manual de sistema de seguridad de la información

“POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA POLICÍA NACIONAL” 7. Identificar y solicitar la implementación de oportunidades de mejora continua. El primer paso es recopilar toda la información en un inventario, que denominamos registro de activos. Otorgar o negar permisos al personal de soporte, para modificar el código fuente. El trabajo remoto solo es autorizado por el responsable de la unidad de la cual dependa el funcionario que solicite el permiso. (Decreto 1377/2013). Los sistemas eléctricos están documentados mediante planos que cumplen con las especificaciones de las normas que apliquen al respecto. 5. �1d�s��]G� =��L��6�ԓql�����}��ҩ6���������at* �����I­�. 3.  Enviar información clasificada como no pública por correo físico, copia impresa o electrónica sin la debida autorización y/o sin la utilización de los protocolos establecidos para la divulgación. ARTÍCULO 9. 5. 4. Disponible de lunes a viernes de 8:00 a.m. a 5:00 p.m. Consulta información de trámites, programas y servicios de bienestar, Direcciones regionales y centros zonales para atención y orientación. No obstante, lo anterior se cuenta con. Decreto Ley 019 de 2012 “Racionalización de trámites a través de medios electrónicos. 15. ARTÍCULO 4. Para asegurar la continuidad del suministro de energía, se tiene en cuenta los siguientes controles: 1. Barreras perimetrales. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 213 0 R /Group<>/Tabs/S>> Tipo de transacción. UPS. Somete a pruebas de calidad antes de salir a producción. Analiza cómo afecta el nuevo sistema o sus actualizaciones la capacidad de procesamiento y almacenamiento los recursos actuales. El acceso a los equipos que utiliza el personal de la Policía Nacional está protegido, mediante un inicio seguro de sesión, que contempla las siguientes condiciones: 1. - Unidad Institucional. Los procesos se han desarrollado hasta un punto en el cual protocolos similares son utilizados por personas diferentes para llevar a cabo la misma tarea, aun cuando estos no se encuentran totalmente documentados. 9 0 obj _________________________ del ___________________ HOJA N° 2 DE 40.  Enviar información clasificada como no pública de la Institución a través de correos electrónicos personales, plataformas de mensajería instantánea y diferente a los asignados por la Institución.  Usar servicios de internet en los equipos de la Institución, diferente al provisto por el proceso de Direccionamiento Tecnológico o autorizado por este. Libertador Bernardo O'Higgins 1449, Santiago, Chile (Ley 1581/2012). 2. Archivos a los que ha tenido acceso. 43 0 obj TUTORA JENNY ARCOS ARTÍCULO 2. k. Se debe ejercer un control de acceso a la red, por lo tanto los funcionarios no usarán conexiones distintas a las que provee la Oficina de Telemática, por lo tanto el uso de túneles VPN o conexiones TOR como complemento de los navegadores no están autorizados, y las conexiones que se generen y se evidencien en los sistemas de control adoptados por el Direccionamiento Tecnológico tendrán las sanciones a que haya lugar. Arquitectura de software. 6. DIRECCIONES, OFICINAS ASESORAS, ESCUELAS:            Director o Subdirector. ARTÍCULO 28. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 231 0 R /Group<>/Tabs/S>> 7. APLICACIÓN EN PROGRAMAS DE FORMACIÓN. Recursos tecnológicos. REGISTRO DE EVENTOS. Windows seguridad del sistema operativo. 2. endobj En las unidades de Policía se deberá seguir las siguientes directrices para la aplicación de los controles de entrada, así: 1. Sistema de Información. ARTÍCULO 10. 7. Alarmas originadas por los sistemas de control. Así mismo, los asesores externos y contratistas solo podrán conocer, acceder y/o recibir información de inteligencia y contrainteligencia de conformidad con el artículo 37 de la Ley 1621 de 2013 y deberán suscribir acta de compromiso de reserva, previo estudio de credibilidad y confiabilidad. SEGURIDAD DE SERVICIOS DE LAS APLICACIONES EN REDES PÚBLICAS. La Policía Nacional, a través de su plan anual de auditorías, garantiza el cumplimiento de la Política de Seguridad de la Información definida en el presente manual, buscando el mejoramiento continuo del sistema, cada unidad velará por el cumplimiento de la Política de Seguridad, mediante las buenas practicas, que servirán para el fortalecimiento de los procesos en cada uno de los grupos que conformen la unidad, de igual manera, para la verificación del seguimiento el Área de Control Interno realizará auditorías periódicas al Sistema de Gestión de Seguridad de la Información y ayudará a elaborar los respectivos planes para la mejora continua. Sus funciones se encuentran recogidas en el artículo 7 del RD 43/2021, que establece: Actuar como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información. 7 SEGURIDAD DE LAS COMUNICACIONES ARTÍCULO 1. Fuentes de Información. NO CONFORMIDADES Y ACCIONES CORRECTIVAS. El 24 de mayo de 2018. la Procuraduría General de la República (hoy Fiscalía), las autoridades y algunas asociaciones gremiales financieras de México formalizaron las Bases de Coordinación en Materia de Seguridad de la Información cuya finalidad es definir un mecanismo de coordinación para dar respuesta efectiva a incidentes de seguridad . - Servicio de Policía. 12 CUMPLIMIENTO ARTÍCULO 1. SC 6545 – 16 No. C. COMUNIDAD POLICIAL: Los funcionarios de la Policía Nacional son todos aquellos quienes con su talento, compromiso, responsabilidad y liderazgo garantizan el orden público de la nación. De igual forma, de acuerdo a la criticidad del área o sistemas de información se solicitara métodos de autenticación fuerte como lectores biométricos, tarjetas inteligentes y/o tokens. 8. h. Cualquier incidente de seguridad informática debe ser reportado al grupo de Telemática de la unidad y su vez al grupo CSIRT-PONAL. 2. ARTÍCULO 3. 9. 9. Protección contra software malicioso. 2. 4. Los elementos metálicos que forman parte de los cableados estructurados están conectados al sistema de tierras del edificio. EXCEPCIONES. 1. 3. OBLIGATORIEDAD. - La información restringida deberá ser destruida o devuelta a la unidad de inteligencia que entregó el documento en 12 horas. Las instalaciones alternas garantizan las condiciones de seguridad y ambientales necesarias para la conservación de los respaldos de información; el protocolo de back up contempla las siguientes directrices: 1. 5. Notificaciones Judiciales : Plan de recuperación ante desastres.  Realizar cualquier otra acción que contravenga disposiciones constitucionales, legales o institucionales. 5. Las pruebas de los Sistemas de Información, se realizan en ambientes separados al de producción, siguiendo las siguientes pautas: 1. Los equipos de cómputo deben quedar apagados al finalizar la jornada laboral o cuando una ausencia temporal supere dos (2) horas. Anexo No.4 CONTROLES CRIPTOGRÁFICOS ARTÍCULO 1. 3. Esta declaración de aplicabilidad debe contener como mínimo la siguiente información:          Numeral y Control de la norma. REVISIÓN Y ACTUALIZACIÓN. Dicha autorización solo se otorgará por la Oficina de Telemática una vez se verifique las condiciones de seguridad del ambiente de trabajo. Las organizaciones de TI pueden beneficiarse de las siguientes normas ISO de seguridad de la información: ISO 27001 Sistemas de gestión de la seguridad de la información: La ISO 27001 establece normas concretas de seguridad de la información para su uso por los centros de datos y otras organizaciones. “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA POLICÍA NACIONAL” 1. - La información confidencial deberá ser destruida o devuelta a la unidad de inteligencia que entregó el documento en 6 horas. 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. Para entender más a profundidad en qué consiste un SGSI debemos partir de la definición dada por el estándar internacional ISO/IEC 27000: GP 135 – 16 1DS - RS - 0001 VER: 1 No. <> Analizar el cumplimiento de los objetivos de seguridad. “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA POLICÍA NACIONAL” n. El uso de canales de streaming debe estar regulados y solo se permite a los usuarios que en cumplimiento de sus funciones lo requieren, ya que se debe dar prioridad al sostenimiento de las aplicaciones y sistemas de información Institucional. Administración de las políticas de seguridad de la información Las políticas de seguridad de la información se revisan y actualizan anualmente con el fin de garantizar su vigencia y pertinencia para el cumplimiento de los objetivos institucionales. 9. indicadores del sistema de seguridad de la informaciÓn 53 10. metodologÍa de seguimiento al sistema de seguridad de la informaciÓn 57 10.1 pruebas de seguridad digital 58 10.3 indicadores 59 10.5 mejora continua 61 10.6 recomendaciones del seguimiento 62 11. plan de auditorÍa interna del sistema de seguridad de la informaciÓn 63 11.1 . endobj Las actividades de desarrollo y pruebas deberán realizarse en ambientes separados.  Usar la identidad policial digital (cuenta de usuario y contraseña) de otro usuario o facilitar, prestar o permitir el uso de su cuenta personal a otro funcionario. Valiosa. 7. Ubicación y límites. _________________________ del ___________________ HOJA N° 21 DE 40. h. Empleo de herramientas de mensajería instantánea no autorizada por la Oficina de Telemática de la Policía Nacional para el manejo de información Institucional o coordinación de servicio de Policía. 5 SEGURIDAD FÍSICA Y DEL ENTORNO ARTÍCULO 1. INFORMACIÓN DOCUMENTADA. Mejora continua de la seguridad de la información. La Policía Nacional, con el fin de realizar un adecuado aseguramiento de la administración del Sistema de Gestión de Seguridad de la Información (SGSI), define los siguientes roles de quienes deben apoyar y cumplir esta política, así: 1. f. Descarga, instalación y utilización de programas, aplicaciones, software no licenciado, software portable no relacionados con la actividad laboral y que afecte el rendimiento o procesamiento de las estaciones de trabajo y pueda poner en peligro la red institucional. b. Publicación o envío e información categorizada como confidencial fuera de las unidades y dependencias de la Policía Nacional sin previa autorización y sin contar con los previos controles que permitan salvaguardar la información. Atender las recomendaciones de la Circular Conjunta 01/2006 sobre los delitos de propiedad intelectual e industrial. OBJETIVO Establecer lineamientos necesarios, con el fin de fortalecer la gestión de Seguridad y . 5 Transferencia correcta de la información de los pacientes en puntos de transición. 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. Las áreas seguras deben estar cerradas con llave o con sistemas de control de acceso y se revisarán periódicamente. Se deben asignar contraseñas a las redes inalámbricas cambiando la contraseña por defecto de los dispositivos WI-FI asignando sistema de cifrado WAP2 o superior. ARTÍCULO 5. La automatización implica la liberación del hombre en . endobj El Área de Control Interno o un organismo auditor externo, realiza revisiones independientes sobre el cumplimiento de la Política de Seguridad de la Información. “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA POLICÍA NACIONAL” en donde se establece la metodología para la identificación y tratamiento de las oportunidades de mejoramiento que surgen en el desarrollo del Sistema. endobj Protección de los puertos de configuración y diagnóstico remoto. Mantenimiento preventivo a los equipos de acuerdo con los intervalos de servicio y especificaciones recomendados por el proveedor. El Plan también debe incluir las consideraciones necesarias para enfrentarse a la pérdida inesperada o repentina de personal crítico. Es responsabilidad del funcionario garantizar el adecuado uso del medio móvil asignado, conectándolo siempre a redes confiables, que no sean de acceso público para evitar que se contagien de cualquier amenaza pertinente a estos dispositivos (virus, troyanos, malware). _________________________ del ___________________ HOJA N° 30 DE 40. La seguridad de la información es una prioridad para la administración municipal, es por eso que en este documento se implementa reglas y lineamientos técnicos para el uso controlado de activos de información que minimice el riesgo de pérdida de datos, accesos no autorizados, divulgación no controlada, duplicación e interrupci. endobj Las redes inalámbricas están restringidas, para su implementación en las unidades deben tener un concepto de viabilidad por parte de la Oficina de Telemática, y seguir las recomendaciones del Grupo de Seguridad de la Información para su adecuada gestión y protección. ARTÍCULO 11. ARTÍCULO 12. 3. B. ESTADO: La relación de la Policía Nacional y el Estado se fundamenta con el principio constitucional de garantizar la seguridad de todos los habitantes del territorio nacional, por lo tanto el compromiso de la Institución es respetar y promover el Estado Social de Derecho, cumpliendo todos los requisitos legales, contractuales y regulatorios que sean de aplicación para la Seguridad de la Información. Guardar una copia del software a modificar, documentar los cambios realizados. Cualquier componente físico tecnológico, que trabaja o interactúa de algún modo con el computador, incluye elementos internos como disco duro, CD-ROM, y también hace referencia al cableado, circuitos, gabinete, etc. Acuerdos de intercambio de información. Sistemas de Control Ambiental. All rights reserved. ACUERDOS SOBRE TRANSFERENCIA DE INFORMACIÓN. Resultado de evaluaciones y provisiones sobre colocaciones y créditos contingentes (última versión de formulario: 08/07/2021). 4. Los registros de auditoría están protegidos de acceso o modificaciones, con el fin de evitar cualquier tipo de alteración en el nivel de integridad, por tal circunstancia como mecanismo de seguridad todos los registros poseen copias de respaldo. El control a la conexión se realiza a los usuarios, a través del protocolo de administración de identidades, el cual bloquea los usuarios, ante una ausencia laboral. No obstante, este concepto es bastante amplio, y debe ser limitado por una serie de consideraciones, así:  El impacto que para la Institución supone la pérdida de confidencialidad, integridad o disponibilidad de cada activo. ARTÍCULO 3. endobj 3. No mostrar las contraseñas digitadas. El escritorio de los equipos de cómputo no deben tener accesos directos a archivos.  Verificar y aprobar el inventario de los activos de información. Realizar los cambios en el ambiente de pruebas. ARTÍCULO 4. Es el bloqueo o la eliminación de los privilegios o de la cuenta de usuario de la cual dispone un funcionario sobre un recurso informático o la red de datos de la Institución. e. Los usuarios son responsables de la información que administran en los equipos asignados, por lo tanto se debe evitar el almacenamiento de información no institucional (música, videos, imágenes, software, ejecutables portables) que pueda presentar violación a derechos de autor y propiedad intelectual, tanto en equipos de cómputo, como en servidor de archivos en los lugares donde este implementado. Este Departamento está adscrito a la Oficina del Director Ejecutivo de CU. TRABAJO EN ÁREAS SEGURAS. e. Promover o mantener asuntos o negocios personales a través de la red o infraestructura tecnológica de la Policía Nacional. Documento CONPES 3854 11/04/2016 “Política Nacional de Seguridad Digital” Norma técnica Colombiana NTC-ISO/IEC 27000. POLÍTICA DISPOSITIVOS MÓVILES Y TELETRABAJO. Para lo cual se definen las siguientes directrices: 1. 2. GESTIÓN DE DERECHOS DE ACCESO PRIVILEGIADO. Instalación de nuevas versiones/actualizaciones. endobj Anexo No. Para el transporte de información en medios físicos (digital o impresa) se establecen mecanismos para su transporte los cuales contemplan: 1. La Policía Nacional, con el fin de realizar un adecuado aseguramiento de la administración del Sistema de Gestión de Seguridad de la Información (S.G.S.I. 10. Uso de correo electrónico institucional, vía web. De la misma forma se revisan cuando se presenten situaciones como: cambios organizacionales . Disponible lunes a sábado de 6:00 a.m. a 9:00 p.m. Institucional: Controles de acceso. Jefe Seccional de Investigación Criminal, SIJIN. 5. Licencia de software. Para realizar solicitud de acceso a un recurso tecnológico de la Institución, se debe registrar el caso en el Sistema de Información para la Gestión de Incidentes en TIC´S SIGMA, verificando que el usuario haya diligenciado el formato 1DT-FR-0015 Declaración de Confidencialidad y Compromiso con la Seguridad de la Información Servidor Público, el personal externo diligenciará el formato 1DT-FR-0016 Declaración de Confidencialidad y Compromiso con la Seguridad de la Información Contratistas o Terceros, y el formato de asignación de usuario y términos de uso. ARTÍCULO 6.  Destruir la documentación institucional, sin seguir los parámetros establecidos en el manual de Gestión Documental. ALCANCE DEL MANUAL. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 228 0 R /Group<>/Tabs/S>> Disponible lunes a domingo 6:00 am a 9:00 pm, Disponible lunes a domingo 6:00 am a 9:00 pm. Las claves criptográficas asociadas con archivos cifrados, se mantienen en forma segura y están disponibles para su uso por parte de personas autorizadas cuando resulte necesario. No se debe permitir equipo fotográfico, de video, audio u otro equipo de grabación tales como cámaras en dispositivos móviles, a menos que se cuente con autorización para ello. Análisis de riesgo del cambio. (Decreto 1070/2015) ARTÍCULO 4. La seguridad de la información permite asegurar la identificación, valoración y gestión de los activos de información y sus riesgos, en función del impacto que representan para una organización. endobj La seguridad y la privacidad dependen de un sistema operativo que protege el sistema y la información desde el momento en que se inicia, lo que proporciona una protección fundamental de chip a nube. Es el nivel de clasificación que se debe dar a todos los documentos de inteligencia y contrainteligencia que contengan información sobre posibles amenazas, riesgos, oportunidades o capacidades, que puedan afectar al exterior del país los intereses del Estado o las relaciones internacionales. 11. Para el manejo de los activos de información de la Policía Nacional se tiene en cuenta lo siguiente: 1. 3 CONTROL DE ACCESO ARTÍCULO 1. Lleva un registro de las contraseñas usadas previamente, e impide su reúso. Cualquier equipo que no cuente con los controles establecidos, no podrá ser conectado a la red de datos de la Institución. 2. Unidades de apoyo. REVISIÓN TÉCNICA DE APLICACIONES DESPUÉS DE CAMBIOS EN LA PLATAFORMA DE OPERACIONES. 3. Diligenciar y firmar el formato 1DT-FR-0016 declaración de confidencialidad y compromiso con la seguridad de la información contratistas o terceros y 1DT-FR-0010 acuerdo para la revelación de información confidencial bajo deber de reserva. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 210 0 R /Group<>/Tabs/S>>  Conectar computadores portátiles u otros dispositivos electrónicos personales a la red de datos de la Policía Nacional. Monitoreo de los puertos en la red. 16. 1 0 obj Carrera 68 # 64C - 75 Bogotá, Colombia. Registrar los niveles de autorización acordados. 42 0 obj ALCANCE DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN, SGSI. ARTÍCULO 26. 4. ARTÍCULO 8. g. Uso de cuentas de correos no institucionales o de terceros, para el manejo de la información o recepción de actividades realizadas por la Policía Nacional. 4. Ley 1621 del 17/04/2013 “Inteligencia y Contrainteligencia” 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. El Direccionamiento Tecnológico y las unidades de policía donde se administran recursos tecnológicos dispondrá un grupo o funcionario para que realice las siguientes funciones: 1. 2. Partes externas. 2. Análisis ethical hacking.  Retirar de las instalaciones de la Institución, computadores de escritorios, portátiles e información física o digital, clasificada, sin autorización o abandonarla en lugares públicos o de fácil acceso. 2. La Policía Nacional, garantiza al público que hace uso de los servicios del portal Institucional, el derecho de Habeas Data y propende por la seguridad de la información. 5. Escala de Madurez Nivel de % de Descripción Implementación Cumplimiento Los procesos han sido llevados al nivel de mejores prácticas, con base en los resultados de la mejora continua. Hacking Ético (Ethical hacking). _________________________ del ___________________ HOJA N° 23 DE 40. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 208 0 R /Group<>/Tabs/S>> 36 0 obj Es un protocolo de configuración dinámica de host que permite a los clientes de una red de datos, obtener sus parámetros de configuración automáticamente. 2.  El tipo de información que maneja en términos de su sensibilidad y criticidad y sus productores y consumidores. Confidencialidad. 5. 8. Permite la comunicación entre aplicaciones o componentes de aplicaciones de forma estándar a través de protocolos comunes (como http) y de manera independiente al lenguaje de programación, plataforma de implantación, formato de presentación o sistema operativo. 5. Es una variedad de software o programas de códigos hostiles e intrusivos que tienen como objeto infiltrarse o dañar los recursos tecnológicos, sistemas operativos, redes de datos o sistemas de información. 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. 8. Evaluar y aprobar los riesgos para determinar el impacto de dichas interrupciones. 8 0 obj Aprobación formal del cambio, en junta de comité de cambios. Los equipos de cómputo son ubicados y protegidos para reducir la exposición a riesgos ocasionados por amenazas ambientales y oportunidades de acceso no autorizado, así: 1. ARTÍCULO 15. Contienen la definición de necesidades y la generación de especificaciones correctas que describan con claridad, en forma consistente y compacta, el comportamiento esperado de las funcionalidades o modificaciones sobre los sistemas de información. “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA POLICÍA NACIONAL” 2. El control y la observancia frente a la correcta aplicación de lo dispuesto anteriormente es responsabilidad de todo el personal uniformado, bajo liderazgo de los directores, jefes y comandantes en sus diferentes niveles de gestión, con el fin de optimizar, preservar y fortalecer los preceptos establecidos para la disposición final de la información de inteligencia y contrainteligencia. Debe contar con el respectivo control de acceso y filtrado web. Es el reconocimiento de un derecho particular en favor de un autor u otros titulares de derechos, sobre las obras del intelecto humano. Con el fin de disminuir el riesgo de uso inadecuado de la información y los sistemas puestos a disposición para el cumplimiento de las funciones asignadas a los funcionarios, contratistas o personal que tiene algún vínculo con la Institución, se definen las siguientes políticas, así: a. Las unidades de Policía que cuentan con acceso a servidor de archivos, guardarán la información que se crea importante y sobre ella se garantizará la disponibilidad en caso de presentarse un daño en el equipo asignado, para las unidades que no cuentan con este servicio se dispondrá de la realización de respectivos back up coordinados con el Grupo de 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. _________________________ del ___________________ HOJA N° 8 DE 40. La Policía Nacional cuenta con la Oficina Asesora de Comunicaciones Estratégicas (COEST), a través de la cual se socializan y difunden los diferentes componentes del Sistema, entre ellos el Manual del Sistema de Gestión de Seguridad de la Información, las políticas, los protocolos, guías que lo soportan y los elementos necesarios para la sensibilización de los funcionarios de la Policía Nacional. ARTÍCULO 5. Son documentos constituidos entre la Policía Nacional y entidades externas de origen nacional o extranjero en donde se concretan las condiciones del intercambio de información, los compromisos de los terceros de mantener la confidencialidad y la integridad de la información a la que tengan acceso, las vigencias y las limitaciones a dichos acuerdos. TERMINACIÓN O CAMBIO DE RESPONSABILIDADES DE EMPLEO. Tercerización. Análisis del índice delincuencial. 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°.  Divulgar y realizar campañas pedagógicas a los funcionarios y contratistas de la unidad sobre las mejores prácticas en la gestión de activos de información. Los generadores son inspeccionados y probados periódicamente para asegurar que funcionen según lo previsto. Jefe Planeación. _________________________ del ___________________ HOJA N° 15 DE 40. 12. 6. 4. 3. _________________________ del ___________________ HOJA N° 31 DE 40. 2. 2. Por lo tanto se debe realizar las coordinaciones necesarias con los responsables de COEST para la comunicación de los temas relacionados con el Sistema de Gestión de Seguridad de la Información. INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN. La revisión de seguridad de la información debe: 1. Manejo de incidentes y vulnerabilidades.  Llevar a cabo actividades ilegales, o intentar acceso no autorizado a la plataforma tecnológica de la Policía Nacional o de terceras partes. Política de retención de registros. REVISIÓN DEL CUMPLIMIENTO TÉCNICO. CONTROLES SOBRE AUDITORÍAS DE SISTEMAS DE INFORMACIÓN. CONTROLES CONTRA CÓDIGOS MALICIOSOS. 10. La presente obra tiene las características de un manual, por lo que le será muy fácil su comprensión. Los centros de cableado cuentan con rack para alojar los equipos y terminaciones de los cableados cumpliendo las normas técnicas y asegurados con chapas o cerraduras de seguridad, cuyas llaves sean administradas por personal técnico capacitado. No visualizar contraseñas en la pantalla cuando se está ingresando. Si se seleccionan medios de almacenamiento electrónico, se incluyen en los procedimientos para garantizar la capacidad de acceso a los datos durante el periodo de retención a fin de salvaguardar los mismos contra eventuales pérdidas ocasionadas por futuros cambios tecnológicos. Los sistemas de información, así como los servidores, dispositivos de red y demás servicios tecnológicos, guardan registros de auditoría y logs, los cuales contemplan, siempre y cuando sea posible, lo siguiente: 1. Seguridad de los equipos. La adecuada identificación de riesgos sobre la información permitirá a la Institución tomar decisiones y priorizar las acciones sobre los mismos, enfocándose en requerimientos de seguridad de la información (inversión, priorización de necesidades, etc.). Integridad. Manual de Políticas de Seguridad de la Información v10 Código del proceso: A4.MS.DE Tipo de Proceso SIGE: Estratégico Direccionamiento Estratégico Sección: Modelo de Operación por Procesos Categoría del archivo: Procesos Manual Operativo Documento: A4.MS.DE Manual de Políticas de Seguridad de la Información v10 Contenido padre: Todos los servidores públicos o terceros que tienen un usuario en la plataforma tecnológica de la Policía Nacional, conocen y cumplen los términos de uso del usuario empresarial, donde se dictan pautas sobre derechos y deberes con respecto al uso adecuado, así como las políticas de protección de usuario desatendido, escritorio despejado y pantalla limpia. CONTROLES DE REDES. El acceso a las instalaciones debe llevar un registro de la fecha, hora de entrada y salida del personal que ingresa a las áreas seguras y acompañar al visitante en su recorrido. 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. mantener y mejorar un SGSI; por ello es necesario construir un manual de seguridad de la información que consolida la normatividad, alcance, política, grupo operativo y la metodología de gestión de riesgo del SGSI. Atención de incidentes de seguridad de la información. Un sistema de información es un conjunto de elementos interrelacionados para recolectar (entrada), manipular (proceso) yproporcionar (salida) datos de información, además de proveer un mecanismo de retroalimentación en el cumplimiento de un objetivo planteado. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 230 0 R /Group<>/Tabs/S>> El presente Manual es de cumplimiento para los funcionarios de la Policía Nacional y personal externo que le proporcione algún bien o servicio; quienes están obligados a adoptar los parámetros aquí descritos y los controles adicionales que pueden implementar las diferentes unidades de acuerdo a su misionalidad. SEGURIDAD Y RESTRICCIONES EN LA DIFUSIÓN DE PRODUCTOS E INFORMACIÓN DE INTELIGENCIA Y CONTRAINTELIGENCIA. ARTÍCULO 13. 5. “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA POLICÍA NACIONAL” c. Confidencial.  Ejecutar acciones para eludir y/o modificar los controles establecidos en el presente manual.  Promover el cumplimiento, por parte del personal de la unidad, de las políticas de Seguridad de la Información Institucional  Definir, evaluar e implementar en la unidad los controles preventivos alineados a la ISO27001:2013 y el Manual de Seguridad de la Información de la Institución. Tecnologías de la Información y las Comunicaciones. endobj 2. 28 0 obj Como resultado de esta revisión se establecen las decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad del cambio del Sistema de Gestión de Seguridad de la Información. Cumplir con la Ley 23 de 1982. 2.  Los activos de información se traducen en dispositivos tecnológicos, archivos, bases de datos, documentación física, personas, sistemas de información, entre otros. 2. DIRECCIÓN GENERAL ARTÍCULO 4. Directrices para catalogar la información de la Institución y hacer una distinción entre la información que es crítica y aquella que lo es menos o no lo es, y de acuerdo con esto, establecer diferencias entre las medidas de seguridad a aplicar para preservar los criterios de confidencialidad, integridad y disponibilidad de la información. 08310 Los niveles de servicio contemplan, características de seguridad, requisitos de gestión de los servicios de red y valores agregados en dispositivos de seguridad, así mismo es importante realizar un control a través de: 1. El acceso a los centros de procesamiento y almacenamiento está restringido y su ingreso debe estar documentado dejando la trazabilidad correspondiente.  Evaluar y dar trámite a las conductas contrarias que afectan la política de Seguridad de la Información de la Policía. Jefe Seguridad de Instalaciones o Comandante de Guardia. La Oficina de Telemática de la Policía Nacional y/o los grupos de Telemática de las unidades desconcentradas, tienen las siguientes responsabilidades: a. Elaborar y mantener actualizado un inventario del software utilizado en la Institución. Determinar el cumplimiento de las obligaciones. 2. Un Web Services es un contenedor que encapsula funciones específicas y hace que estas funciones puedan ser utilizadas en otros servidores. Funcionario, unidad organizacional que tiene responsabilidad aprobada del alto mando por el control de la producción, el desarrollo, el mantenimiento, el uso y la seguridad de los activos. <> Respaldo. VERSION 0 5. Retroalimentar sobre el desempeño de la Seguridad de la Información (no conformidades, acciones correctivas, seguimiento y resultados de medición, auditorías) 9. INSTALACIÓN DE SOFTWARE EN SISTEMAS OPERATIVOS. En este formulario se debe incluir la información correspondiente a montos de cartera vencida. Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. ARTÍCULO 8. DHCP (Dynamic Host Configuration Protocol). Es el proceso para determinar la capacidad de los recursos de la plataforma tecnológica que necesita la Institución para satisfacer las necesidades de procesamiento de dichos recursos de forma eficiente y con un rendimiento adecuado. 9. PROTECCIÓN DE LOS REGISTROS. Los grupos de Talento Humano en coordinación con los encargados de los grupos de Telemática verifican periódicamente las novedades del personal y proceden a bloquear las cuentas de acceso en los recursos tecnológicos, sistemas de información asignados para desempeñar funciones administrativas y/o operativas, y controles de acceso físico a instalaciones de la Institución del personal que presenta algún tipo de novedad. CONTROL DE CAMINO FORZADO. 2. 2.1. Ingresar activos en un inventario. 11. Jefe Seccional de Inteligencia Policial, SIPOL. 9. endobj 2. El receptor autorizado podrá difundir esta clase de información bajo su responsabilidad, únicamente, para establecer cursos de acción que permitan la toma de decisiones para el cumplimiento de los fines establecidos en la Constitución y la ley. 7. ARTÍCULO 8. El Sistema de Gestión de Seguridad de la Información de la Policía Nacional será revisado para su actualización anualmente y/o extraordinariamente cuando sea necesario atendiendo las necesidades de mejora continua. Sistema de información: Se refiere a un conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales. Las conexiones no seguras a los servicios de red pueden afectar a toda la Institución, por lo tanto, se realiza el control el acceso a los servicios de red tanto internos como externos. 4. Parágrafo. 3. h. Equipo de respuesta a incidentes de seguridad informática “CSIRT PONAL.” - Computer Security Incident Response Team: Atiende e investiga los incidentes de Seguridad de la Información Institucional y propende por el restablecimiento del servicio en caso de verse afectado. Reglamento Técnico de Instalaciones Eléctricas. Toda instalación eléctrica está protegida contra fluctuaciones de voltaje por dispositivos adecuados tales como breakers y supresores de picos. 5. Las especificaciones técnicas establecen los requerimientos con respecto a la calidad del código y la existencia de garantías así como los acuerdos de custodia de los códigos fuentes del software y cualquier otra documentación necesaria, en caso de requerir modificación en el software. Aplica: SI o No. Autenticación de usuarios para conexiones externas. Para el intercambio de información se utiliza el formato acuerdo para la revelación de información confidencial bajo deber de reserva, así mismo se documentan los controles adicionales que contemplen: 1. Mensajería instantánea institucional. USO ADECUADO DE LA PLATAFORMA TECNOLÓGICA. endobj No suministrar mensajes de ayuda, durante el proceso de autenticación. 3. Para las auditorías al Sistema de Gestión de Seguridad de la Información SGSI se debe validar si las actividades de gestión y cumplimiento se encuentran en los siguientes ítems: 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. 4. Los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para asegurar la mejora continua. Las diferentes unidades de la Policía Nacional, realizan un listado de contacto con las autoridades la cual debe incluir a las empresas de servicios públicos, servicios de emergencia, proveedores de electricidad, salud y seguridad. TÉRMINOS Y CONDICIONES DEL EMPLEO. Utilidad. 4. SEGURIDAD DE LOS SERVICIOS DE RED. 8 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS ARTÍCULO 1. 5. <>/ExtGState<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/Annots[ 109 0 R 110 0 R 111 0 R 112 0 R 113 0 R 114 0 R 115 0 R 116 0 R 117 0 R 118 0 R 119 0 R 120 0 R 121 0 R 122 0 R 123 0 R 124 0 R 125 0 R 126 0 R 127 0 R 128 0 R 129 0 R 130 0 R 131 0 R 132 0 R 133 0 R 134 0 R 135 0 R ]/MediaBox[ 0 0 612 792]/Contents 136 0 R /Group<>/Tabs/S>> Para conocer el estado de implementación de los controles y su evolución en el tiempo, se aplicará la escala de madurez de acuerdo a los objetivos de control para la información y tecnologías relacionadas de la guía COBIT v4.1. 6. 6. Proveerse de un servicio o producto de un tercero. Seguridad de los servicios de red. Las tablas de auditoría y archivos de logs usados para auditar los Sistemas de Información, están separados de los ambientes transaccionales, estos pueden ser verificados por el analista de continuidad de la información cuando se requiera por la autoridad competente o dentro de proceso administrativo, disciplinario o penal, así mismo pueden ser accedidos por personal del Área de Control Interno quienes realizan verificaciones sobre estos. 19 0 obj PABLO ANDRES GAVIRIA MUÑOZ /OFITE CT. WILLIAM MUIÑOZ ROJAS/OFITE Reviso: IJ. REVISIÓN POR LA DIRECCIÓN. ARTÍCULO 13. Stores Sale & Offers. Evitar que programas fuentes históricas reposen en los ambientes de producción. g. Secretaría General: Asesora en materia legal los aspectos pertinentes a Seguridad de la Información. Disponible lunes a viernes 8:00 am a 5:00 pm. La información que se encuentra bajo la protección de la Ley 1621 de 17 de abril de 2013, usará los controles criptográficos definidos por la Dirección de Inteligencia Policial.  Guardar información clasificada en cualquier dispositivo de almacenamiento que no pertenezca a la Policía Nacional. Aprobación, implementación de nuevos productos y servicios tecnológicos. 5 0 obj c. Embalaje con sellos de seguridad o a prueba de apertura no autorizada. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 212 0 R /Group<>/Tabs/S>> 1. Derechos de autor. PROTECCIÓN DE LA INFORMACIÓN DE REGISTRO. Es un protocolo que cifra los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico. ��������Ʊ6��a���Y�=�^do���>�%;Ⱦf߲ü����K�E"�=��;�c6-�O�e*Z���G�[q��X�AyV����#�"k0��l)��]�g#ٟ�����Q��Vh#��N�w��Pǩר;Ԡ�T�R�ԃ�W�?�C���7��w����T�z�����T��r0�|6��`Ŭ��g��j�gkd��2��� Om� 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. 37 0 obj c. Todo software utilizado en la plataforma tecnológica debe contar con licencia y su cumplimiento debe estar acorde a las condiciones de uso establecidas. Planificación del proceso de cambio. 3. Modifica Decreto N° 181, de 2002, que aprueba Reglamento . El acceso remoto se debe realizar mediante herramientas autorizadas por la Oficina de Telemática. El Grupo de Seguridad de la Información y/o los responsables del SGSI en las unidades, verificarán los sistemas, equipos de procesamiento, bases de datos y demás recursos tecnológicos, para que cumplan con los requisitos de seguridad esperados, teniendo en cuenta las solicitudes internas, para esta validación se pueden realizar pruebas de vulnerabilidades y pruebas de penetración, las cuales son una forma para mejorar los controles, pero nunca reemplazarán el análisis de riesgo sobre los activos de información. Los datos de prueba, están alojados en bases de datos independientes a la de producción. Remoción de derechos de acceso. MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA . SSL (Secure Socket Layer). Mensajería electrónica. ARTÍCULO 2. 5. Los interruptores de emergencia están ubicados cerca de las salidas de emergencia de las salas donde se encuentra el equipamiento, a fin de facilitar un corte rápido de la energía en caso de producirse una situación crítica. DISPOSICIÓN DE LOS MEDIOS DE SOPORTE. Con el fin de cumplir con estas obligaciones, se expiden los siguientes controles: 1. Gestionado 100% Medible 80% Definido 60% Repetible 40% Inicial 20% Es posible hacer seguimiento y medir el cumplimiento de los protocolos, así como tomar acciones correctivas o preventivas cuando se detectan fallas y hacer seguimiento dichas acciones. Control de cambios sobre la plataforma tecnológica. La Policía Nacional puede emplear firmas o certificados digitales expedidos por su propia entidad certificadora, para el intercambio de información al interior de la Institución. 4 0 obj La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos. Busca minimizar la alteración a los sistemas de información, mediante el control de cambios, el cual contempla: 1. Acuerdos de niveles de servicio ANS (Service Level Agreement -SLA). ARTÍCULO 3. 2. Contiene las instrucciones para el envío de los archivos del sistema contable. Es un protocolo plasmado normalmente en un documento de carácter legal, por lo general un contrato; por el que una organización que presta un servicio a otra se compromete a prestar el mismo bajo unas determinadas condiciones y con unas prestaciones mínimas. Metodología para análisis y evaluación de riesgos de la Policía Nacional. 2. Software. Para la seguridad de instalaciones, se deben contemplar los siguientes aspectos: 1. ANÁLISIS Y ESPECIFICACIÓN DE REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN. CONEXIÓN SEGURA. “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA POLICÍA NACIONAL” función, y que con las actividades que realizan deben tener en cuenta el cumplimiento de las políticas del Sistema de Gestión de Seguridad de la Información. CONTROL DE ACCESO A CÓDIGOS FUENTE DE PROGRAMAS. Todos los equipos de procesamiento y comunicaciones tiene activos los archivos de logs y se envían a un syslog. Destrucción de las copias de respaldo, cuando se venza la vida útil de los medios de almacenamiento, de acuerdo al procedimiento 1DT-PR-0020 Borrado Seguro de la Información Almacenamiento de las copias de respaldo en un lugar fuera de las instalaciones del lugar de origen de la información, con un registro exacto y completo de cada una de ellas, así como los protocolos de restauración. Que el artículo 24 de la norma ibídem, establece que el Director General de la Policía Nacional de Colombia podrá crear y organizar, con carácter permanente o transitorio, escuelas, unidades, áreas funcionales y grupos de trabajo, determinando en el acto de creación de éstas, sus tareas, responsabilidades y las demás disposiciones necesarias para su funcionamiento y puede delegar esta función de conformidad con las normas legales vigentes. b. PLANIFICACIÓN. 2. El cifrado es una técnica muy útil para prevenir la fuga de información, el monitoreo no autorizado e incluso el acceso no autorizado a los repositorios de información de la Institución. Copias de respaldo de la versión anterior del Sistema de Información. 2. Son grupos que concentran varios usuarios con similares necesidades de autorizaciones idénticas sobre los recursos tecnológicos o los sistemas de información a los cuales se les conceden acceso de acuerdo con las funciones realizadas. 8. Que es necesario establecer el Sistema de Gestión de Seguridad de la Información de la Policía Nacional, el cual cuenta con herramientas que incluyen normas, protocolos y controles a los activos de información, permitiendo hacer una adecuada gestión del riesgo y fortaleciendo la Institución ante posibles amenazas que afecten su continuidad del negocio, para lo cual. e. Inspección General: Investiga las conductas contrarias que afectan la Política de Seguridad de la Información. Todos los funcionarios de planta, prestación de servicios o cualquier otro tipo de vinculación con la Institución, deben diligenciar los formatos 1DT-FR-0015 Declaración de Confidencialidad y Compromiso con la Seguridad de la Información Servidor Público. Our partners will collect data and use cookies for ad targeting and measurement. Propender porque los sistemas de información en producción sean los autorizados y aprobados en el comité de cambios. Suministro redundante de energía ininterrumpible, dispositivo que permite suministrar energía a los equipos electrónicos que están conectados a él después de un apagado durante un tiempo prudencial, con el fin de realizar un apagado seguro de estos. La escala del número de horas trabajadas podría ir de 0 a 100. En este sentido se consideran las siguientes definiciones: a. Pública. Es la identificación única de cualquier dispositivo físico que hace parte de la una red de datos. Identificar cambios en los niveles de riesgo, nuevas amenazas y vulnerabilidades. El responsable técnico de los equipos registra todas las fallas supuestas o reales y todo el mantenimiento preventivo y correctivo realizado. Todos los servidores públicos de la Policía Nacional deben conocer las restricciones al tratamiento de los datos y de la información respecto a la cual tengan conocimiento en ejercicio de sus funciones legales, cualquier persona que acceda a las instalaciones de la Policía Nacional, podrá ser monitoreada y grabada por medio de circuito cerrado de televisión. 2. Formato o procedimiento asociado. ISO/IEC/11801. Es un conjunto de patrones y abstracciones coherentes que proporcionan el marco de referencia necesario para guiar la construcción del software para un sistema de información. Se disponen de múltiples toma corrientes o líneas de suministro. 2. 2. Sistema de Gestión de Seguridad de la Información - SGSI. Eliminación de manera segura de la información confidencial que contenga cualquier equipo que sea necesario retirar, realizándose previamente las respectivas copias de respaldo. Disponibilidad. EXPEDICIÓN. CAPÍTULO II POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LA POLICÍA NACIONAL ARTÍCULO 6. Valida que el nuevo sistema no afecta a los recursos actuales de producción. Los planes de continuidad de negocio y recuperación de desastres contemplan las acciones que han de emprenderse ante una falla de la UPS. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios. 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. Jefe Comunicaciones Estratégicas (COEST). Es un conjunto de normas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores por el solo hecho de la creación de una obra literaria, artística o científica, tanto publicada o que todavía no se haya publicado. El manual incluye además los puestos o unidades administrativas que intervienen precisando su . Es un evento adverso, confirmado o bajo sospecha, que afecta a un sistema de información, a una red, o inminente amenaza de violación de la Política de Seguridad de la Información. INFORMACIÓN PÚBLICA RESERVADA. Es la modificación de los privilegios con que cuenta un funcionario sobre recursos tecnológicos, la red de datos o los sistemas de información de la Institución por cambio de sus funciones. i. El uso del internet está enfocado al cumplimiento de las actividades institucionales, por lo tanto los usuarios harán uso de los equipos y medios asignados, no se permite la conexión de dispositivos como módems externos, o equipos celulares que habilitan el acceso a internet, a no ser que se encuentre autorizado por la Oficina de Telemática para el caso de las unidades en donde el acceso a la red LAN no es viable por diferentes restricciones. Sistemas informáticos, redes, computación y comunicaciones móviles, correo electrónico, comunicaciones de voz, servicio de correo tradicional, fax e impresoras. ARTÍCULO 4. RESOLUCIÓN NÚMERO Las autoridades competentes y los receptores de productos de inteligencia o contrainteligencia deberán garantizar, en todo momento, la reserva legal de la misma ARTÍCULO 6. CO – SC 6545 – 16 Aprobación: 28-04-2014 RESOLUCIÓN N°. Registro o datos de quién, qué, cuándo, dónde y por qué un evento ocurre para un dispositivo o sistema en particular. CONTROLES FÍSICOS DE ENTRADA. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 211 0 R /Group<>/Tabs/S>> Los equipos activos de las redes LAN, de las unidades de Policía a nivel nacional. El objetivo principal de los sistemas de seguridad de la información es asegurar la protección de datos contra amenazas externas e internas. 5. ARTÍCULO 7. %PDF-1.7 CONTROL DE ACCESO. De acuerdo con lo establecido en el Manual del Sistema de Gestión Integral de la Policía Nacional se han definido los siguientes procedimientos:  Procedimiento acción correctiva y procedimiento acción preventiva: se encuentra documentado con el código 1MC-PR-0005 “Ejecutar acción correctiva, preventiva y corrección” 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. Es un contrato en donde se especifican todas las normas y cláusulas que rigen el uso de un determinado producto de software, teniendo en cuenta aspectos como: alcances de uso, instalación, reproducción y copia de estos productos. INFORMACIÓN PÚBLICA CLASIFICADA. La Policía Nacional de Colombia se compromete a salvaguardar sus activos de información con el fin de protegerlos de las amenazas que se ciernen sobre ellos, a través de la implementación de un Sistema de Gestión de Seguridad de la Información que permita la adecuada gestión del riesgo, la generación de estrategias de seguridad basada en las mejores prácticas y controles, el cumplimiento de los requisitos legales, la oportuna gestión de los incidentes, y el compromiso Institucional de mejora continua. Gestión de Seguridad de la Información del Sistema Integrado de Gestión, tiene como propósito de esta política garantizar la seguridad de la información en aspectos tales como la confidencialidad, integridad y disponibilidad de la información, contribuyendo con el diseño y desarrollo de alternativas productivas, acordes a las políticas públicas . OBJETIVOS 2.1 GENERAL Establecer lineamientos de trabajo para la Unidad de Informática con el fin seguir los Es todo programa o aplicación que permite a un sistema o computadora realizar tareas específicas. confidencialidad, disponibilidad e integridad de la información. La Policía Nacional demuestra su apoyo y compromiso con la protección de la información institucional a través de: 1. 39 0 obj 4. Necesidad de cumplir requerimientos establecidos por organismos de control. Los elementos que ingresan se deben inspeccionar y examinar para determinar la presencia de explosivos, químicos u otras sustancias o materiales peligrosos, antes que se retire el personal que está realizando la entrega. Cada sistema de información, tiene un responsable de su soporte y mantenimiento, sin embargo, para cualquier cambio sobre el software de producción deberá estar avalado por el Direccionamiento Tecnológico. 6. DOCUMENTOS DE INTELIGENCIA Y CONTRAINTELIGENCIA. Son todos aquellos documentos originados, procesados y/o producidos en los organismos de inteligencia y contrainteligencia con los niveles de clasificación establecidos en la Ley 1621 de 2013. Es el conjunto de actividades para ingresar a las redes de datos y voz de la Institución con el objeto de lograr un alto grado de penetración en los sistemas, de forma controlada, sin ninguna intensión maliciosa, ni delictiva y sin generar daños en los sistemas o redes, con el propósito de mostrar el nivel efectivo de riesgo a lo cual está expuesta la información, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad. CAPÍTULO III ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ARTÍCULO 9. Hardware. NIT: 899999.239-2 Toda modificación a la plataforma tecnológica es evaluada previamente en los aspectos técnicos y de seguridad, acorde con los protocolos establecidos en el procedimiento 1DT-PR-0014 gestión de cambios, para ello se tienen en cuenta las diferencias entre funcionalidad y seguridad las cuales se ajustan a decisiones arquitecturales que satisfacen los requisitos mínimos de seguridad, estos son documentados y contemplan los siguientes puntos: 1. Las instalaciones de cableado estructurado están protegidas contra la influencia o daño causado por agentes externos.  Instalar software en la plataforma tecnológica de la Policía Nacional, cuyo uso no esté autorizado por el comité de cambios de la Oficina de Telemática de la Dirección General, que puedan atentar contra las leyes de derechos de autor o propiedad intelectual. Sistema de Dirección, Columna de dirección, Mecanismo de absorción de impacto en la columna de dirección, Mecanismo del sistema de dirección Basculable, Mecanismo telescopio, Mecanismo de aseguramiento de la dirección, Dirección manual, Tipo Piñón y cremallera, Tipo . 4. Estas guías indican la estructura, funcionamiento e interacción entre las partes del software. 2. Los sistemas de almacenamiento de datos son seleccionados de modo tal que los datos requeridos puedan recuperarse de una manera que resulte aceptable en formato y plazo para cualquier entidad que los requiera. 2. x��| xSU��9�&M��IڤM��I�-���H]ؗ.��Phi�d_D��ku�� �4�qA�}W�wF��pp�i���rJAe�y|��{z������r���9�~1E�c.\tlJq�����ڙ����KFW.��q��˜���Q����a��#��죋KJ���w���%��_��2�b~�s��� ���Q���G�� Revisar el estado del sistema y su implementación. 5. Acuerdos de confidencialidad. Es el nivel de clasificación que se debe dar a todos los documentos de inteligencia y contrainteligencia que contengan información sobre posibles amenazas, riesgos, oportunidades o capacidades, que puedan afectar directamente las instituciones democráticas. 1 0 obj Capacidad de abstracción que se puede hacer de los ambientes físicos, permitiendo en un mismo hardware poner a correr varios ambientes de tal manera que cada uno de estos pueda operar de manera aislada y puedan ver los mismos dispositivos de 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. f. Área de Control Interno: Revisa y verifica el cumplimiento de la presente Resolución, a través de las auditorias programadas a las unidades, así mismo a aquellas que cuenten con un Sistema de Seguridad de la Información. ARTÍCULO 12. Disponer de los registros que evidencien las revisiones. 29 0 obj d. Utilizar herramientas de auditoría adecuadas. Es el Comité Interno de Seguridad de la Información conformado en las unidades de Policía, en el cual se planea, orienta, gestiona los recursos, implementa y realiza seguimiento del SGSI, realizando actividades de concientización sobre las mejores prácticas, gestión de activos de información, gestión del riesgo y atención de los incidentes de seguridad con el fin de garantizar el fortalecimiento de la política de seguridad de la información. La Policía Nacional de Colombia aprueba el uso de los dispositivos móviles autorizados por la Institución por parte de los funcionarios de la entidad siempre y cuando no pongan en riesgo la Seguridad de la Información, de igual manera se tendrá en cuenta lo siguiente: 1. En cuanto a los documentos relacionados con el SGSI, también deben estar protegidos y disponibles en sus últimas versiones. d. Restringido. “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA POLICÍA NACIONAL” públicos y ciudadanos en general, conocer la información que la Institución tiene sobre ellos, actualizarla y solicitar sean eliminados, en los casos que sea pertinente hacerlo. 5.3. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 227 0 R /Group<>/Tabs/S>> 4. 7. 20 0 obj Son sistemas que utilizan la climatización, un proceso de tratamiento del aire que permite modificar ciertas características del mismo, fundamentalmente humedad y temperatura y, de manera adicional, también permite controlar su pureza y su movimiento. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 204 0 R /Group<>/Tabs/S>> Validar los datos de acceso, una vez se han diligenciado todos los datos de entrada. m. El acceso a redes sociales, paginas interactivas como chats se encuentra restringido por lo que solo se hará uso de las herramientas para tal fin que provee la Oficina de Telemática, en caso de ser necesario su uso para el cumplimiento de las funciones asignadas por el cargo o dependencia, debe ser solicitada previa justificación a través del Sistema de Información para la Gestión de Incidentes en TIC´s SIGMA para su respectivo análisis por parte del Grupo de Seguridad de la Información. Anexo No. 11. 10. 6. En ninguno de los anteriores casos, se podrá revelar fuentes, métodos, procedimientos, identidad de quienes desarrollan o desarrollaron actividades de inteligencia y contrainteligencia o poner en peligro la seguridad y defensa nacional. _________________________ del ___________________ HOJA N° 37 DE 40. Acceso a la red institucional, desde otras redes. En caso que por fuerza mayor un funcionario no pueda hacer entrega formal del cargo y los activos de información que gestiona, el jefe inmediato deberá solicitar a la Oficina de Telemática el acceso y traspaso de la información institucional al funcionario designado para continuar con dichas funciones. Notificaciones.Judiciales@icbf.gov.co. 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. 6. Cuando el equipo se encuentra en óptimas condiciones y puede ser asignado a otro funcionario, se realiza borrado seguro de la información, en el momento en que los dispositivos cumplen el ciclo vida y se va a realizar disposición final se efectúa destrucción física del dispositivo de almacenamiento, estas acciones se encuentra descritas en el procedimiento 1DT-PR-0020 Borrado Seguro de la Información. Web Services. Las acciones, procesos y controles de Seguridad de la Información a las que se debe hacer seguimiento. El procedimiento para confirmar la veracidad de la información suministrada por el personal que se postula como candidato a ingresar a la Policía Nacional antes de su vinculación definitiva, se realiza acorde con lo establecido en el proceso 2SP-CP-0001 Seleccionar el Talento Humano para la Policía Nacional. <>/ExtGState<>/Font<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI]>>/MediaBox[ 0 0 612 792]/Contents 232 0 R /Group<>/Tabs/S>> 1DS - RS - 0001 VER: 1 Aprobación: 28-04-2014 RESOLUCIÓN N°. d. Uso de rutas diferentes, para las entregas. Programa de concienciación en seguridad de la información. ARTÍCULO 5. - Educación e Innovación Policial. Sensible. PRUEBA DE ACEPTACIÓN DE SISTEMAS. 5. AVELLANEDA LEIVA LAURA VICTORIA, SGSI (information security management system, ISMS)  Comer, beber y fumar cerca a los equipos de cómputo. Línea gratuita nacional para protección, emergencia y orientación. SEGURIDAD DEL CABLEADO. ARTÍCULO 5. 28 DIC 2016 El Grupo de Seguridad de la Información del proceso de Direccionamiento Tecnológico es el encargado de administrar e implementar los controles criptográficos; a excepción de los Centros de Protección de Datos, quienes cumplirán estas funciones, al interior de las unidades. c. Verificar que el software que a instalar en un dispositivo cuente con su respectiva licencia y esté autorizado. La Policía Nacional, consciente de la importancia de la seguridad de la información, prevé los recursos de acuerdo a la disponibilidad presupuestal para el establecimiento, implementación, mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la Información a través de la inclusión en el Plan Anual de Necesidades, dentro del cual se consideran los requerimientos necesarios para la implementación de controles técnicosadministrativos. Los protocolos tecnológicos identificados en este Manual de Seguridad de la Información y sus cambios son avalados por el dueño del proceso de Direccionamiento Tecnológico y acordes con el control de documentos, los cuales están debidamente actualizados en la Suite Vision Empresarial, dentro de los que se encuentran: 1.

Nissan March Precio Chile, 100 Preguntas Y Respuestas De Biología Pdf, Restaurante Moche Trujillo, Perú Vs Nueva Zelanda Repechaje, Reponedores Part Time Trabajo, Importancia De Los Juegos Matemáticos, Hotel Incahuasi, Lunahuaná, Que Es Liquidez En Contabilidad, Refrigeración Comercial Perú, Proveedores De Una Cooperativa, Libro Fisiología Humana Silverthorn Pdf 6 Edición Descargar,