LINEAMIENTO SEGURIDAD LÓGICA V1 - SE SNSP
LINEAMIENTO SEGURIDAD LÓGICA V1 - SE SNSP
LINEAMIENTO SEGURIDAD LÓGICA V1 - SE SNSP
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Abril 2010<br />
CENTRO NACIONAL DE INFORMACIÓN<br />
Seguridad Lógica de la<br />
Plataforma México<br />
Lineamientos<br />
CNI-SLPM-1.0<br />
Codificación<br />
L-SLPM-513 <strong>V1</strong>.2
ÍNDICE<br />
ANTECEDENTES 2<br />
OBJETIVO 2<br />
ÁMBITO DE APLICACIÓN 2<br />
FUNDAMENTO LEGAL 2<br />
DEFINICIONES 3<br />
DISPOSICIONES GENERALES 4<br />
DE LOS EQUIPOS 4<br />
DE LOS RIESGOS 4<br />
DE LOS ESTÁNDARES DE <strong><strong>SE</strong>GURIDAD</strong> 5<br />
MECANISMOS DE VIGILANCIA Y EVALUACIÓN 5<br />
CNI-SLPM-1.0<br />
Codificación<br />
L-SLPM-513 <strong>V1</strong>.2
ANTECEDENTES<br />
Las tecnologías de la información son fundamentales para el logro de los objetivos<br />
del Sistema Nacional de Seguridad Pública, ya que permiten la rápida integración,<br />
actualización y consulta de las bases de datos criminalísticas y de personal de las<br />
diferentes instituciones y organismos.<br />
Plataforma México es la red que facilita la interconexión entre instituciones de<br />
Seguridad Pública de los tres órdenes de gobierno a fin de que puedan compartir<br />
información y homologar criterios.<br />
El presente documento está destinado a establecer pautas que se deben cumplir<br />
en las dependencias federales, del Distrito Federal, de los estados y de los<br />
municipios para hacer uso en forma segura de la Plataforma México.<br />
Establece también actividades y responsabilidades que se deben llevar a cabo a<br />
fin de salvaguardar la información utilizada por los integrantes del Sistema<br />
Nacional de Seguridad Pública.<br />
OBJETIVO<br />
Establecer una cultura de seguridad informática para la detección oportuna de<br />
amenazas y de comportamientos anómalos y nocivos en el tráfico de información.<br />
ÁMBITO DE APLICACIÓN<br />
Todas las instituciones y organismos con acceso a la Plataforma México.<br />
FUNDAMENTO LEGAL<br />
• Constitución Política de los Estados Unidos Mexicanos, Artículo 21,<br />
párrafos noveno y décimo.<br />
• Ley General del Sistema Nacional de Seguridad Pública, Artículos 7,<br />
fracción VII; 18, fracción XXIII; 19, fracciones I, II, IV y VI; 109; 110, y 139,<br />
fracción II.<br />
• Ley Federal de Acceso a la Información Pública Gubernamental, Artículo 3,<br />
fracción II y XIII; 4, fracción III; 18, fracción II, y 21.<br />
CNI-SLPM-1.0<br />
2<br />
Codificación<br />
L-IPHO-513
DEFINICIONES<br />
Plataforma México: Red nacional que alberga las bases de datos criminalísticas y<br />
de personal de Seguridad Pública y facilita su suministro, actualización y consulta.<br />
Por extensión, la Coordinación General de SSP responsable de la red.<br />
Instituciones Involucradas: Todas las instituciones y organismos con acceso a la<br />
Plataforma México.<br />
Seguridad lógica: Barreras informáticas y medidas de prevención en la<br />
Plataforma México destinadas a evitar que tengan acceso a las bases de datos<br />
personas no autorizadas; por extensión, medidas para evitar situaciones que<br />
pongan en riesgo las bases de datos criminalísticas y de personal de Seguridad<br />
Pública.<br />
Usuario: Funcionario individual con acceso a la Plataforma México.<br />
Estándares abiertos: Programas, sistemas y lenguajes informáticos que pueden<br />
ser utilizados sin necesidad de pagar regalías a un fabricante.<br />
Monitoreo: Análisis exhaustivo y constante que se hace a los equipos para evitar<br />
los ataques internos o externos.<br />
Reportes: Todos los datos recopilados e interpretados del escaneo, monitoreo y<br />
mantenimiento de los equipos, que sirven como base para prever futuros ataques<br />
o principales vulnerabilidades.<br />
Auditor: Personal de Plataforma México capacitado para realizar una auditoria,<br />
presentar un informe final indicando riesgos encontrados y la solución a los<br />
mismos.<br />
Usuario Solicitante: Funcionario a cargo de una oficina que utiliza la Plataforma<br />
México y que solicita una autoría.<br />
DISPOSICIONES GENERALES<br />
Corresponde al Centro Nacional de Información:<br />
• En coordinación con Plataforma México, garantizar la seguridad y<br />
funcionalidad de las bases de datos criminalísticas y de Personal de<br />
Seguridad Pública.<br />
Corresponde a la Coordinación General de Plataforma México.<br />
• Realizar las auditorias necesarias para la seguridad de la Plataforma<br />
México.<br />
• Coordinar los trabajos de mantenimiento de hardware.<br />
• Organizar los tiempos y procedimientos para el monitoreo y escaneo de la<br />
red de la Plataforma México.<br />
CNI-SLPM-1.0<br />
3<br />
Codificación<br />
L-IPHO-513
Corresponde a las Instituciones Involucradas:<br />
• Distribuir la documentación interna sobre seguridad lógica según la<br />
necesidad que cada cual tenga de conocerla.<br />
• Controlar el acceso a la documentación e instruir a los usuarios acerca de<br />
cómo protegerla.<br />
DE LOS EQUIPOS<br />
1. Los equipos informáticos relacionados con el suministro, actualización y<br />
consulta de datos e información criminalística y de personal de Seguridad<br />
Pública, incluyendo equipos de cómputo, servidores, equipos de<br />
telecomunicaciones, deben inventariarse apropiadamente.<br />
2. Además del inventario, cada oficina que tenga acceso a la Plataforma México<br />
deberá contar con medidas de seguridad para garantizar el buen uso de los<br />
equipos.<br />
3. Se deberán establecer métodos específicos para evaluar continuamente los<br />
riesgos potenciales con la finalidad de mantener la seguridad en un nivel<br />
aceptable.<br />
4. Se deberán identificar controles adicionales de seguridad para reducir al<br />
mínimo el riesgo en caso que el público en general deba tener algún tipo de<br />
acceso al sistema.<br />
5. Se evitará crear un sistema de seguridad muy complicado que desaliente su<br />
uso entre los usuarios.<br />
6. Los controles de seguridad para los componentes, los programas y los<br />
sistemas informáticos serán parte integral de la arquitectura tecnológica de<br />
los sistemas de información de la Institución Involucrada, por lo que también<br />
deberán ser descritas en el inventario.<br />
7. Se documentarán todos los procesos y configuraciones referidas a temas de<br />
seguridad de la información que se implementen.<br />
DE LOS RIESGOS<br />
8. Todo usuario tendrá la obligación de informar a sus superiores de cada<br />
problema que se presente en el uso de Plataforma México y que pueda<br />
representar una amenaza a la seguridad de la red.<br />
9. Cada problema que sea sospechoso de constituir una amenaza deberá ser<br />
investigado.<br />
10. Se establecerán el control de la autentificación, tales como firmas digitales<br />
basadas en claves cifradas.<br />
11. Sin menoscabo de los numerales anteriores, se deberá controlar la<br />
información sobre los usuarios: el uso que hacen de la información, los<br />
mecanismos que usan para llegar a ella, los usuarios que pueden crear<br />
CNI-SLPM-1.0<br />
4<br />
Codificación<br />
L-IPHO-513
cuentas adicionales y auditar cada cuenta con periodicidad en busca de<br />
inconsistencias en el uso de las mismas.<br />
DE LOS ESTÁNDARES DE <strong><strong>SE</strong>GURIDAD</strong><br />
12. Previa autorización de la Plataforma México, los productos de seguridad<br />
basados en estándares abiertos pueden ser implementados.<br />
13. En caso de utilizar estándares abiertos en materia de seguridad, éstos deben<br />
estar documentados para su uso por parte de los usuarios y como referencia<br />
para el personal responsable de mantenimiento.<br />
MECANISMOS DE VIGILANCIA Y EVALUACIÓN<br />
1. El Centro Nacional de Información en coordinación con la Plataforma<br />
México, verificará el cumplimiento de los presentes lineamientos y<br />
determinará las medidas adicionales en caso de detectarse riesgos o<br />
amenazas a la integridad de las bases de datos.<br />
CNI-SLPM-1.0<br />
5<br />
Codificación<br />
L-IPHO-513