Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
o
Código formato: PGD-02-02 Versión: 11.0
PLAN DE SEGURIDAD DE LA INFORMACIÓN
Código documento: PGTI-02 Versión: 1.0 CONTRALORÍA
DE BOGOTÁ. D.C.
Página 1 de 9
Aprobación Revisión Téc ica
Firma: -~oneoDicryg42 Ce 1 1/41) V
CARMEN ROSA MENDOZA Nombre: SUÁREZ
No bre: MERCEDES YUNDA MONROY
Cargo: Director Técnico Cargo: Director Técnico
Dirección de Tecnologías de la Dependencia: Información y las Comunicaciones
Dependencia: Dirección de Planeación
R.R. No. Comité SIGEL Fecha DICIEMBRE 19 E 2018
Código formato: PGD-02-02 Versión: 11.0
CONTRALORÍA DF BOGOTA D C
PLAN DE SEGURIDAD DE LA INFORMACIÓN
Código documento: PGTI-02 Versión: 1.0
Página 2 de 9
JUAN CARLOS GRANADOS BECERRA Contralor de Bogotá, D.C.
ANDRÉS CASTRO FRANCO Contralor Auxiliar
MERCEDES YUNDA MONROY Directora Técnica de Planeación
CARMEN ROSA SUAREZ MENDOZA Directora Técnica de Tecnologías de la Información y las Comunicaciones
Diciembre 2018
o
Código formato: PGD-02-02 Versión: 11.0
PLAN DE SEGURIDAD DE LA INFORMACIÓN Código documento: PGTI-02 Versión: 1.0 CONTRALORÍA
DE BOGOTA. D.C.
Página 3 de 9
TABLA DE CONTENIDO
INTRODUCCIÓN 4 OBJETIVOS 4
2.1 OBJETIVO GENERAL 4 2.2 OBJETIVOS ESPECIFICOS 4
ALCANCE 4 BASE LEGAL: 4 METODOLOGIA DE IMPLEMENTACIÓN 6 CRONOGRAMA 7 IMPLEMENTACIÓN ANEXO A - NORMA ISO 27001:2013 8
Código formato: PGD-02-02 Versión: 11.0
PLAN DE SEGURIDAD DE LA INFORMACIÓN
Código documento: PGTI-02 Versión: 1.0 CONTRALORÍA
DE BOGOTÁ. D.C.
Página 4 de 9
INTRODUCCIÓN
La Contraloría de Bogotá, en el Plan Estratégico Institucional, estableció el Objetivo Estratégico No. 5 - Estar a la vanguardia de las tecnologías de la información y las comunicaciones que potencialicen los procesos y fortalezcan el ejercicio de control fiscal' y para articular este objetivo, se determinaron cinco estrategias, una de ellas, la "5.2. Proteger la información institucional, buscando mantener la con fidencialidad, la disponibilidad, integridad y seguridad de los datos", para lo cual, la entidad, se encuentra implementando del Subsistema de Seguridad de la información- SGSI, el cual se encuentra articulado con la Política de Gobierno Digital; durante la vigencia 2019, ejecutará el presente plan, mediante el cual, se continuara la implementación del SGSI.
OBJETIVOS
2.1 OBJETIVO GENERAL
Definir el plan de seguridad la información para la implementación, evaluación y mejora continua del Subsistema de Gestión de Seguridad de la Información — 5051 de la Contraloría de Bogotá, con el fin de mantener la confidencialidad, integridad y asegurar la disponibilidad de los activos de información.
2.2 OBJETIVOS ESPECIFICOS
Establecer actividades, responsables y tiempo de ejecución para la implementación del Subsistema de Seguridad de la Información de la Contraloría de Bogotá, el cual se encuentra basado en el Modelo de Seguridad y Privacidad de la Información MPSI del MINTIC, establecido como habilitador transversal de seguridad de la información en la Política de Gobierno Digital.
Fortalecer la seguridad de la información en la de Contraloría de Bogotá mediante la aplicación de controles para la protección de los activos de información de la Entidad.
Cumplir la normatividad y lineamientos de la Política de Gobierno Digital establecidos para el habilitador transversal de seguridad de la información.
ALCANCE
El Plan, está previsto para el alcance del Subsistema de Gestión de Seguridad de la Información de la Contraloría de Bogotá, D.C, se enmarca en las actividades planteadas para el año 2019.
BASE LEGAL:
Código formato: PGD-02-02 Versión: 11.0
PLAN DE SEGURIDAD DE LA INFORMACIÓN Código documento: PGTI-02 Versión: 1.0 CONTRALORÍA
DE BOGOTÁ. D.C.
Página 5 de 9
NORMA FECHA DESCRIPCIÓN
Ley 599 24-jul-2000 Por la cual se expide el Código Penal. Título III capítulo séptimo de la violación a la intimidad, reserva e interceptación de comunicaciones. Art 192, 193, 194,196 y 197.
Le 1273 y 05-ene-2009 Por medio de la cual se modifica el Código Penal. Título VII Bis "De la protección de la información y de los datos". Artículos 269A a 269J.
Ley 1581 17-oct-2012 Por la cual se dictan disposiciones generales para la protección de datos personales.
Ley 1712 06-mar- 2014 Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones.
Ley 1915 12-jul-2018 Por la cual se modifica la ley 23 de 1982 y se establecen otras disposiciones en materia de derecho de autor y derechos conexos.
Decreto 1377 27-jun-2013 Por la cual se reglamenta parcialmente la Ley 1581 de 2012.
Decreto 886 13-ma y-2014 Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos
Decreto 103 20-ene-2015 Por el cual se reglamenta parcialmente la Ley 1712 de 2014.
Decreto 1078 26-may-2015
Por medio del cual se expide el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones. Capítulo 1, Título 9, Libro 2, Parte 2 subrogado por el Decreto 1008 de 2018.
Decreto 1081 26-ma y-2015 Por medio del cual se expide el Decreto Único Reglamentario del Sector Presidencia de la República. Parte 1, Titulo 1.
Decreto 090 18-ene-2018 Por el cual se modifican los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto único reglamentario del sector comercio, industria y turismo 1074 de 2015.
Decreto 1008 14-jun-2018
Por el cual se establecen los lineamientos generales de la política de Gobierno Digital y se subroga el capítulo 1 del Título 9 de la Parte 2 del Libro 2 del Decreto 1078 de 2015, Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones. Política de Gobierno Digital.
Acuerdo 658 21-dic-2016
Por el cual se dictan normas sobre organización y funcionamiento de la Contraloría de Bogotá, D.C., se modifica su estructura orgánica e interna, se fijan las funciones de sus dependencias, se modifica la planta de personal, y se dictan otras disposiciones.
Acuerdo 664 28-mar-2017
Por el cual se modifica parcialmente el Acuerdo 658 del 21 de diciembre de 2016, por el cual se dictan normas sobre organización y funcionamiento de la Contraloría de Bogotá, D.C., se modifica su estructura orgánica e interna, se fijan las
kir>9)
CONTRALORÍA DE BOGOTÁ, D.C.
Código formato: PGD-02-02 Versión: 11.0
PLAN DE SEGURIDAD DE LA INFORMACIÓN
Código documento: PGTI-02 Versión: 1.0
Página 6 de 9
NORMA FECHA DESCRIPCIÓN funciones de sus dependencias, se modifica la planta de personal, y se dictan otras disposiciones.
Resolución 305 20-oct-2008
Comisión Distrital de Sistemas. Por la cual se expiden políticas públicas para las entidades, organismos y órganos de control del Distrito Capital, en materia de Tecnologías de la Información y Comunicaciones respecto a la planeación, seguridad, democratización, calidad, racionalización del gasto, conectividad, infraestructura de Datos Espaciales y Software Libre.
Resolución 0 04 28-nov-2017 Por la cual se modifica la Resolución 305 de 2008 de la CDS.
NTC-ISO/IEC COLOMBIANA 27001:2013
11-dic-2013 Norma Técnica Colombiana NTC-ISO-IEC 27001.Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información.Requisitos.
Guías MPSI 29-jul-2016 Modelo de Seguridad y Privacidad de la Información, MINTIC.
5. METODOLOGIA DE IMPLEMENTACIÓN
La implementación del Subsistema de Seguridad de la Información SGSI de la Contraloría de Bogotá, se basa en el Modelo de Seguridad y Privacidad de la Información - MPSI establecido por el Ministerio de Tecnologías de la Información, el cual tiene como referencia la norma ISO/IEC 27001:2013 con aplicación del ciclo de operación de la mejora continua - PHVA (Planear, Hacer, Verificar y Actuar).
Figura No. 1 Ciclo de operación del Modelo de Seguridad y Privacidad de la Información. Fuente: Modelo de Seguridad y Privacidad de la Información.MINTIC
La implementación del SGSI en la Entidad, se realizará a través de la ejecución de actividades establecidas para el desarrollo del ciclo PHVA definido en el siguiente cronograma.
CONTRALORÍA hOCOTA 1)C
Código formato: PGD-02-02 Versión: 11.0 Código documento: PGTI-02 Versión: 1.0 Página 7 de 9
PLAN DE SEGURIDAD DE LA INFORMACIÓN
6. CRONOGRAMA
FASE ACTIVIDADES RESPONSABLE PERIODO EJECUCIÓN
1-Diagnostico Actualización de autodiagnóstico — MINTIC con los avances realizados en SGSI por la entidad
Dirección TIC Enero -2019
2- Planificación
Revisión anual / actualización de Políticas de seguridad de la Información.
Comité SIGEL Dirección TIC Junio 2019
Modificación y aprobación de procedimiento de mapa riesgos de CB incorporando la metodología de riesgos de seguridad digital alineado con la nueva metodología del DAFP, acorde a los numerales 6.1.2 y 8.2 Valoración de Riesgos de Seguridad de la Información de los requisitos de la Norma ISO/IEC 27001:2013
Dirección Planeación
Dirección TIC
Febrero 2019
Identificación de Riesgos y plan de tratamiento de seguridad digital, acorde a los numerales 6.1.3 y 8.3 Tratamiento de Riesgos de Seguridad de la Información de los requisitos de la Norma ISO/IEC 27001:2013
Dirección Planeación
Alta Dirección Marzo de 2019
Aprobación de procedimientos de seguridad y privacidad de la información.
Dirección TIC
Dirección DAF
Despacho de Contralor Auxiliar
Enero - Junio 2019
Actualización de actividades de comunicaciones y Capacitación de SGSI.
Dirección de TIC Febrero -2019
3- Implementación
Actualización de la planificación y Control operacional.
Dirección de TIC Febrero 2019
Actualización de indicadores de gestión de SGSI
Dirección de TIC Febrero 2019
Implementación de Plan de tratamiento de los riesgos. Alta Dirección Marzo —
Diciembre 2019
Código formato: PGD-02-02 Versión: 11.0
PLAN DE SEGURIDAD DE LA INFORMACIÓN
Código documento: PGTI-02 Versión: 1.0 CONTRALORÍA
DE BOGOTA, D.C.
Página 8 de 9
Implementar los controles (Definidos en la Declaración de aplicabilidad).
Dirección de TIC Directores, Subdirectores, Jefes de oficina
enero — Diciembre 2019
Ejecución de actividades de comunicaciones y capacitación SGS1
Dirección de TIC Subdirección de capacitación y cooperación técnica.
enero — diciembre 2019
4- Evaluación y desempeño
Revisión y seguimiento, a la implementación del SCSI por la alta dirección.
Comité SIGEL mayo -2019
Plan de Ejecución de Auditorías Control Interno junio-2019
5- Mejora Continua
Plan de mejoramiento
Control interno Dirección de TIC Directores, Subdirectores, Jefes de oficina
diciembre -2019
Comunicación de resultados de auditorias
Control interno Julio — diciembre 2019
7. IMPLEMENTACIÓN ANEXO A - NORMA ISO 27001:2013.
A continuación se describen los dominios y controles que se seleccionaron para desarrollar y fortalecer en la vigencia 2019, de acuerdo a los resultados de los avances alcanzados por la Entidad en el año 2018 en las fases de planificación e implementación del Subsistema de Seguridad de la Información:
DOMINIOS CONTROLES
A.5 Políticas de seguridad A.5.1.2 Revisión de las Políticas de seguridad A.6 Organización de la
seguridad de la información
A.6.1 - Organización interna A.6.2 Dispositivos móviles y teletrabajo
A.7 Seguridad de los recursos humanos
A.7.1.2 Términos y condiciones del empleo A.7.2.2 Toma de conciencia, educación y formación en la seguridad de la información A.7.3.1 Terminación o cambio de responsabilidades de empleo
A.8 Gestión de activos
A.8.1 Responsabilidad por los activos A.8.2. Clasificación de la información A.8.3. Manejo de medios
A.9 Control de acceso
A.9.1.1 Política de control de acceso A.9.2 Gestión de acceso de usuarios A.9.4 Control de acceso a sistemas y aplicaciones
A.10 Criptografía A.10 Criptografía A.11 Seguridad física y del A.11.1 Áreas seguras
O
Código formato: PGD-02-02 Versión: 11.0
PLAN DE SEGURIDAD DE LA INFORMACIÓN Código documento: PGTI-02 Versión: 1.0 CONTRALORÍA
DE BOGOTA D.C.
Página 9 de 9
DOMINIOS CONTROLES entorno A.11.2 Equipos
A.12 Seguridad de las operaciones
A.12.1 Procedimientos operacionales y responsabilidades A.12.2.1 Controles contra códigos maliciosos A.12.3.1 Respaldo de información A.12.4 Registro y seguimiento A.12.5.1 Instalación de software en sistemas operativos A.12.6 Gestión de la vulnerabilidad técnica A.12.7 Consideraciones sobre auditorias de sistemas de información
A.13 Seguridad de las comunicaciones.
A.13.1.1 Controles de redes A.13.2 Transferencia de información
A.14 Adquisición, desarrollo y
mantenimientos de sistemas
A.14.1.2 Seguridad de servicios de las aplicaciones en redes publicas A.14.1.3 Protección de transacciones de los servicios de las aplicaciones A.14.2. Seguridad en los procesos de desarrollo y de soporte A.14.3.1 Protección de datos de prueba
A.15 Relación con los proveedores.
A.15.1 Seguridad de la información en las relaciones con los proveedores
A.16 Gestión de incidentes de seguridad de la
información.
A.16.1 Gestión de incidentes y mejoras en la seguridad de la información
A.17 Aspectos de seguridad de la
información de la gestión de continuidad de negocio.
A.17.1 Continuidad de seguridad de la información A.17.2 Redundancias
A.18 Cumplimiento A.18.1 Cumplimiento de requisitos legales y contractuales A.18.2 Revisiones de seguridad de la información
8. CONTROL DE CAMBIOS
Versión R.R., Acta o modificación Día mes año Descripción de la modificación
1.0 Acta No.5
Comité SIGEL 19-dic-2018
Versión Inicial
min• ~par .1~ . • ME • •
- 4
•
iddiaa I mmaiNsina 1
nom u -Ir 4 u •- 1.1 1 I . ~LO . alain.W.1~ ISQl; :