guía para la elaboración de una política de seguridad de ... · aporta una ayuda para la...

5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 7 5 7 0 0 P A R I S 0 7 S P – T e l . 0 1 7 1 7 5 8 4 1 5 - F a x 0 1 7 1 7 5 8 4 0 0

�

�

�

�

PREMIER MINISTRE Secrétariat général de la défense nationale

Direction centrale de la sécurité des systèmes d’information Sous-direction des opérations

Bureau conseil �

��

�

��

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

�

Guía para la elaboración de una política de seguridad de los sistemas de

información �

��

�

��

��

Versión del 03 de marzo de 2004 �

�

�

Este documento ha sido realizado por la oficina de consultoría de la DCSSI (SGDN / DCSSI / SDO / BCS)

Rogamos nos haga llegar sus comentarios y sugerencias a la siguiente dirección

(ver formulario de recogida de comentarios que se encuentra al final del compendio):

Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information

Sous-direction des opérations Bureau Conseil

51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP

[email protected]

�

�

Histórico de las modificaciones

Versión Motivo de la modificación Situación

15/09/1994 (1.1)

Publicación de la guía para la elaboración de una política de seguridad interna (PSI).

Validado

2002 Revisión general: �� Actualización de las referencias. �� Creación de una metodología. �� Ampliación y reclasificación de los principios de seguridad.

�� Separación en 3 secciones (metodología, principios de seguridad y anexos).

Borrador

2003 Reestructuración, nuevo formato, mejora del método, armonización con las herramientas metodológicas y mejores prácticas de la DCSSI tras una consulta con expertos internos.

Prueba previa

23/12/2003 Separación en 4 secciones (introducción, metodología, principios de seguridad y Referencias de SSI) y diversas mejoras tras una consulta con expertos externos (especialmente el Club EBIOS) y varias implementaciones (Ministerio de Defensa, Centro Nacional de Investigación Científica, Dirección de Boletines Oficiales…).

Prueba previa para validación

03/03/2004 Publicación de la guía para la elaboración de una política de seguridad del sistema de información (PSSI).

Validado

�

�

Índice

SECCIÓN 1 – INTRODUCCIÓN

PREFACIO .............................................................................................................................................. 5

CONCEPTOS MANEJADOS.................................................................................................................. 5

CONVENCIONES DE ESCRITURA ....................................................................................................... 5

1 PRESENTACIÓN DE LA GUÍA ..................................................................................................... 6 1.1 OBJETIVO................................................................................................................................. 6 1.2 ÁMBITO DE APLICACIÓN............................................................................................................. 6 1.3 DESCRIPCIÓN........................................................................................................................... 6 1.4 HISTÓRICO............................................................................................................................... 7

2 PRESENTACIÓN Y PAPEL QUE DESEMPEÑA LA PSSI ........................................................... 8 2.1 CONTEXTO DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN................................................... 8

2.1.1 La SSI como elemento de calidad..................................................................................... 8 2.1.2 La gestión de los riesgos gracias a la protección es global .............................................. 8 2.1.3 Riesgos extendidos y, a veces, nuevos ............................................................................ 8

2.2 NECESIDAD DE UNA PSSI ......................................................................................................... 8 2.3 ÁMBITOS DE APLICACIÓN DE LA PSSI ...................................................................................... 10 2.4 LUGAR QUE OCUPA LA PSSI EN EL REFERENCIAL DE DOCUMENTOS .......................................... 10

2.4.1 Vínculo existente entre la PSSI y las directrices de la OCDE......................................... 10 2.4.2 Vínculos existentes entre la PSSI y los Criterios Comunes (CC) ................................... 11

2.5 LAS BASES DE LEGITIMIDAD DE UNA PSSI ................................................................................ 11 2.5.1 El respeto de la deontología ............................................................................................ 12 2.5.2 La gestión de los riesgos: accidentes, errores, fallos y delitos informáticos................... 13 2.5.3 Preservación de los intereses vitales del Estado ............................................................ 14 2.5.4 La lucha contra la el delito y el crimen informático.......................................................... 15 2.5.5 Preservación de los intereses particulares del organismo .............................................. 15 2.5.6 La conformidad tecnológica y legal ................................................................................. 17 2.5.7 El control por parte de los consumidores ........................................................................ 18

BIBLIOGRAFÍA..................................................................................................................................... 19

FORMULARIO DE RECOGIDA DE COMENTARIOS ......................................................................... 20

SECCIÓN 2 – METODOLOGÍA (documento aparte) SECCIÓN 3 – PRINCIPIOS DE SEGURIDAD (documento aparte) SECCIÓN 4 – REFERENCIAS DE SSI (documento aparte)

SGDN / DCSSI / SDO / BCS PSSI – Sección 1 – Introduccion – 3 de marzo de 2004�

Página 5 de 21�

Prefacio El presente documento es una guía destinada a las instituciones y a las empresas. Este documento editado por la Secretaría General de Defensa Nacional es una guía, no tiene carácter obligatorio. La guía se basa en documentos legislativos o normativos así como en la experiencia y los conocimientos técnicos de instituciones y actores del sector privado. Las referencias que figuran en esta guía buscan servir de ilustración y señalar el sentido que se le puede dar a los principios y normas de seguridad elegidos por un organismo. Especialmente en lo referido al ámbito jurídico, advertimos al lector que debe, en todos los casos, verificar la validez, la exhaustividad y el alcance de los textos legislativos o reglamentarios a los cuales se hace referencia, en el marco de las actividades propias de su organismo.

Conceptos manejados Las tres definiciones esenciales de los conceptos que se manejan en el documento son:

Política de Seguridad de los Sistemas de información (PSSI)

Conjunto formalizado de elementos estratégicos, directivas, procedimientos, códigos de conducta, normas organizacionales y técnicas, cuya finalidad es la protección del (o de los) sistema(s) de información del organismo.

Principio de seguridad

Los principios de seguridad son la expresión de las orientaciones de seguridad necesarias y de las características importantes de la SSI que se tomarán en cuenta para elaborar una PSSI.

Norma de seguridad Las normas de seguridad definen los medios y los comportamientos definidos en el marco de la PSSI. Se construyen a partir de la aplicación de los principios de seguridad a un entorno y contexto determinados.

Convenciones de escritura En las guías PSSI utilizaremos las siguientes convenciones:

Organismo Empresa, asociación, establecimiento, ministerio, departamento ministerial, institución pública particular, organismo bajo tutela estatal, entidad territorial…

Responsable de SSI Ministro, alto funcionario de Defensa, funcionario de seguridad de los sistemas de información, responsable de la seguridad de los sistemas de información…

Validación Reconocimiento oficial por parte de la autoridad responsable del organismo

[ ] Los corchetes contienen una referencia que figura en la bibliografía

itálica El texto en itálica indica un fragmento extraído de un material de referencia


Página 6 de 21�

1 Presentación de la guía

1.1 Objetivo Esta guía tiene como objetivo principal servir de fundamento, para los responsables de la SSI, en la elaboración de una política de seguridad del o de los sistemas de información (PSSI) dentro de su organismo. Esta guía presenta un método y un conjunto de principios de seguridad y de referencias, para elaborar una PSSI que se adapte a su entorno. No constituye un resultado final que pueda ser extrapolado por un responsable de la SSI. De este modo, los responsables de la SSI podrán seguir un procedimiento estructurado y aplicar los principios de seguridad como normas de seguridad que se adapten a sus profesiones y actividades.

1.2 Ámbito de aplicación El alcance de esta guía cubre las necesidades de los sectores público y privado. De aplicación ministerial, esta guía se encuentra destinada especialmente a los actores de la estructura funcional de SSI, tales como los funcionarios de seguridad de los sistemas de información (FSSI) o autoridades calificadas, con el objetivo de implementar una PSSI, conforme a las instrucciones interministeriales y para satisfacer las necesidades de sus profesiones. Esta guía, que se aplica también a otros tipos de organismos, está dirigida en particular a los responsables de seguridad de los sistemas de información (RSSI) y propone un enfoque para la aplicación de las acciones de seguridad conformes a los últimos avances en materia de principios de protección aplicados a los sistemas de información. De manera más global, esta guía está dirigida a las personas que tienen la responsabilidad de la definición o de la evolución de una organización de la seguridad dentro de un organismo, público o privado. Aporta una ayuda para la preparación de un proyecto de definición y/o de desarrollo de una PSSI que pueda aplicarse a todos los sistemas de información del organismo o a un sistema de información específico. Por último, esta guía está destinada a todos los actores del organismo, con el fin de lograr su concienciación y adhesión a los principios por ella enunciados.

1.3 Descripción La guía PSSI está dividida en cuatro secciones: �� La introducción, este documento, que permite situar el lugar que ocupa la PSSI dentro del

referencial normativo de la SSI del organismo y especificar las bases de legitimidad sobre las cuales se apoya.

�� La metodología presenta, de manera detallada, la dirección del proyecto de elaboración de una

PSSI, así como diversas recomendaciones para la elaboración de las normas de seguridad. �� El referencial de principios de seguridad. �� Una lista de documentos de referencia de la SSI (criterios de evaluación, textos legislativos,

normas, códigos de ética, notas adicionales...). Advertimos al lector que las secciones que conforman la guía PSSI serán actualizadas en forma independiente por la Secretaría General de Defensa Nacional, sobre la base de las experiencias y aportes de los lectores. Al final de cada sección de la guía se adjunta un formulario de recogida de comentarios destinado a ayudarlo a enviar propuestas y observaciones a la oficina de consultoría de la DCSSI.


Página 7 de 21�

1.4 Histórico Estos documentos son una actualización de la versión 1.1 de la “Guía para la elaboración de una

política de seguridad interna (PSI)” publicada en septiembre de 1994. La DCSSI quiso presentar elementos pragmáticos y mejor adaptados a los entornos de las

instituciones públicas, de las empresas y de los demás organismos de los sectores público y privado. También quiso aprovechar esta evolución para realizar una actualización de los documentos de referencia que se utilizan y para profundizar temas de seguridad que no habían sido tratados en la versión anterior.

Esta nueva versión está organizada de manera diferente para asegurar un mantenimiento más eficaz

de los principios de seguridad y de las buenas prácticas. Las evoluciones de las secciones de la guía PSSI consisten en: �� actualizar todas las referencias; �� enriquecer los principios de seguridad con el objetivo de lograr una mejor cobertura de todos los

ámbitos de la SSI, utilizando normas internacionales ([ISO 15408], [ISO 13335], [ISO 17799]…) y reorganizándolas sobre la base de un estudio comparativo de los principios de los referenciales nacionales e internacionales en materia de SSI;

�� desarrollar un enfoque metódico para elaborar una PSSI, basándose en el referencial del

organismo y en un análisis de los riesgos de SSI; �� permitir la elaboración de PSSI específicas (para una profesión, un sistema de información…) en

el marco de PSSI globales, a fin de reducir los costos de realización y de garantizar la coherencia de todo el referencial de un organismo;

�� separar la guía en cuatro secciones autónomas (introducción, metodología, principios de

seguridad y referencias de SSI).


Página 8 de 21�

2 Presentación y papel que desempeña la PSSI

2.1 Contexto de seguridad de los sistemas de información

2.1.1 La SSI como elemento de calidad La seguridad del sistema de información se ha transformado en un factor indispensable para el buen funcionamiento del organismo. El rápido desarrollo de las tecnologías de la información provocó una dependencia creciente de los organismos respecto de su sistema de información, que se ha convertido en un componente estratégico. Por otra parte, el uso cada vez más difundido de los sistemas de información para diversas aplicaciones ha hecho que la comunidad de usuarios tome conciencia de que no basta con implementar los medios de comunicación más eficaces, sino que éstos deben ser, además, fiables y seguros (disponibilidad, integridad, confidencialidad y, a veces, medio de prueba).

2.1.2 La gestión de los riesgos gracias a la protección es global La multidisciplinaridad del área de la seguridad da lugar a un verdadero ejercicio de prospectiva que beneficia a todo el organismo: de esto resulta un razonamiento que es la esencia misma de la PSSI. La cualificación requerida para asumir la responsabilidad de la seguridad de los sistemas de información también ha evolucionado. Antes bastaba con la formación técnica, hoy la evolución de los retos que afectan al sistema de información impone la necesidad de que los responsables de la seguridad cuenten con múltiples conocimientos y de adoptar un enfoque sistémico (tomando en cuenta los distintos sistemas, tales como el sistema-empresa, el sistema de gestión de la seguridad o el sistema de información, y sus interacciones). Efectivamente, una perfecta integración del componente seguridad en la gestión de un organismo impone la consideración de elementos tan diversos como las particularidades de su cultura, las restricciones vinculadas con su misión o con su profesión (las orientaciones estratégicas que representan la evolución deseada y, de manera general, el conjunto de normas de gestión del personal involucrado), con la organización y con los métodos y técnicas utilizados.

2.1.3 Riesgos extendidos y, a veces, nuevos

Las amenazas han tomado una nueva dimensión, tanto como desde el punto de vista de su origen como desde el punto de vista de sus objetivos y de la importancia de sus impactos. La interconexión de las redes es hoy real y traspasa las fronteras. Esta evolución facilita la transmisión de la información pero también su agresión (modificaciones y robos) y los medios de ataque ya no son patrimonio de una elite gubernamental. Varios organismos, concienciados sobre la importancia de la SSI, se han dado cuenta de la necesidad de disponer de normas de seguridad para los sistemas de información que permitan establecer espacios confiables. Esta toma de conciencia ha dado lugar a la formalización de métodos y referenciales de seguridad.

2.2 Necesidad de una PSSI Teniendo en cuenta el nivel de riesgos vinculados a la presión continua de la amenaza, un fallo en la seguridad del sistema de información podría provocar consecuencias irreversibles para el logro de los objetivos estratégicos del organismo o para con sus obligaciones o compromisos. Por tal motivo, se debe tomar en cuenta la PSSI (el referencial final) y se debe validar al nivel más elevado de responsabilidad como un instrumento de gestión de los riesgos de SSI.

La PSSI muestra el reconocimiento formal de la importancia otorgada por la dirección general del organismo a la seguridad de su o sus sistemas de información.


Página 9 de 21�

Frente a las amenazas que afectan a los sistemas de información, el usuario exige una protección adaptada de los datos y de los servicios de procesamiento, archivado y transferencia de la información. La seguridad se ha transformado, por lo tanto, en una de las dimensiones esenciales de la estrategia del organismo y debe ser tomada en cuenta desde la fase de diseño de un sistema de información, a fin de asegurar la protección de los bienes y de las personas, y del patrimonio del organismo. De este modo, la seguridad de los sistemas de información apunta, en particular, a proteger los siguientes componentes del patrimonio: �� El patrimonio material, compuesto por los bienes materiales necesarios para la realización de sus

actividades, cuyo deterioro podría interrumpir, disminuir o alterar la actividad del organismo. Dicho patrimonio está compuesto principalmente por las tecnologías de la información y la comunicación (servidores, red, puestos de trabajo, telefonía…), pero también por los procedimientos y aplicaciones lógicas que traducen los procesos y las funciones profesionales del organismo.

�� El patrimonio inmaterial e intelectual, compuesto por toda la información que hace al oficio del organismo (datos científicos, técnicos, profesionales, administrativos…).

�� Los datos referidos a las personas (físicas y jurídicas) con las cuales se relaciona el organismo. Datos cuya destrucción, alteración, falta de disponibilidad o divulgación podría acarrear pérdidas, atentar contra la imagen de marca del organismo o incluso desencadenar acciones judiciales.

La PSSI define la política de seguridad de una entidad específica, que puede ser un sistema tecnológico, una función automatizada o una aplicación, pero también un organismo completo como una empresa o un departamento ministerial. Une empresa se basa en su personal, su cultura, su información y sus procesos de gestión (tratamiento, almacenamiento y/o transferencia) de la información. Dichos procesos empresariales son los que hacen toda la diferencia entre dos “organizaciones” con similares objetivos, cuya actividad se desarrolla en el mismo sector económico. Cada proceso se basa en la organización, los procedimientos y la tecnología. Por lo tanto, limitarse a los aspectos tecnológicos no es suficiente, ya que es necesario considerar también los aspectos no técnicos. El procedimiento de gestión de los riesgos, entre los cuales se encuentran los riesgos de SSI, es una actividad funcional, operativa y de gestión como cualquier otra. Recordemos que los riesgos informáticos, al igual que los riesgos que corren los datos, son riesgos operativos para los sistemas de información, a pesar de su carácter parcialmente inmaterial. La PSSI constituye un marco de referencia y de coherencia: �� para la integración de la seguridad durante el diseño de un sistema de información; �� para el conjunto de las actividades y de los actores del organismo, que deberán tenerse en

cuenta para justificar toda evolución del sistema de información; �� para ayudar a las personas encargadas de elaborar y de implementar medidas, instrucciones y

procedimientos coherentes tendientes a garantizar la seguridad de los sistemas de información. La PSSI ofrece los siguientes beneficios: �� una visión estratégica de la gestión de los riesgos globales, entre los cuales figura la SSI, que

apunta a informar a los diseñadores del proyecto sobre los retos y a suscitar confianza en el sistema de información,

�� la identificación de los objetivos, obligaciones y compromisos del organismo respecto de sus usuarios y asociados, en función de la legislación aplicable, así como los principios de seguridad que rigen la protección de su propio patrimonio,

�� la promoción de la cooperación entre los distintos departamentos, servicios o unidades del organismo para la elaboración y la implementación de tales medidas, instrucciones y procedimientos,

�� la certeza de la coherencia y de la continuidad de las acciones de seguridad (análisis de riesgos, implementación de medidas…), indicando las directivas necesarias, especialmente para toda elección técnica pero también organizacional o contractual, en materia de seguridad,

�� una adecuación de los medios (con una proporcionalidad garantizada por el análisis de los riesgos) mediante la aplicación de los principios y las normas de seguridad que deben respetarse para el conjunto de las actividades y sistemas,

�� la concienciación sobre los riesgos que amenazan a los sistemas de información y sobre los medios disponibles para protegerse de ellos e informar todos los involucrados sobre sus responsabilidades,

�� una ayuda para los directores de programas y jefes de proyecto, para integrar cuanto antes la seguridad en los desarrollos de nuevos servicios del sistema de información.

Además, la elaboración o la revisión de una PSSI es la oportunidad para replantearse, dentro de un procedimiento estructurado y con una finalidad operativa, la seguridad del sistema de información, comenzando por la organización instaurada para responder a dicha necesidad modificando la cultura del organismo.


Página 10 de 21�

La PSSI es un documento general de difusión que: �� satisface los objetivos de seguridad identificados para el organismo; �� debe ser conocido por todos los actores internos y, si correspondiera, por todas las personas que tengan

acceso al sistema de información del organismo (subcontratados, proveedores, becarios...); �� debe, luego de la validación por parte de la autoridad responsable (por ejemplo: la dirección

general), ser ampliamente difundido, eventualmente en una forma simplificada y didáctica, a todo el personal. Dicha difusión estará acompañada por una concienciación de todo el personal, centrada en un recordatorio de los principios, la organización y las normas de seguridad.

2.3 Ámbitos de aplicación de la PSSI La Política de Seguridad de los Sistemas de Información (PSSI) puede aplicarse a la totalidad o a una parte del sistema de información del organismo. La PSSI: �� se aplica a un sistema existente o por desarrollar, �� involucra a toda persona que tenga acceso al sistema de información de la empresa, pertenezca

o no al organismo (subcontratista, becario, proveedor), �� involucra todos los aspectos del sistema de información (la organización, el entorno físico, el

desarrollo, el uso, el mantenimiento…), �� involucra todo el ciclo de vida del sistema de información y de la información. Tal como se describe en la continuación de esta guía, esta política abarca todos los sistemas de información de la administración, del organismo o de la empresa.

2.4 Lugar que ocupa la PSSI en el referencial de documentos La PSSI es un elemento de la política general del organismo y concuerda con el esquema director del sistema de información y con la estrategia de seguridad de la información. Aunque puede abarcar todos los sistemas de información del organismo, puede también restringirse a un sistema de información en particular, por ejemplo, a un sistema vinculado con un oficio del organismo o a un sistema transversal (correo electrónico, intranet…). En ese caso, en un organismo o en una empresa pueden existir varias PSSI. Éstas deberán ser coherentes entre sí. Dicha coherencia se garantiza mediante la formalización de una PSSI global (objeto de la presente guía). Las demás políticas son entonces aplicaciones derivadas de la PSSI en un entorno profesional o técnico particular, para instancias especializadas o casos especiales. Para elaborar una PSSI que se adapte al organismo, se recomienda realizar un análisis de los riesgos específicos del contexto, a fin de adaptar sus normas de seguridad.

P S S I g lo b a lP S S I g lo b a l

M é to do de e la bo rac ió nde la po lít icade se gurida d

(P S S I)

M é to do de e la bo rac ió nde la po lít icade s e gurida d

(P S S I)

��

�� M é to do de a ná lis is de lo s rie s gos

M é to do de a ná lis is de lo s rie sgos

��

��

E sque ma dire c to rde l o rga nis mo

E s que ma dire c to rde l o rga nis mo

�� !"�� !"��

P S S I e s pec ífic as P S S I e s pec ífic as

��!��!��

��

2.4.1 Vínculo existente entre la PSSI y las directrices de la OCDE Los nuevos principios generales expuestos en las directrices de la OCDE que rigen la seguridad de los sistemas y redes de información constituyen un marco de seguridad que se puede aplicar a los sistemas de información de un Estado o de un organismo privado. La PSSI de un organismo, por su parte, se sitúa a un nivel de abstracción menos elevado. Entonces puede heredar principios de la OCDE. Mencionemos que los principios de seguridad propuestos en esta guía son compatibles con los principios de seguridad de las directrices de la OCDE (ver la sección 4: Referencias de SSI).


Página 11 de 21�

2.4.2 Vínculos existentes entre la PSSI y los Criterios Comunes (CC) La realización de la misión o del oficio de un organismo está sometida a un conjunto de normas y prácticas que rigen todos los aspectos vinculados con el funcionamiento (personal, finanzas, investigación, producción, comunicación…). En consecuencia, el sistema de información que contribuye al cumplimiento de dicha misión u oficio debe tener en cuenta todas las restricciones del entorno del organismo. Por otra parte, frente a las amenazas que afectan al sistema de información, el usuario1 exige una protección apropiada de la información y de los servicios de procesamiento y transferencia de la información. La SSI se convierte entonces en una de las dimensiones esenciales de la estrategia del organismo y debe ser tomada en cuenta desde la fase de diseño del sistema de información. Existe, por lo tanto, una necesidad de métodos y referenciales de seguridad que permitan, por una parte, especificar los objetivos de seguridad de un sistema de manera pertinente y, por otra parte, contar con los medios necesarios para evaluar el materialización de dichos objetivos de seguridad en medidas tendientes a garantizar cierto nivel de confianza en la seguridad del sistema. Se realizaron trabajos a nivel internacional, basados en los resultados de las iniciativas existentes en Europa, en los Estados Unidos, en Canadá…Estos trabajos condujeron a la elaboración de los criterios comunes de evaluación de la seguridad de las tecnologías de la información [ISO 15408], que permiten definir un marco de referencia para la evaluación de productos o sistemas informáticos. Dichos criterios de evaluación han sido elaborados de manera genérica, a fin de permitir la evaluación de cualquier producto o sistema informático, sea esté un componente electrónico específico o una aplicación lógica estándar. En realidad, estos criterios están particularmente adaptados para la definición de los objetivos de seguridad de los sistemas o productos informáticos, para la definición de sus requerimientos funcionales de seguridad y, por lo tanto, para la elaboración de las especificaciones técnicas de las licitaciones a las que se refieren. Para los organismos públicos, dichas especificaciones técnicas tienen entonces valor de recomendaciones. En la filosofía de los criterios comunes se establece que la seguridad de un sistema de información requiere, entre otras cosas, la implementación de una política de seguridad de los sistemas de información. Dicha política de seguridad constituye la primera etapa de una metodología de gestión de los riesgos para un sistema de información, con la elaboración de un esquema director de seguridad de los sistemas de información. Expresarlo utilizando el formalismo de los Criterios Comunes permite comenzar las etapas siguientes de la seguridad del sistema de información, conforme a las metodologías aplicadas por los organismos oficiales. Los Criterios Comunes se utilizan fundamentalmente como referencial de certificación y se trata de una etapa que permite obtener el nivel de confianza que se puede atribuir al producto o sistema establecido.

2.5 Las bases de legitimidad de una PSSI La legitimidad de las normas incluidas en una PSSI proviene de las leyes, reglamentaciones, normas y recomendaciones que emanan de niveles internacionales, nacionales o profesionales. Estas normas también encuentran su justificación en los componentes de la cultura del organismo, como las tradiciones, las costumbres o los reglamentos internos.

��1 De hecho, distinguimos varios tipos y niveles de usuarios:

�� el propietario decide, define los requerimientos, paga y toma la responsabilidad de las operaciones;

�� el gestor u operador del sistema tiene la responsabilidad de las cuestiones habituales del día a día relacionadas con el sistema de información, es responsable de las operaciones y del informe de los resultados, sólo puede trabajar si el propietario le indica objetivos y le brinda los medios necesarios, no siempre es el administrador, que puede depender de él para objetivos secundarios precisos y específicos, pero se encuentra en este nivel;

�� el usuario que emplea el sistema de información siguiendo normas y procedimientos definidos por el propietario y enviados por el gestor, puede realizar el mantenimiento preventivo o diario e informar al gestor; el operador es un usuario específico cuyos conocimientos permiten el uso “profesional” de una herramienta; el usuario puede ser únicamente el destinatario de la información.


Página 12 de 21�

2.5.1 El respeto de la deontología El uso masivo creciente de los sistemas de información ha llevado a la aplicación, en las profesiones que utilizan las tecnologías de la información, de grandes principios éticos tales como la garantía de los derechos humanos, la protección y el respeto de la vida privada, la garantía de las libertades individuales o públicas. Dichos principios, aplicados al ámbito de los sistemas de información han sido formulados: A nivel internacional (1) Declaración Universal de los Derechos Humanos adoptada por la Asamblea General de las Naciones Unidas el 10 de diciembre de 1948 en París, en particular en lo que se refiere a: �� la libertad de expresión y el derecho a buscar, recibir y difundir información por cualquier medio

de comunicación; �� la protección de la vida privada, la familia, el domicilio o la correspondencia. (2) Principios rectores de la ONU para la reglamentación de ficheros informáticos que contengan datos de carácter personal: �� los principios referidos a las garantías mínimas que deberían estar previstas en las legislaciones

nacionales; �� la aplicación de principios rectores a los ficheros que contienen datos de carácter personal en

poder de organizaciones internacionales gubernamentales. (3) Directrices de la OCDE sobre la protección de la vida privada y los flujos transfronterizos de datos de carácter personal: �� directrices que rigen la protección de la vida privada y los flujos transfronterizos de datos de

carácter personal (1980); �� declaración de flujos transfronterizos de datos (1985); �� declaración de los ministros sobre la protección de la vida privada en las redes mundiales (1998). A nivel de la Unión Europea (1) Convención de respaldo de los derechos humanos y de las libertades fundamentales, adoptada por el Consejo de Europa (Roma 4/11/1950). (2) Directivas del Consejo de la Unión Europea: �� La directiva del Parlamento Europeo y del Consejo del 24 de octubre de 1995 referida a la

protección de las personas físicas con respecto al tratamiento de datos de carácter personal y a la libre circulación de dichos datos. Dicha directiva apunta a favorecer la elaboración de códigos de conducta nacionales y comunitarios destinados a contribuir a la buena aplicación de disposiciones nacionales y comunitarias.

�� La directiva 2002/58/CE del Parlamento Europeo y del Consejo del 12 de julio de 2002 referida al tratamiento de los datos de carácter personal y a la protección de la vida privada en el sector de las comunicaciones electrónicas.

A nivel nacional (1) Declaración de los Derechos Humanos del 26 de agosto de 1789 – artículo 11, referido a la libertad de pensar, hablar, escribir y publicar libremente. (2) Ley "Informática y libertades" que reglamenta el uso y la elaboración de ficheros de carácter

personal, enmarcando las siguientes acciones: �� la presentación, antes de su implementación, de los procesamientos automatizados de datos

personales con formalidades administrativas que deben cumplir los usuarios públicos y privados, �� el reconocimiento, para toda persona cuyos datos figuren en un fichero automatizado o manual,

de los derechos de acceso, rectificación y privacidad de los datos que se refieren a ella. �� la aplicación de disposiciones de protección que se aplican a la recogida, al registro, al

procesamiento y a la conservación de los datos personales en ficheros informáticos o no informáticos,

�� el control de la aplicación de la ley por parte de la Comisión Nacional Informática y Libertades. (3) Informe de la CNIL sobre la vigilancia informática en los lugares de trabajo, publicado el 5 de febrero de 2002


Página 13 de 21�

A nivel de los organismos y profesiones que se manifiestan al respecto (1) Códigos de ética de sectores profesionales (profesiones de los sectores jurídicos, de la salud, de la investigación, bancarios, de estadísticas…) que formulan principios básicos, recomendaciones sobre políticas, códigos de conducta o reglamentos. En particular, y cualquiera sea el oficio del organismo, éste posee y procesa datos a las cuales debe asignar una indicación específica, característica de su ámbito, como la indicación de “confidencial personal” (ámbito protegido por la Ley Informática y Libertades) o “confidencial profesional, industrial, comercial”… (ámbito protegido por el Código Penal). De este modo, paralelamente al código de ética propio de la profesión, el organismo debe tomar en cuenta los elementos específicos referidos a la protección de datos de tipo médico, jurídico…, así como el respeto del anonimato de las personas que hayan brindado datos de carácter personal a través de cuestionarios o encuestas.

(2) Códigos de ética de las profesiones de las tecnologías de la información: Estos códigos particulares presentan normas de deontología general que se enuncian como deberes y obligaciones que deben asumirse: �� la obligación de capacidad y de objetividad, �� los deberes para con la clientela, a saber: independencia, respeto del cliente y de la misión

confiada, deber brindar asesoramiento y asistencia, �� los deberes para con los asociados, a saber: respeto del asociado y protección de la información

confiada en el marco de una misión llevada a cado en forma conjunta, �� los deberes para con los competidores, a saber: respeto de los principios de lealtad y de libre

competencia �� el respeto del secreto de fabricación.

2.5.2 La gestión de los riesgos: accidentes, errores, fallos y delitos informáticos

Los accidentes que pueden ocurrir dentro de un organismo o fuera de éste, como consecuencia de sus actividades, pueden ocasionar daños a las personas, a los bienes, al entorno (al patrimonio nacional o privado). Por tal motivo, todos los responsables de organismos tienen la obligación de luchar, con los medios apropiados, contra los diversos accidentes que podrían ocurrir. Si bien esta preocupación es tomada en cuenta a nivel de la seguridad general (y, especialmente, a nivel de la seguridad del personal), se la recuerda en este capítulo para señalar que, en numerosos casos, la causa de accidentes de cualquier tipo puede residir en negligencias o en delitos informáticos cometidos durante el uso del sistema de información (por ejemplo, en el ámbito de lo nuclear, de la gestión del tráfico fluvial, ferroviario, aéreo, del servicio de agua potable…). La lista de alteraciones específicas de la seguridad abarca habitualmente, pero sin limitarse a ello, la denegación de acceso a una información o función (pérdida de disponibilidad), el daño provocado a una información o función mediante una modificación no autorizada (pérdida de integridad) o la divulgación nociva de una información o función a destinatarios no autorizados (pérdida de confidencialidad). Independientemente de la obligación impuesta por la Ley, los responsables de organismos tienen el deber prioritario de reforzar los controles de seguridad siempre que exista un riesgo, por más mínimo que sea, vinculado con el uso del sistema de información. La seguridad tiene que ver con la protección de los bienes contra las amenazas, clasificadas, estas últimas, según el daño potencial que podrían provocar en los bienes que deben protegerse. Se deberían tomar en cuenta todas las categorías de amenazas, pero en el ámbito de la seguridad, se presta mayor atención a las amenazas vinculadas con las actividades humanas, delictivas o no. [ISO 15408] Se debe describir una amenaza citando el elemento peligroso identificado, el ataque y el bien amenazado. Los elementos peligrosos deberían caracterizarse considerando aspectos tales como los conocimientos técnicos, los recursos disponibles y la motivación del atacante. Los ataques deberían caracterizarse considerando aspectos tales como los métodos de ataque, todas las vulnerabilidades utilizadas y la posibilidad de materialización de dichos ataques. [ISO 15408]


Página 14 de 21�

2.5.3 Preservación de los intereses vitales del Estado Los organismos gubernamentales y quienes colaboran con los mismos están sujetos al cumplimiento de las leyes nacionales e instrucciones interministeriales. Cuando un organismo, inclusive fuera de su propia misión, se ve obligado, en forma contractual o no, a utilizar o a procesar información clasificada protegida por el secreto de defensa o información sensible como, por ejemplo, la referida al patrimonio nacional, debe aplicar las leyes y los textos reglamentarios específicos para dichos casos. La lista de principales textos figura en la sección 4 (Referencias de SSI). Protección de los elementos no clasificados de defensa La [REC 901] sobre la seguridad de los sistemas de información que procesan información sensible

no clasificada de defensa retoma ciertos grandes principios de la [IGI 900] y se presenta articulada del mismo modo. Puede aplicarse a todas las instituciones públicas y a todos los servicios descentralizados del Estado, así como a los establecimientos dependientes de un ministerio. Esta recomendación es también una referencia para las empresas privadas que deseen garantizar la protección de sus propios secretos científicos, tecnológicos, industriales, comerciales o financieros o que deseen proteger sus intereses y su patrimonio.

La misma recomienda una armonización entre las medidas tomadas para la protección del secreto de

defensa y aquellas referidas a la protección de la información sensible, en virtud de lo cual se recomienda implementar una organización funcional única.

La [REC 600] presenta recomendaciones referidas a la información, los sistemas o aplicaciones no

protegidos por el secreto de defensa, pero cuya destrucción, apropiación indebida o uso fraudulento podría causar perjuicio a los intereses nacionales, al patrimonio científico y técnico o a la vida privada o profesional de los individuos. Estas recomendaciones se refieren a la seguridad de las estaciones de trabajo autónomas o conectadas a una red.

La información protegida por el secreto de defensa Para la información protegida por el secreto de defensa, las obligaciones reglamentarias de

protección se centran en:

(1) La protección del secreto y de la información relacionada con la defensa nacional y la seguridad del Estado. La [IGI 1300], que se dirige a todos los departamentos ministeriales y a todos los organismos públicos o privados donde de emite, se recibe, se pone en circulación o se conserva información de interés para la defensa nacional y la seguridad del Estado, aborda los siguientes temas: �� la organización y el funcionamiento de los servicios de seguridad de defensa, �� la protección de las personas, �� la protección de la información clasificada, �� la protección del patrimonio nacional y la información cuya difusión debe mantenerse restringida

(indicación y no clasificación), �� la concienciación sobre los riesgos de comprometer información clasificada, �� los controles e inspecciones. (2) La seguridad de los sistemas de información que son objeto de una clasificación de defensa por sí mismos o por la información que procesan. La [IGI 900], que está destinada a todas las instituciones públicas y servicios externos del Estado, especialmente a los establecimientos públicos nacionales u organismos dependientes de un ministerio, especifica las normas que deben respetarse para proteger los secretos de Defensa Nacional en los sistemas de información y aborda los siguientes temas: �� las informaciones que requieren protección, �� los medios de protección, �� los principios generales de seguridad de los sistemas de información, �� los roles respectivos, la organización y las misiones de los distintos involucrados, �� los controles e inspecciones. (3) Protección del secreto en los informes entre Francia y los países extranjeros. La [II 50] especifica las disposiciones generales y los protocolos de seguridad que deben establecerse dentro del marco de las estudios e informes intercambiados entre Francia y los países extranjeros.


Página 15 de 21�

Otra instrucción se refiere a la protección del patrimonio científico y tecnológico francés en los intercambios internacionales.

(4) Protección del secreto y de la información para las licitaciones públicas y demás contratos. La [II 2000] especifica las disposiciones que deben tomarse para la protección del secreto y de la información relacionada con la Defensa Nacional y la seguridad del Estado en las licitaciones públicas, así como en todos los demás contratos administrativos que supongan la implementación de sistemas de información que son objeto de una clasificación de defensa para sí mismos o para la información que procesan. Trata, en particular, sobre las disposiciones que deben tomarse respecto de las personas, la documentación y el hardware.

2.5.4 La lucha contra la el delito y el crimen informático A nivel de la Unión Europea La [REC CRIM] sobre la criminalidad en relación con el ordenador y la [D 250] sobre la protección jurídica de los programas de ordenador reglamentan la protección del software. A nivel nacional El software es considerado como una obra intelectual protegida por el [CPI] y existen leyes que reglamentan las penas asociadas con infracciones tales como: �� la copia o el uso ilícito del software, �� la divulgación no autorizada de documentos técnicos o comerciales, aun tras de la ruptura de un

contrato, �� el delito o la tentativa de delito, con o sin acuerdo concertado, que corresponde a las infracciones

como el acceso o el mantenimiento fraudulento en todo o en parte de un sistema, la obstaculización de su funcionamiento, la modificación de datos,

�� la interceptación de telecomunicaciones. Pero es el organismo quien debe tomar las medidas que juzgue necesarias para la protección de su sistema de información (medidas preventivas, de detección y correctoras), a fin de protegerse contra las amenazas previstas, sean éstas accidentales o intencionales, como, por ejemplo, la interceptación, la apropiación indebida, el uso o la divulgación no autorizada de elementos del sistema de información.

2.5.5 Preservación de los intereses particulares del organismo El organismo puede definirse por: �� su misión (para un organismo estatal) o su oficio (para un organismo privado), �� su cultura, �� sus orientaciones estratégicas y su estructura, �� sus relaciones con el entorno, �� sus recursos. Cuando el organismo considera que uno de esos temas tiene un impacto mayor en su seguridad, lo eleva al rango de base de legitimidad para justificar los principios descriptos en su Política de Seguridad de los Sistemas de Información. La misión o el oficio del organismo

Todas las potencialidades y los recursos de que dispone un organismo tienen por única finalidad la realización de su misión o el ejercicio de su oficio. De esto se desprenden objetivos que deberían ser claramente expresados y llevados a conocimiento de los actores involucrados, tanto dentro como fuera del organismo, para garantizar la cohesión de las misiones que corresponden a cada una de las unidades funcionales.

La cultura del organismo La cultura del organismo se define por el hecho de compartir un conjunto de valores, de conocimientos técnicos, de costumbres de vida colectiva y por el sentimiento de una identidad común. Se expresa a nivel de cada individuo en:


Página 16 de 21�

�� El respeto de la misión y la adhesión al proyecto del organismo. Por ejemplo, para empresas que utilicen información protegida por el secreto de defensa: integración de la seguridad en el marco cotidiano de trabajo; para una organización cuya misión es la distribución: entrega del pedido en el menor tiempo posible; para un fabricante de hardware (alta gama), movilización permanente en pos de la calidad.

�� El respeto de la memoria colectiva. �� La conservación del patrimonio del organismo. �� El cumplimiento del reglamento interno. �� La comunicación interna o externa. Cualquier acción que apunte a modificar uno de esos elementos tendrá un impacto mucho más importante, dado que el elemento modificado está profundamente inscrito en la cultura del organismo y ha sido aceptado por todo el personal. Las orientaciones estratégicas y la estructura del organismo Las elecciones fundamentales y los objetivos que se fija el organismo derivan de su misión y de su propia estrategia orgánica; el responsable de la seguridad debe entonces procurar que los proyectos que se encuadran en dicho marco y que afectan a la estructura misma del organismo sean coherentes con los objetivos que se atribuyen a la seguridad del sistema de información. La estructura del organismo es, efectivamente, una adaptación permanente de las orientaciones estratégicas elegidas para gestionar mejor las distintas funciones del organismo y su evolución. Todo cambio que afecte a la estructura del organismo modifica, en consecuencia, sus flujos de información. El aspecto formal de la estructura está representado por un organigrama que da cuenta de la organización de las distintas entidades constitutivas del organismo (direcciones, departamentos, servicios, unidades…). El aspecto informal puede estar representado por un sociograma que pone en evidencia los factores que influyen en las personas o los puestos estratégicos y que afectan a las orientaciones y decisiones del organismo. Se trata, por ejemplo, de la influencia sobre la dirección y sobre los especialistas en informática que tiene el nombramiento de un responsable no técnico en el puesto de responsable de la seguridad de los sistemas de información. Las dificultades de relación, que son, a menudo, difíciles de evaluar, exigen, para ser identificadas y gestionadas, la observación de los juegos de poder dentro del organismo. En particular, los flujos de comunicación transversales respecto de la estructura jerárquica, aunque a menudo responden a una necesidad operativa real, pueden ser la consecuencia de retención de información; entonces pueden crearse, dentro del organismo, flujos que escapan a los controles de la seguridad.

Las relaciones del organismo con su entorno: los contratos firmados con terceros Los compromisos contraídos con otros organismos son objeto de contratos o de convenios donde pueden figurar cláusulas específicas referidas a la seguridad de los sistemas de información. Estas cláusulas son tanto más importantes cuanto que la naturaleza de los compromisos involucra un componente estratégico o es susceptible de influir en la cultura del organismo. Toda nueva relación con el entorno del organismo requiere un esfuerzo previo de comunicación dentro del organismo. A modo de ejemplo, en el caso de un contrato de subcontratación de la gestión del sistema de información, existen cláusulas específicas para la transferencia de los conocimientos técnicos e internamente el personal debe contar con los elementos que le permitan comprender por qué y cómo esta nueva elección se incorpora a la estrategia del organismo y cuáles son sus implicaciones en cuanto a las instrucciones de seguridad. Otro ejemplo es el de los contratos de subcontratación para los cuales existen, a menudo, cláusulas específicas referidas, por ejemplo, al suministro y uso de programas fuente. En el marco de la cooperación internacional, los compromisos contractuales brindan garantías a las partes y deben estar de acuerdo con la reglamentación de los países involucrados. De manera más general, en el marco de las relaciones con su entorno, el organismo solicitante debe hacer valer los siguientes requerimientos: �� en relación con los proveedores: el deber de asesoramiento, de calidad y de continuidad del

mantenimiento y la asistencia, �� en relación con los proveedores de servicios: el deber de asesoramiento, la obligación de

proporcionar medios y resultados, �� en relación con la subcontratación: las cláusulas específicas garantizan la no competencia,


Página 17 de 21�

�� en relación con otros organismos: las cláusulas específicas para la cooperación y la interoperabilidad de los sistemas de información.

Los recursos del organismo El organismo es una unidad económica de producción de bienes o de servicios, compuesta por recursos humanos, jurídicos, técnicos y financieros. Las unidades del organismo tienen, a menudo, misiones y objetivos distintos, que pueden aparecer como restricciones que la seguridad debe tomar en cuenta. Por ejemplo: �� para los recursos humanos: necesidad de confidencialidad de los criterios de contratación del

personal, �� para los recursos jurídicos: necesidad de confidencialidad de los contratos, �� para el know-how y los recursos técnicos: necesidad de protección de las nuevas ideas, �� para los recursos financieros: necesidad de confidencialidad de los estados contables antes de su

publicación.

2.5.6 La conformidad tecnológica y legal El control del Estado en el ámbito de la criptología El artículo 28 de la Ley N° 90-1170 del 29 de diciembre de 1990 sobre la reglamentación de las telecomunicaciones define las prestaciones de criptología como: "Entendemos por prestación de criptología, toda prestación que apunte a transformar, mediante convenciones secretas, datos o señales claros en datos o señales ininteligibles para terceros, o que apunten a realizar la operación inversa, gracias a medios materiales o lógicos diseñados a tales efectos". La reglamentación francesa (sección 4 – Referencias de SSI) se basa en leyes y directivas interministeriales cuya finalidad es preservar los intereses de la defensa nacional y de la seguridad interior o exterior del Estado. La reglamentación sobre la criptología se aplica a todos los medios criptológicos, utilizados tanto en el sector privado como público. Involucra el suministro, la exportación, el uso de medios o de prestaciones criptológicas.

El control de las comunicaciones La Ley sobre la libertad de comunicación se refiere al procesamiento de datos de carácter personal y a la protección de la vida privada en el sector de las telecomunicaciones.

La firma electrónica Conforme a la Ley N° 2000-230 del 13 marzo de 2000, el Código Civil especifica: "La prueba literal, o prueba por escrito, resulta de una serie de letras, caracteres, cifras u otros signos o símbolos dotados de una significación inteligible, cualesquiera sean su soporte y sus modalidades de transmisión". También precisa que: lo escrito en soporte electrónico tiene la misma fuerza probatoria que lo escrito en soporte papel. La Ley especifica que: «”cuando la Ley no ha fijado otros principios, y a falta de acuerdo válido entre las partes, el juez resuelve los conflictos de prueba literal determinando por todos los medios el escrito más verosímil, cualquiera sea su soporte». La [D 93] especifica el marco comunitario para las firmas electrónicas. Las instrucciones técnicas particulares para combatir las señales comprometedoras

Entendemos por señal comprometedora toda señal electromagnética emitida por un equipo del sistema de información que puede ser captada fuera del local donde se encuentra el equipo, o, a la inversa, toda señal que, emitida desde fuera del local donde se encuentra el equipo, podría perturbar los procesos o datos informáticos, o, inclusive, deteriorar el hardware.


Página 18 de 21�

2.5.7 El control por parte de los consumidores Los usuarios de los sistemas de información están sometidos, por un lado, a la oferta de los fabricantes, ya que cada uno tiene sus sistemas específicos, y, por otro lado, a la necesidad de usar y conectar estos sistemas entre sí. Normalización Se recomienda el uso de productos normalizados para asegurar la interoperabilidad de los sistemas. La definición de esta noción figura en una directiva de la Unión Europea que trata sobre la elaboración de las normas nacionales. Un decreto nacional la retoma, estableciendo la situación de la normalización: “la normalización tiene como objeto brindar documentos de referencia que incluyan soluciones a problemas técnicos y comerciales referidos a los productos, bienes y servicios, que se planteen en forma repetida dentro de las relaciones entre actores económicos, científicos, técnicos y sociales”. La elección de productos normalizados tiene valor de recomendación, pero puede tomar carácter obligatorio en razón de la publicación de:

�� una directiva comunitaria particular, �� un decreto del Ministerio de Industria, �� normas específicas como, por ejemplo, los códigos para las licitaciones públicas, �� contratos particulares protegidos por el Código Civil, �� requerimientos de seguridad de las personas y los bienes.

Certificación de las tecnologías de la información La situación jurídica comunitaria se basa en una resolución centrada en un enfoque global en materia de evaluación de la conformidad. En Francia, una evaluación exitosa según los criterios europeos armonizados puede dar lugar a que la DCSSI entregue un certificado según el esquema francés de evaluación y certificación. Este último especifica el contexto reglamentario y la organización necesarios para la realización de una evaluación por parte de un tercero, y para su control, lo que lleva a la entrega de certificados. El decreto Nº 2002-535 del 18 de abril de 2002 define el marco reglamentario del esquema.


Página 19 de 21�

Bibliografía

Las siguientes referencias aparecen entre corchetes en la guía:

[CPI] Code de la propriété intellectuelle, article L621 relatif au secret de fabrique.

[D 250] Directive n°91/250/CEE du Conseil des communautés européenne du 14 mai 1991 concernant la protection des programmes d'ordinateur.

[D 93] Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, relative au cadre communautaire pour les signatures électroniques.

[IGI 1300] Instruction générale interministérielle nº1300/SGDN/PSE/SSD/DR du 12 mars 198225 août 2003 sur la protection du secret et des informations concernant de la défense nationale et la sûreté de l'État.

[IGI 900] Instruction générale interministérielle nº900/SGDN/SSD/DR ou nº900/DISSI/SCSSI/DR du 20 juillet 1993 sur la sécurité des systèmes d'information qui font l'objet d'une classification de défense pour eux-mêmes ou pour les informations traitées.

[II 2000] Instruction interministérielle nº2000/SGDN/SSD/DR du 01 octobre 1986 sur la protection du secret et des informations concernant la défense nationale et la sûreté de l'État dans les marché et autres contrats.

[II 486] Instruction interministérielle nº486/SGDN/STS/TSE/CVS/DR du 01 mars 1993 sur la protection du patrimoine scientifique et technique dans les échanges internationaux.

[II 50] Instruction interministérielle nº50/SGDN/SSD du 09 janvier 1971 sur la protection du secret dans les rapports entre la France et les pays étrangers.

[ISO 13335] Technologies de l'information – Lignes directrices pour le management de sécurité IT – ISO/IEC, 2001.

[ISO 15408] Technologies de l'information – Techniques de sécurité– Critères d'évaluation pour la sécurité TI – ISO/IEC, 1999

[ISO 17799] Technologies de l'information – Code de pratique pour la gestion de sécurité d'information – ISO/IEC, 2000.

[REC 600] Recommandations nº600/SGDN/DISSI/SCSSI de mars 1993 pour les postes de travail informatiques. Protection des informations sensibles ne relevant pas du secret de défense

[REC 901] Recommandation nº901/SGDN/DISSI/SCSSI du 02 mars 1994 pour la protection des systèmes d'information traitant des informations sensibles non classifiées de défense.

[REC CRIM] Recommandation du Conseil de l'Europe du 19 septembre 1989 adoptée par le conseil des ministres, relative à la criminalité en relation avec l'ordinateur.


�

Formulario de recogida de comentarios Este formulario puede enviarse a la siguiente dirección: Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Sous-direction des opérations Bureau conseil 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP [email protected] Identificación del aporte Nombre y organismo (facultativo): Dirección de correo electrónico: Fecha: Observaciones generales sobre este documento ¿El documento responde a sus necesidades? Sí � No �

En caso afirmativo:

¿Piensa que puede mejorarse su contenido? Sí � No �

En caso afirmativo:

¿Qué otros temas hubiera deseado que tratáramos? ¿Qué partes del documento le parecen inútiles o inadecuadas?

¿Piensa que puede mejorarse su formato? Sí � No �

En caso afirmativo:

¿En qué aspecto podríamos mejorarlo?

�� legibilidad, comprensión � �� presentación � �� otro �

Indique sus preferencias en cuanto al formato:

En caso negativo:

Indique el aspecto que no le resulta conveniente y defina lo que le hubiera resultado conveniente: ¿Qué otros temas desearía que se trataran?


�

Observaciones específicas sobre este documento Puede formular comentarios detallados utilizando el siguiente cuadro.

"N°" indica un número de orden. El "tipo" está compuesto por dos letras:

La primera letra indica la categoría de la observación: �� O Error de ortografía o de gramática �� E Falta de explicaciones o de aclaración en un punto existente �� I Texto incompleto o faltante �� R Error La segunda letra indica su carácter: �� m menor �� M Mayor

La "referencia" indica la ubicación precisa en el texto (número de párrafo, línea...). El "enunciado de la observación" permite formalizar el comentario. La "solución propuesta" permite presentar la forma de resolver el problema enunciado.

N° Tipo Referencia Enunciado de la observación Solución propuesta 1

2

3

4

5

Gracias por su colaboración

guía para la elaboración de una política de seguridad de ... · aporta una ayuda para la...

Documents