de remplao de los medias de almacenamiento de las coplas de resguerda, una Ver concca la pasbiaad de ser reutlizaces, de ‘tuerda ala fica poral proveedor,y asegurnde la destruccn dels medias dewecns, 2) Almacenar en una ubleaién remota cepias recentes de informacién de resguarso junto con registro exactes y completos de as mismas y los procedimentes documentades de restauracn, a una distancia suclente como para eva dahes provensetes de un desasire ana tle pineal. Se deben fetaner al menos Wes generaioneso los e informacion de rasguardo pra la nfrmacio ye sftmareesendals pra el Oanisa ara le define Invormacin minim a se resgusrdada en el sito remot, se debe tener sh cuenta el nivel de dasfeacsn lorgogo # lb mismo, eh terninos de spoiled "Yegutsts legals 9 Tos cue se encuenire suet. 4) Asignar a ta informacén de resguarda un nivel de proteccién fica y ambiental segGn las normas apliadas en el sto principal. Extender los mismos ‘antoles eplcagos ls esosives en el silo princpal al sits de resouetes, +) Provarpendcicamente los meds de resguor, 1) Vericary proba petéaicament los procadimiantos de rstauraciéngarantzando su efeaday cumplimiento dentro del tempo asignado ala recuperaién tls procadmientos operatives 1244 Categoria: Registro y Monkoreo objetivo Detectar ls actividades de procesamiento de nformacisn no autorzacas Se denen montorear ls sistemas y 52 deben reportar los eventos de segurcad de la Informacién. Se deben utlzarbitécras de operator y se deben Feoistar las falas pera. asegurar que se ldettiiquen las problemas en las atemas de Informsdin. Una orgarizeise debe cumgir com todas Tos requerimientos legolesrelevontes aplcbles asus ethidades de monitor y rei. Se debe utiizar el monitoreo del sstema para checuesr Ia efectwice oe los controls adopados y pare verfcar Is conformidsa con un mee de police de 12.62 Control: Registro de eventos Se producrin y mantondrin reistros de audtora en los cuales se rgistren las actdades, excepcionas, y eventos de seguridad ce lb iformactén de los Usuarios, por ut pefodeaeordago pare permit la detecléne inestgacin de Ingenta, ‘Se debe evaluar a regstraién, en los mencionados restos, de Ia sgulente informacin: 2) idenieacén Gees usuarios; fechas, tempos, y detalles de os eventos principle, por eJempla, inlay cere de seid «© eentéad dal equip of vbicacn ses posite; 6) cepeeos de itentos de acct al sistem exes y fli; 1) reistos de intentos de acceso 9 fs tos ot recurso, exososy echazados: 1) cambios ala contiguracién del sistem; 2) ot de pegs: 1h) uso de uttaros y apicaciones ce sstemas: 1 archives acedids ya ipa de acceso; 1) drecciones6e odes y prtaesbs; alarmas que son ejectadas por el sistema de conto de access; 1 actvaci y dsactivacion de ls sistemas de protectin, tales come sistemas avis ysstomas de dteccén de intruss. 12.4.2 convo: Proteccén dl reqistro de informacion ‘Se implementa conles para a protecibn dels ragisras de autora contr combs no sutriados y problemas operacinsles,inchyenc: _2)ateracones de os tipes de mensajes cue Son orabaces; 1) ecino eiminacin de areives de registro acoso do a capacidad de almacenamiento de los archivos de gsr, resutendo on I fala para registrar bs eventos 0 sobrascrbianée eventos registrados el pasace 12.4.3 Control: Regis del Administradory del Operador ‘Se reistrariny rvisarin prtdicamente on particulars actividades de los administradores y operadores de sista incuyende: hitpservcios jnfoleg.gobainfolognternet’anexos!240000-244998/242859inorma.htm 40162 15272018 IMOLEG - Ministerio de Economia y Finanzas Piblicas Argentina 2) oenta de administracin u operaeén nvlucrade: b) momento ane cual ecure un evento (xt all); {6 informacisn acerea del eventa (por empl, ls archivos manipulaes) o as alls (por slempl, ls errres acu y las eecanes coredtivas tomadas); £2) procoss involucrades, 12.44 control: Sincronizacn de Reloes ‘fin ce gerantizar ls exactitude los re\stros de atari, al menos los equipos que realicen estos registro, debon tener una correcta confgursién de sus Felts. ar eo, se dlsponard de un procedimlento de aust de rloes el cual indcard tambidn la veradn dels rela contra una fuente eterna del sate y Le ‘oselded de coreeués ante eualquie varacénsigneatva 1255 Categoria: Control ge Software Opercional objetivo “Gorantzor ia seguridad de los archivos del stems Se gave control zeae ans eres dl ate yl lag Net cl programe, os royectas TI Asma, ls ates de soporte Se cea 125.1 Control: Insatacén de Software en sistemas operaconates ‘Se deinen oe siguientes controle ¢rolzar durante I implementacén del software en produciS, «fin de minimizar el ieago de alterscén de oe sistemas. + toda aplieacén, desaroiada 30° ol Organisme © per un tercare tendré un Unico Responsable cesignado formalmente por al Responsable del Ara invormsta, + Ningin programedoro anette de desrolo y mantenimente de eplcalonespadré acoder alos ambientes

You might also like