REGLAMENTO SOBRE SEGURIDAD INFORMATICA

TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informtica que garanticen la confidencialidad, integridad y disponibilidad de la informacin que se procesa, intercambia, reproduce y conserva mediante el uso de las tecnologas de informacin, siendo el Jefe mximo de cada entidad el responsable del cumplimiento de todo lo que en l se dispone . ARTICULO 2: A los efectos de este Reglamento se entender por Seguridad Informtica, el conjunto de medidas administrativas, organizativas, fsicas, tcnicas, legales y educativas dirigidas a prevenir, detectar y responder a acciones que pongan en riesgo la confidencialidad, integridad y disponibilidad de la informacin que se procese, intercambie, reproduzca y conserve a travs de las tecnologas de informacin. ARTICULO 3: Este Reglamento ser de aplicacin en todos los Organos y Organismos de la Administracin Central del Estado y sus dependencias, otras entidades estatales, empresas mixtas, sociedades y asociaciones econmicas que se constituyan conforme a la Ley, (en lo adelante entidad), siendo de obligatorio cumplimiento por todas las personas que participen en el uso, aplicacin, explotacin y mantenimiento de las tecnologas de informacin.

ARTICULO 4: La informacin que se procese, intercambie, reproduzca y conserve a travs de los medios tcnicos de computacin se considera un bien de cada entidad.

TITULO II

ESTABLECIMIENTO DE LAS MEDIDAS ADMINISTRATIVAS SOBRE LA SEGURIDAD INFORMATICA.

CAPITULO I

POLITICAS Y PLANES DE SEGURIDAD INFORMATICA Y DE CONTINGENCIA

Seccin 1 Polticas sobre Seguridad Informtica. ARTICULO 5: Cada administracin adecuar la poltica, que establecer en su entidad acorde a las regulaciones que rijan sobre la seguridad de la informacin que se procese, intercambie, reproduzca o conserve a travs de las tecnologas de informacin, determinar los tipos de informacin y recursos para su proteccin, y crear y establecer los mecanismos de control para garantizar el cumplimiento de las regulaciones previstas en este Reglamento. ARTICULO 6: Con el fin de garantizar la correcta adecuacin de la poltica a seguir para lograr la Seguridad Informtica en cada entidad, se har un anlisis de la gestin informtica, que debe abarcar : su organizacin, flujo de la informacin, tecnologas de informacin disponibles, alcance de la actividad informtica dentro y fuera de la entidad, categora de clasificacin de la informacin que se procesa, determinacin de la informacin sensible para la actividad fundamental de la entidad y los controles establecidos; que brinden

los elementos indispensables para evaluar la vulnerabilidad del sistema y los principales riesgos a que est expuesto.

Seccin 2 Plan de Seguridad Informtica. ARTICULO 7: El Plan de Seguridad Informtica se instituye como una exigencia para todas las entidades, en el cual deben reflejar las polticas, estructura de gestin y el sistema de medidas, para la Seguridad Informtica, teniendo en cuenta los resultados obtenidos en los anlisis de riesgos y vulnerabilidad realizados. El mximo dirigente de cada entidad garantizar , segn corresponda a la actividad informtica que se desarrolle, que se elabore, ponga en vigor, cumpla y actualice peridicamente. ARTICULO 8: El Plan de Seguridad Informtica y su aplicacin sern objeto de aprobacin y control por parte de las distintas instancias de la propia entidad.

Seccin 3

Plan Informtica.

de

Contingencia

para

la

Seguridad

ARTICULO 9: El Plan de Contingencia para la Seguridad Informtica se instituye como una exigencia para todas las entidades, con el fin de garantizar la continuidad de los procesos informticos ante cualquier desastre que pueda ocurrir. ARTICULO 10: El Plan de Contingencia para la Seguridad Informtica, contendr las medidas que permitan, en caso de desastres, la evacuacin, preservacin y traslado, de los medios y soportes destinados al procesamiento, intercambio y conservacin de informacin clasificada o sensible. As mismo, contemplar las medidas pertinentes para la conservacin y custodia de los ficheros creados con fines de salvaguarda. ARTICULO 11: El Plan de Contingencia y su aplicacin sern objeto de aprobacin y control por parte de las distintas instancias de la propia entidad.

CAPITULO II

SEGURIDAD FISICA Seccin 1 Requerimientos de proteccin fsica en reas vitales. ARTICULO 12: Se consideran reas vitales aquellas donde se procese, intercambie, reproduzca y conserve informacin clasificada a travs de las tecnologas de informacin , en dichas reas se aplicarn las medidas de proteccin fsica siguientes: a) se ubicarn en locales de construccin slida, cuyas puertas y ventanas estn provistas de cierres seguros y dispositivos de sellaje, preferiblemente en los niveles ms bajos de la edificacin; debiendo cumplir con los requerimientos bsicos que reduzcan al mnimo las probabilidades de captacin de las irradiaciones electromagnticas que los medios tcnicos de computacin y comunicaciones emiten; b) a los locales que tengan ventanas que se comuniquen con el exterior de la instalacin, se le aplicarn medidas que eviten la visibilidad hacia el interior del mismo; y c) aplicar sistemas de deteccin y alarma en todos los lugares que lo requieran. ARTICULO 13: La entrada o permanencia en las reas vitales estar en correspondencia con el nivel de acceso a la informacin clasificada que se le haya otorgado a las personas. En el caso del personal de servicios, mantenimiento de equipos u otro que eventualmente precise permanecer en el rea, lo har siempre en presencia de las personas responsables y con la identificacin visible.

ARTICULO 14: Se aplicarn accesorios o medidas alternativas que permitan la creacin de una barrera fsica o tcnica de proteccin a las tecnologas de informacin, que posibiliten el control de acceso a la informacin, al uso de las facilidades de intercambio no autorizadas, o impidan el uso de estos medios para cometer acciones malintencionadas o delictivas.

Seccin 2 Requerimientos de proteccin fsica en reservadas. ARTICULO 15: Se consideran reas reservadas aquellas donde la informacin que se procese, intercambie, reproduzca y conserve a travs de las tecnologas de informacin sea sensible para la entidad y se aplicarn las normas de proteccin establecidas de acuerdo a las caractersticas de cada lugar. ARTICULO 16: La entrada o permanencia de las personas en las reas reservadas debe ser controlada, requirindose la autorizacin expresa de la persona facultada para ello. En el caso del personal de servicio, mantenimiento de equipos u otro que eventualmente precise permanecer en el rea lo har siempre en presencia de las personas responsables. reas

Seccin 3 Requerimientos de proteccin fsica a los soportes. ARTICULO 17: Todos los soportes que contengan informacin clasificada sern controlados y conservados en la oficina de control de la informacin clasificada o en el rea responsabilizada, segn lo establecido para su proteccin y conservacin. ARTICULO 18: Los soportes pertenecientes a una entidad, cuando contengan informacin clasificada o sensible, sern controlados ,debiendo reflejar los datos de control en los soportes removibles que lo

permitan, sealizndolos de forma clara y visible, con la categora de clasificacin de la informacin de mas alto valor contenida en los mismos. ARTICULO 19: Para utilizar soportes de propiedad personal o de otra entidad, ser necesario contar con la autorizacin del jefe administrativo del lugar, aplicndose los controles establecidos en los casos en que la informacin contenida en los mismos sea clasificada o sensible. ARTICULO 20: Cuando el Jefe de la entidad autorice a que se procese o conserve informacin clasificada en soportes de otra entidad, los mismos sern controlados con las medidas establecidas para su proteccin. Una vez concluido su uso, se efectuar la destruccin de la informacin. ARTICULO 21: El traslado de los soportes tiene que realizarse respetando las normas de conservacin de los mismos, con el objetivo de garantizar la integridad y confidencialidad de la informacin que contienen y cumplirn las medidas de proteccin establecidas de acuerdo a la categora de clasificacin de la misma. ARTICULO 22: La informacin clasificada contenida en los soportes, se destruir fsicamente una vez concluida su utilizacin, mediante el uso de desmagnetizadores y sobreescrituras ( al menos cinco escrituras) u otros mecanismos que permitan su destruccin. ARTICULO 23: La entrada y salida de soportes contentivos de informacin no clasificada, en las reas donde se procese informacin clasificada, se har con la autorizacin del Jefe de la misma, el cual ser el responsable de que a su salida no sean contentivos de informacin clasificada.

CAPITULO III SEGURIDAD TECNICA O LOGICA

ARTICULO 24: Los requerimientos para la seguridad tcnica o lgica, que se establecen en este Captulo, sern de implementacin a nivel de software y hardware y estarn en correspondencia directa con las polticas y modelos de seguridad que para la informacin se determinen en cada entidad. ARTICULO 25: A las tecnologas de informacin en que se procese, intercambie, reproduzca y conserve informacin clasificada o sensible, se les implementarn mecanismos para identificar y autenticar los usuarios.

ARTICULO 26: Siempre que sea factible, se implementarn mecanismos de control que permitan contar con una traza o registro de los principales eventos que se ejecuten y puedan ser de inters para la deteccin o esclarecimiento ante violaciones de la Seguridad Informtica. ARTICULO 27: Solamente podr intercambiarse informacin clasificada a travs de las tecnologas de informacin utilizando sistemas de proteccin criptogrfica diseados y producidos por entidades debidamente certificadas por el Ministerio del Interior. ARTICULO 28: A partir de la promulgacin de este Reglamento, las aplicaciones destinadas al procesamiento de informacin clasificada tendrn que estar en capacidad de asignar en la pantalla y en cada hoja de la salida por la impresora, la categora de clasificacin de la informacin, segn corresponda. En los casos de los documentos o bases de datos con distintos niveles de clasificacin se marcarn con la categora de clasificacin de mayor nivel contenida en los mismos. ARTICULO 29: Todas las aplicaciones destinadas al procesamiento de informacin clasificada o sensible, reunirn los requisitos siguientes: a) incluir claramente documentadas las polticas de acceso que por caractersticas propias de la gestin de la entidad, sean necesarias aplicar, partiendo del nivel de clasificacin de la informacin que procesan; b) marcar los objetos con los distintos niveles de clasificacin de la informacin que permita la aplicacin del control, acorde a los niveles de acceso otorgado a los sujetos informticos; y c) contar con la capacidad de registrar todas las operaciones principales, realizadas en el tratamiento de bases de datos que contengan informacin clasificada o sensible. ARTICULO 30: Se dotarn de proteccin contra ataques o alteraciones no autorizadas, a los mecanismos de seguridad tcnica que se apliquen, tanto a nivel de sistema operativo como de aplicaciones.

ARTICULO 31: Se contar con salvas actualizadas de las informaciones, con el fin de recuperarlas o restaurarlas en los casos de prdida, destruccin o modificacin mal intencionada o fortuitas, de acuerdo a la clasificacin o importancia de la informacin que protegen. ARTICULO 32: En dependencia de las caractersticas tcnicas de los equipos se aplicarn detectores automatizados de violaciones, que permitan conocer y neutralizar las acciones que constituyan un riesgo para la confidencialidad, integridad y disponibilidad de la informacin. ARTICULO 33: En las tecnologas de informacin en que se procese informacin clasificada o sensible, se aplicarn mecanismos de proteccin que controlen el acceso a travs de los dispositivos de soportes removibles.

TITULO III SEGURIDAD DE OPERACIONES

CAPITULO I GENERALIDADES ARTICULO 34: Toda entidad tiene que mantener identificadas las tecnologas de informacin que posean, en aquellos casos que sean utilizadas para procesar informacin clasificada. ARTICULO 35: La reparacin o mantenimiento de los equipos destinados al procesamiento de informacin clasificada se realizar una vez borrada fsicamente la informacin. Cuando la informacin, por imposibilidad tcnica o de explotacin, no pueda ser borrada, el personal responsabilizado con su reparacin queda obligado a cumplir lo dispuesto por la Ley del Secreto Estatal, y a destruir todos los ficheros y materiales resultantes de las pruebas tcnicas realizadas que puedan contener dicha informacin. ARTICULO 36: Cuando las tecnologas de informacin no renan los requisitos tcnicos que permitan garantizar el cumplimiento de lo

establecido por este Reglamento, para la conservacin y tratamiento de la informacin clasificada, el usuario est obligado a borrar fsicamente la informacin clasificada que en ella se contenga. ARTICULO 37: Se prohibe la utilizacin, distribucin o comercializacin de herramientas de Seguridad Informtica que no cuenten con la aprobacin del rgano correspondiente del Ministerio del Interior, sin perjuicio de las autorizaciones que puedan conceder otros organismos. ARTICULO 38: Los medios tcnicos de computacin y los soportes que sean utilizados en eventos, exposiciones o ferias, no podrn contener informacin clasificada, ni informacin que comprometa de alguna manera la gestin de la entidad.

CAPITULO II DESIGNACION Y FUNCIONES DEL RESPONSABLE DE LA SEGURIDAD INFORMATICA. Seccin 1 Designacin ARTICULO 39: Las entidades que operen con tecnologas de informacin, en dependencia de sus caractersticas y necesidades designarn, a una persona con la experiencia y confiabilidad suficiente para ser Responsable de la Seguridad Informtica. ARTICULO 40: Cuando las caractersticas propias de la entidad y el volumen y dispersin de las tecnologas de informacin instaladas, as lo aconsejen, se podr designar ms de un responsable para la atencin de la Seguridad Informtica en las diferentes reas de trabajo.

Seccin 2 Funciones

ARTICULO 41: Son funciones del Responsable de Seguridad Informtica en cada entidad las siguientes:

a) ser responsable de la aplicacin y mantenimiento de los planes de seguridad informtica y de contingencia; b) comunicar al Jefe administrativo de su rea cuando en ella no se posean los productos de seguridad informtica actualizados y certificados, de acuerdo a las normas recogidas en el presente Reglamento, y a las condiciones de trabajo del rea; c) apoyar el trabajo del Jefe de Proteccin y el Jefe Administrativo, en cuanto al estudio y aplicacin del sistema de seguridad a los sistemas informticos, con el fin de determinar las causas y condiciones que propician violaciones en el uso y conservacin de estos sistemas y en la informacin que se procese en ellos; d) proponer y controlar la capacitacin del personal vinculado a esta actividad, con el objetivo de contribuir al conocimiento y cumplimiento de las medidas establecidas en el Plan de Seguridad Informtica y en este Reglamento; y e) analizar peridicamente los registros de auditoras a la Seguridad Informtica.

CAPITULO III TRABAJO EN REDES Seccin 1 Seguridad de operaciones en el ambiente de las redes de datos. ARTICULO 42: Se prohibe la conexin de las mquinas donde se procese informacin clasificada a las redes de datos de alcance global. ARTICULO 43: Son de obligatoria implementacin los mecanismos de seguridad de los cuales estn provistas las redes de datos; as como de

aquellos que permitan filtrar o depurar la informacin que se intercambie, de acuerdo a los intereses predeterminados por cada una de ellas. ARTICULO 44: Quien detecte indicios de difusin de mensajes contrarios al inters social, la moral y las buenas costumbres, la integridad o seguridad del Estado, debe comunicarlo al Administrador de la red y este al Titular de la misma.

Seccin 2 Funciones del Administrador de una red, en relacin con la Seguridad Informtica. ARTICULO 45: Toda red de computadoras deber contar para su operacin con la existencia de un Administrador que tendr entre sus funciones bsicas: a) velar por la aplicacin de mecanismos que implementen las polticas de seguridad definidas en la red; b) velar porque la misma sea utilizada para los fines que fue creada; c) activar los mecanismos tcnicos y organizativos de respuesta ante los distintos tipos de acciones nocivas que se identifiquen; y d) contar con un mecanismo de coordinacin y aviso con el resto de las redes nacionales y el Ministerio del Interior, que permita actuar de conjunto ante la ocurrencia de violaciones. TITULO IV PRESTACION DE SERVICIOS DE SEGURIDAD INFORMATICA A TERCEROS. ARTICULO 46: Solo estarn autorizadas a brindar servicios de Seguridad Informtica a terceros aquellas entidades que cuenten con el correspondiente certificado de autorizacin emitido por el Ministerio del Interior sin perjuicio de las que puedan conceder otros organismos.

ARTICULO 47: Los criterios a tener en cuenta para emitir el certificado de autorizacin para prestar servicios de Seguridad Informtica son los siguientes: a) nivel tcnico - profesional de los especialistas que laboren en la entidad; b) que el objeto social de dicha entidad coincida con estos fines; c) que dicha entidad cuente con mecanismos eficientes que garanticen la calidad de los servicios y la confiabilidad del personal; d) que la entidad est realmente en condiciones de cumplir reglamentos y disposiciones establecidos en esta materia; los

e) que cuente con medios de proteccin de la informacin a la que durante su trabajo tenga acceso; f) que los productos de Seguridad Informtica, que utilicen estn debidamente certificados por los rganos correspondientes del Ministerio del Interior sin perjuicio de los certificados que puedan conceder otros organismos facultados para ello; y g) que el capital sea enteramente nacional y el personal designado para brindar los servicios sea ciudadano cubano y resida de forma permanente en el pas.

TITULO V SALIDA AL EXTERIOR DE LAS TECNOLOGIAS DE INFORMACION Y SUS SOPORTES. ARTICULO 48: El traslado al extranjero de tecnologas de informacin contentivas de informacin clasificada, solo ser autorizado de acuerdo con lo establecido en la legislacin vigente. ARTICULO 49: La persona responsabilizada con el control de la informacin clasificada, en coordinacin con el Responsable de

Seguridad Informtica, comprobar si las tecnologas de informacin y sus soportes que se trasladen al extranjero, contienen solo la informacin que se autoriza para ello, as como que estn libres de virus informticos.

TITULO VI ENFRENTAMIENTO A LAS VIOLACIONES DETECTADAS EN EL FUNCIONAMIENTO Y USO DE LAS TECNOLOGIAS DE INFORMACION ARTICULO 50: El Responsable de Seguridad Informtica, ante posibles violaciones de las medidas de proteccin establecidas en este Reglamento informar de inmediato al Jefe de la entidad o en quien este delegue, y se crear una comisin encargada de realizar las investigaciones necesarias y comunicarlo al rgano correspondiente del Ministerio del Interior. ARTICULO 51: La comisin encargada de realizar las investigaciones ante la deteccin de violaciones, estar integrada por el Responsable de Seguridad Informtica y dos personas ms que cuenten con los conocimientos tcnicos e informativos del rea donde se hayan producido, siempre que no estn implicados en las mismas, con el fin de esclarecer lo ocurrido y precisar los responsables.