Untitled Document

Sección Tercera
Seguridad Física y Ambiental
ARTÍCULO 27: La dirección de cada entidad determinará las tecnologías de información que por las funciones a que estén destinadas, la información que contengan y las condiciones de los locales en que se encuentren ubicadas, requieran la aplicación específica de medidas de protección física.
ARTÍCULO 28: Las tecnologías de la información se ubicarán en áreas que garanticen la aplicación de medidas alternativas que permitan la creación de una barrera de protección a estos medios e impidan su empleo para cometer acciones malintencionadas o delictivas.
ARTÍCULO 29: En los edificios e instalaciones de cada entidad se determinarán áreas o zonas controladas con requerimientos específicos, protegidas por un perímetro de seguridad definido en dependencia de la importancia de los bienes informáticos contenidos en ellas y su utilización, de acuerdo con los criterios y denominaciones siguientes:

ARTÍCULO 30: Las áreas o zonas controladas estarán protegidas con medidas adecuadas para garantizar el acceso exclusivamente al personal autorizado.
ARTÍCULO 31: La selección y diseño de las áreas controladas tomará en cuenta la posibilidad de daño por fuego, inundación, explosión, perturbaciones del orden y otras formas de desastre natural o artificial.
ARTÍCULO 32: El equipamiento instalado en las áreas controladas estará protegido contra fallas de alimentación y otras anomalías eléctricas, incluyendo el uso de fuentes de alimentación alternativas para los procesos que deban continuar en caso de un fallo de electricidad prolongado y será ubicado y protegido de manera tal que se reduzcan los riesgos de amenazas ambientales y oportunidades de cualquier tipo de acceso no autorizado.
ARTÍCULO 33: En las Áreas Limitadas se aplicarán las medidas de protección física siguientes:

a) Se ubicarán en locales cuyas puertas y ventanas estén provistas de cierres seguros;
b) A los locales que tengan ventanas que se comuniquen con el exterior de la instalación, se le aplicarán medidas que garanticen su seguridad y que eviten la visibilidad hacia el interior del mismo;
c) Se prohíbe el acceso de personal no autorizado por la dirección de la entidad.
d) Se prohíbe la permanencia del personal fuera del horario laboral sin la debida justificación y autorización por escrito de la dirección de la entidad. Las autorizaciones referidas serán conservadas para su verificación en caso de necesidad.

ARTÍCULO 34: En las Áreas Restringidas, además de las medidas requeridas en las Áreas Limitadas, se aplicarán las siguientes:

a) Tienen que permanecer cerradas, incluso cuando existan personas laborando en ellas, y el acceso a las mismas debe ser controlado mediante los documentos de registro que para ello se establezcan;
b) El personal que acceda a estas áreas deberá cumplir requisitos especiales de idoneidad.
c) Los medios informáticos no podrán estar conectados de manera física o lógica a medios que se encuentren fuera del alcance de estas áreas ni a redes públicas de transmisión de datos;
d) Se aplicarán sistemas de detección y alarma que permitan una respuesta , efectiva ante accesos no autorizados cuando no se encuentre el personal que labora en las mismas;
e) Se implementarán mecanismos y procedimientos de supervisión de la actividad que se realiza en estas áreas;
f) Se prohíbe la introducción de soportes ópticos y magnéticos personales, excepto los que hayan sido autorizados de forma expresa por la dirección de la entidad.
g) Se prohíbe la introducción de cámaras fotográficas, de grabación de imágenes o cualquier tipo de almacenamiento digital ajeno a la misma.

ARTÍCULO 35: En las Áreas Estratégicas, además de las medidas requeridas en las Áreas Restringidas y Limitadas, se aplicarán las siguientes:

a) Todo el personal que labora en ellas o que por razones de servicio sea autorizado a permanecer en las mismas, deberá contar con una identificación personal visible que distinga el área.
b) Se implementarán medios especiales de supervisión de la actividad que en ellas se realiza;
c) El acceso a estas áreas por personas ajenas a la misma solo se realizará de manera excepcional, restringida y bajo supervisión, mediante un permiso especial en cada caso emitido por la dirección de la entidad.

ARTÍCULO 36: Todas las tecnologías de información, independientemente de su importancia, se protegerán contra alteraciones o sustracciones, ya sea de éstas o sus componentes, así como de la información que contienen.
ARTÍCULO 37: En las redes de las entidades los cables de alimentación o de comunicaciones que transporten datos o apoyen los servicios de información se protegerán contra la intercepción o el daño. Los cables de alimentación deberán estar separados de los cables de comunicaciones para evitar la interferencia.
ARTÍCULO 38: Los jefes de entidades garantizarán que el equipamiento reciba el mantenimiento correcto de acuerdo con los intervalos de servicio y especificaciones recomendados por el fabricante para asegurar su disponibilidad e integridad continuas. En caso de necesidad de envío de equipamiento fuera de las instalaciones para que reciban mantenimiento, se realizará en correspondencia con los procedimientos que se establezcan previamente para ello, observando las regulaciones establecidas en el país en materia de protección a la información.
ARTÍCULO 39: El uso fuera de las instalaciones de una entidad de cualquier equipo para el procesamiento de información tiene que estar autorizado legalmente por la dirección de la misma mediante el documento correspondiente. La seguridad que se le garantice deberá ser equivalente a la que tiene en las instalaciones habituales el equipamiento usado para el mismo propósito, tomando en cuenta los riesgos de trabajar fuera de la instalación.
ARTÍCULO 40: El equipamiento que cause baja o sea destinado para otras funciones será objeto de un procedimiento adecuado para evitar que la información que contiene pueda resultar comprometida. Los dispositivos de almacenamiento que contengan información crítica para la entidad deberán destruirse físicamente o sobrescribirse mediante un proceso completo en lugar de borrarlos como usualmente se hace.
ARTÍCULO 41: Se prohíbe el movimiento sin autorización de los equipos, la información o el software y en caso de que se autorice será realizado mediante un documento oficial que demuestre su legalidad y el movimiento deberá registrarse a la salida y a la entrada al reintegrarse el medio a su origen. Se deberán realizar inspecciones sorpresivas para detectar las extracciones no autorizadas.
inicio o si lo prefiere Haga clic aquí para ir a la Página de Informática

	Seguridad Informática

RESOLUCION No. 127 /2007

CAPITULO I
GENERALIDADES

CAPITULO II
DEL SISTEMA DE SEGURIDAD INFORMATICA.

CAPITULO III
EMPLEO CONVENIENTE Y SEGURO DE LAS TECNOLOGÍAS DE LA INFORMACION
Sección Primera
Clasificación y control de bienes informáticos

Sección Segunda
Del personal

Sección Tercera
Seguridad Física y Ambiental

*Sección Cuarta*
*Seguridad de Operaciones*

Sección Quinta
*Identificación, autenticación y control de accesos*

*Sección Sexta*
*Seguridad ante programas malignos*

*Sección Séptima*
*Respaldo de la información*

*Sección Octava*
Seguridad en Redes

CAPITULO IV
GESTIÓN DE INCIDENTES DE SEGURIDAD

CAPITULO V
PRESTACIÓN DE SERVICIOS DE SEGURIDAD INFORMÁTICA A TERCEROS.

CAPITULO VI
DE LA INSPECCION A LA SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACION

*Sección Primera*
*Objetivos*

*Sección Segunda*
*Facultades de los inspectores*

CAPITULO VII
DE LOS INCUMPLIMIENTOS

Anexo1
Principales Términos y Definiciones:

RESOLUCION No. 127 /2007 POR CUANTO: El Decreto Ley No. 204 de fecha 11 de enero de 2000, cambió la denominación del Ministerio de Comunicaciones por la de Ministerio de la Informática y las Comunicaciones, para desarrollar las tareas y funciones que hasta ese momento realizaba el Ministerio de Comunicaciones, así como las de Informática y la Electrónica que ejecutaba el Ministerio de la Industria Sidero-Mecánica y la Electrónica. POR CUANTO: El Consejo de Estado de la República de Cuba, mediante Acuerdo de fecha 30 de agosto del 2006, designó al que resuelve Ministro de la Informática y las Comunicaciones. POR CUANTO: De conformidad con el Acuerdo No. 2817 de 25 de noviembre de 1994, adoptado por el Comité Ejecutivo del Consejo de Ministros, corresponde a los Jefes de los Organismos de la Administración Central del Estado, dictar, en el límite de sus facultades y competencia, reglamentos, resoluciones y otras disposiciones de obligatorio cumplimiento para el sistema del organismo, y en su caso, para los demás organismos, el sector mixto, privado y la población. POR CUANTO: El Acuerdo No. 3736 de 18 de julio del 2000, adoptado por el Comité Ejecutivo del Consejo de Ministros, aprueba el objetivo, funciones y atribuciones específicas del Ministerio de la Informática y las Comunicaciones, estableciéndose en su apartado 6, entre sus funciones específicas, las de establecer y controlar las normas y regulaciones relativas a la integridad y privacidad de la información; la seguridad e invulnerabilidad de las redes de infocomunicaciones; el diseño y documentación de los sistemas informáticos así como la inviolabilidad de la correspondencia postal y telegráfica. POR CUANTO: El Acuerdo No. 6058 del Comité Ejecutivo del Consejo de Ministros, de fecha 9 de julio del 2007, aprobó los Lineamientos para el Perfeccionamiento de la Seguridad de las Tecnologías de la Información en el país, disponiendo que el Ministerio de la Informática y las Comunicaciones, implemente en el termino de seis meses un Reglamento de Seguridad para las Tecnologías de la Información que responda a las necesidades actuales en esta materia, para su aplicación en todo el territorio nacional, así como las normas, regulaciones y procedimientos que se requieran para el cumplimiento de los citados Lineamientos. POR CUANTO: Los avances alcanzados en los últimos años en la informatización de la sociedad con el incremento de tecnologías de la información en todos los sectores y en particular de las redes informáticas y sus servicios asociados, y el impulso orientado por la dirección del país al desarrollo acelerado de programas que multipliquen dichos logros, requieren la adopción de medidas que garanticen un adecuado nivel de seguridad para su protección y ordenamiento. POR CUANTO: La seguridad de las organizaciones, sistemas y redes de información están constantemente amenazadas por diversas fuentes que incluyen ataques de distintos tipo y origen; la ocurrencia de catástrofes, errores de operación y negligencias, aumentan los riesgos a que están expuestos los servicios y protocolos utilizados, así como el contenido de la información tratada en dichos sistemas, todo lo cual puede afectar severamente la confidencialidad, integridad y disponibilidad de la información. POR CUANTO: A partir de las vulnerabilidades y debilidades propias de los sistemas informáticos y de las dificultades y limitaciones que se presentan para detectar y neutralizar oportunamente las posibles acciones del enemigo en esta esfera, resulta necesario implementar un basamento legal que establezca los requerimientos de seguridad en el empleo de las tecnologías de la información a partir de criterios de racionalidad y utilidad, que resulten susceptibles de verificación y propendan a la disminución de los riesgos en la seguridad informática. POR TANTO: En el ejercicio de las facultades que me están conferidas,
RESUELVO: PRIMERO: Aprobar y poner en vigor el Reglamento de Seguridad para las Tecnologías de la Información que se anexa a la presente Resolución, formando parte integrante de la misma. SEGUNDO: Facultar a la Oficina de Seguridad para las Redes Informáticas para implementar cuantas disposiciones complementarias se requieran para dar cumplimiento a lo que por la presente se dispone. TERCERO: Los Ministerios de las Fuerzas Armadas Revolucionarias y del Interior, adecuaran y regularan para sus sistemas lo dispuesto en la presente Resolución, de conformidad con sus estructuras y particularidades. CUARTO: La presente Resolución entrara en vigor y surtirá plenos efectos legales a los treinta días posteriores de su publicación en la Gaceta Oficial de la República. COMUNIQUESE a los Jefes de los Órganos y Organismos de la Administración Central del Estado, Entidades Nacionales, y a cuantas personas naturales y jurídicas deban conocerla. ARCHIVESE el original en la Dirección Jurídica del Ministerio de la Informática y las Comunicaciones. PUBLIQUESE en la Gaceta Oficial de la República de Cuba. Dada en La Habana, a los 24 días del mes de Julio de 2007. Ramiro Valdés Menéndez Ministro LIC. ZENAIDA C. MARRERO PONCE DE LEON, DIRECTORA JURIDICA DEL MINISTERIO DE LA INFORMATICA Y LAS COMUNICACIONES. CERTIFICO: Que la presente Resolución es copia fiel y exacta del original que obra en los archivos de esta Dirección a mí cargo. La Habana, 30 de Julio del 2007. INICIO o si lo prefiere Haga clic aquí para ir a la Página de Informática
ANEXO REGLAMENTO DE SEGURIDAD PARA LAS TECNOLOGÍAS DE LA INFORMACIÓN CAPITULO I GENERALIDADES *Objetivos y Alcance* ARTÍCULO 1: El presente Reglamento tiene por objeto establecer los requerimientos que rigen la seguridad de las tecnologías de la información y garantizar un respaldo legal que responda a las condiciones y necesidades del proceso de informatización del país. Este Reglamento no sustituye las medidas específicas que norman el procesamiento de la información clasificada y limitada, que son objeto de normativas emitidas por el Ministerio del Interior. ARTÍCULO 2: El término Seguridad de las Tecnologías de la Información utilizado en este Reglamento está relacionado con la confidencialidad, integridad y disponibilidad de la información tratada por los ordenadores y las redes de datos. El empleo de otros términos, tales como seguridad de la información, seguridad de los ordenadores, seguridad de datos o seguridad informática, tienen a los efectos de lo que aquí se establece, el mismo significado. ARTÍCULO 3: Este Reglamento será de aplicación, en lo que a cada cual concierne, en todos los Órganos y Organismos de la Administración Central del Estado y sus dependencias; otras entidades estatales; empresas mixtas; sociedades y asociaciones económicas que se constituyan de acuerdo a la Ley; entidades privadas radicadas en el país; organizaciones políticas, sociales y de masas y personas naturales que posean o utilicen, en interés propio o de un tercero, tecnologías de la información. El cumplimiento de este Reglamento en áreas sensibles que son objeto de la atención directa del MININT y el MINFAR será realizado por los especialistas de estos órganos designados al efecto. INICIO o si lo prefiere Haga clic aquí para ir a la Página de Informática
CAPITULO II DEL SISTEMA DE SEGURIDAD INFORMATICA. ARTÍCULO 4: Cada entidad que haga uso para el desempeño de su actividad de las tecnologías de la información está en la obligación de diseñar, implantar y mantener actualizado, un Sistema de Seguridad Informática a partir de la importancia de los bienes a proteger y de los riesgos a que están sometidos, con el fin de alcanzar los siguientes objetivos: Minimizar los riesgos sobre los sistemas informáticos. Garantizar la continuidad de los procesos informáticos. ARTÍCULO 5: A partir del Sistema de Seguridad Informática diseñado, cada entidad elaborará su Plan de Seguridad Informática. ARTÍCULO 6: El diseño del Sistema de Seguridad Informática y la elaboración del Plan de Seguridad Informática de cada entidad se realizarán en correspondencia con las metodologías establecidas al respecto por la Oficina de Seguridad para las Redes Informáticas, adscripta al Ministerio de la Informática y las Comunicaciones. ARTÍCULO 7: Los jefes de entidades responden por la actualización de los Planes de Seguridad Informática, considerando para ello los siguientes factores: a) La aparición de nuevas vulnerabilidades. b) Los efectos de los cambios de tecnología o de personal. c) La efectividad del sistema, demostrada por la naturaleza, número y daño ocasionado por los incidentes de seguridad registrados; ARTÍCULO 8: En los Órganos y Organismos de la Administración Central del Estado y en aquellas organizaciones en que las tecnologías de la información son determinantes para su gestión se dispondrá de los cargos de especialistas de Seguridad Informática que se requieran para atender esta actividad, los cuales tendrán las siguientes atribuciones y funciones: a) Organizar y controlar la actividad de Seguridad Informática. b) Evaluar el estado de cumplimiento y aplicación de la base legal vigente en la materia. c) Supervisar el trabajo del personal que responde por la Seguridad Informática en las entidades y organizar su preparación. d) Proponer medidas ante violaciones de la base legal establecida en la materia. ARTÍCULO 9: Los jefes a las diferentes instancias en los órganos, organismos y entidades responden por la protección de los bienes informáticos que le han sido asignados y tienen las siguientes obligaciones: a) Identificar los requerimientos de seguridad de los bienes informáticos bajo su responsabilidad y de las aplicaciones en desarrollo, determinar el nivel de acceso de los usuarios a los mismos y la vigencia de estos accesos. b) Participar en el diseño del Sistema de Seguridad y en la elaboración, evaluación y actualización del Plan de Seguridad Informática en la parte que concierne a su esfera de acción y garantizar su cumplimiento. c) Aplicar las medidas y procedimientos establecidos en su área de responsabilidad. d) Especificar al personal subordinado las medidas y procedimientos establecidos y controlar su cumplimiento. e) Participar en la elaboración de los procedimientos de recuperación ante incidentes de seguridad y en sus pruebas periódicas. f) Imponer o proponer sanciones ante violaciones del Sistema de Seguridad, en correspondencia con su naturaleza y con los daños ocasionados. ARTÍCULO 10: El responsable de la actividad informática en cada entidad tiene las siguientes obligaciones: a) Participar en el diseño del Sistema de Seguridad y en la elaboración, evaluación y actualización del Plan de Seguridad Informática, supervisar su aplicación y disciplina de cumplimiento. b) Establecer y mantener los controles en correspondencia con el grado de protección requerido por el Sistema de Seguridad Informática diseñado. c) Garantizar la disponibilidad de los bienes informáticos. d) Asesorar a las distintas instancias sobre los aspectos técnicos vinculados con la seguridad de las tecnologías de la información. e) Establecer los controles necesarios para impedir la instalación de cualquier tipo de hardware o software sin la autorización de la Dirección de la Entidad. f) Participar en la elaboración de los procedimientos de recuperación ante incidentes de seguridad y en sus pruebas periódicas 7. g) Informar a los usuarios de las regulaciones establecidas. ARTÍCULO 11: Los usuarios de las tecnologías de la información asumen en primera instancia la responsabilidad de las consecuencias que se deriven de la utilización impropia de las mismas. ARTÍCULO 12: Los usuarios de las tecnologías de información en órganos, organismos y entidades tienen las siguientes obligaciones: a) Adquirir la preparación necesaria y los conocimientos de Seguridad Informática imprescindibles para el desempeño de su trabajo. b) Contar con la autorización expresa del jefe facultado, para obtener acceso a cualquiera de los bienes informáticos. c) Utilizar las tecnologías de información solo en interés de la entidad. d) No transgredir ninguna de las medidas de seguridad establecidas. e) Proteger las tecnologías o la terminal de red que le ha sido asignada y colaborar en la protección de cualquier otra, para evitar que sea robada o dañada, usada la información que contiene o utilizado de manera impropia el sistema al que esté conectada. f) No instalar ni utilizar en las tecnologías equipamientos o programas ni modificar la configuración de las mismas, sin la correspondiente autorización del jefe facultado. g) Cumplir las reglas establecidas para el empleo de las contraseñas. h) Informar al dirigente facultado de cualquier anomalía de seguridad detectada. INICIO o si lo prefiere Haga clic aquí para ir a la Página de Informática
CAPITULO III EMPLEO CONVENIENTE Y SEGURO DE LAS TECNOLOGÍAS DE LA INFORMACION *Sección Primera* *Clasificación y control de bienes informáticos* ARTÍCULO 13: Los bienes informáticos de una entidad deben ser utilizados en las funciones propias del trabajo en correspondencia con su objeto social. ARTÍCULO 14: Todos los bienes informáticos de una entidad deberán estar identificados y controlados, para lo cual se conformará y mantendrá actualizado un inventario de éstos incluyendo sus componentes y las especificaciones técnicas de aquellos que pudieran ser suplantados. ARTÍCULO 15: Cada uno de los bienes informáticos de una entidad tienen que ser puestos bajo la custodia documentada legalmente de una persona, que actuando por delegación de la dirección de la entidad, es responsable de su protección. ARTÍCULO 16: Los jefes de entidades instrumentarán los procedimientos que se requieran para garantizar la autorización y el control sobre el movimiento de los bienes informáticos, los cuales deberán ser considerados a esos efectos de igual forma que el resto de los medios de la entidad. INICIO o si lo prefiere Haga clic aquí para ir a la Página de Informática
*Sección Segunda* *Del personal* ARTÍCULO 17: Las funciones y responsabilidades de seguridad, tanto general como específica, serán documentadas y se incluirán dentro de las responsabilidades laborales del personal. ARTÍCULO 18: El personal previsto para ocupar cargos vinculados a la actividad informática en órganos, organismos, entidades, organizaciones políticas, sociales y de masas, incluyendo personal eventual, estudiantes insertados y otros casos similares con acceso a sistemas críticos, a información de valor o a la supervisión y seguridad de los sistemas, deberá ser seleccionado adecuadamente. ARTÍCULO 19: Los términos y condiciones del contrato de empleo incluirán la obligación de la entidad contratante en cuanto a la preparación del contratado, así como la responsabilidad del trabajador hacia la Seguridad Informática, precisando que este último aspecto mantiene su vigencia una vez finalizada la relación laboral. Deberán incluirse las acciones a tomar en caso que el trabajador pase por alto los requerimientos de seguridad. ARTÍCULO 20: La utilización de las tecnologías y sus servicios asociados en cada entidad estará aprobada previamente por la dirección de la misma y basada en cada caso en la necesidad de uso por interés de la propia entidad. ARTÍCULO 21: El uso no autorizado de las tecnologías de información y sus servicios asociados constituye una violación de los derechos de la entidad que es sancionable. Es un deber y un derecho de la dirección de cada entidad la supervisión del empleo de las tecnologías de la información por parte de los usuarios. ARTÍCULO 22: Los Jefes a cada nivel, garantizarán que el personal vinculado a las tecnologías de la información esté capacitado para la utilización de las mismas, así como que conozca sus deberes y derechos en relación con el Sistema de Seguridad Informática implementado, los cuales deberán firmar una declaración como constancia de su conocimiento y compromiso de cumplimiento, que se incluirá en el contrato de trabajo. ARTÍCULO 23: El acceso a las facilidades de procesamiento y a los servicios que brindan las tecnologías por parte de personal que no forme parte de la plantilla será en todos los casos objeto de una estricta autorización y control por parte de la dirección de cada entidad y a partir de los riesgos que esto pueda introducir se establecerán los requerimientos específicos que correspondan para garantizar la seguridad. ARTÍCULO 24: Los usuarios de las tecnologías de la información están en la obligación de informar de inmediato cualquier incidente de seguridad, debilidad o amenaza a sistemas o servicios y las direcciones correspondientes exigirán su cumplimiento. ARTÍCULO 25: Constituye una violación grave de la seguridad la realización de acciones de comprobación de vulnerabilidades contra sistemas informáticos nacionales o extranjeros. ARTÍCULO 26: Ninguna persona está autorizada a introducir, ejecutar, distribuir o conservar en los medios de cómputo programas que puedan ser utilizados para comprobar, monitorear o transgredir la seguridad, así como información contraria al interés social, la moral y las buenas costumbres, excepto aquellas aplicaciones destinadas a la comprobación del sistema instalado en la organización para uso por especialistas expresamente autorizados por la dirección de la misma. En ningún caso este tipo de programas o información se expondrá mediante las tecnologías para su libre acceso. INICIO o si lo prefiere Haga clic aquí para ir a la Página de Informática
*Sección Tercera* *Seguridad Física y Ambiental* ARTÍCULO 27: La dirección de cada entidad determinará las tecnologías de información que por las funciones a que estén destinadas, la información que contengan y las condiciones de los locales en que se encuentren ubicadas, requieran la aplicación específica de medidas de protección física. ARTÍCULO 28: Las tecnologías de la información se ubicarán en áreas que garanticen la aplicación de medidas alternativas que permitan la creación de una barrera de protección a estos medios e impidan su empleo para cometer acciones malintencionadas o delictivas. ARTÍCULO 29: En los edificios e instalaciones de cada entidad se determinarán áreas o zonas controladas con requerimientos específicos, protegidas por un perímetro de seguridad definido en dependencia de la importancia de los bienes informáticos contenidos en ellas y su utilización, de acuerdo con los criterios y denominaciones siguientes: a) Áreas limitadas, son aquellas donde se concentran bienes informáticos de valor medio cuya afectación puede determinar parcialmente los resultados de la gestión de la entidad o de terceros. b) Áreas restringidas, son aquellas en que se concentran bienes informáticos de alto valor e importancia crítica cuya afectación pueda paralizar o afectar severamente la gestión de ramas o sectores de la economía o de la sociedad; territorios o entidades. c) Áreas estratégicas, son aquellas en que se concentran bienes informáticos de alto valor e importancia crítica que inciden de forma determinante en la seguridad y la defensa nacional; la seguridad aeronáutica; biológica; industrial; la generación y distribución de energía eléctrica; las redes informáticas y de comunicaciones del país; las relaciones exteriores y de colaboración; la economía nacional; las investigaciones científicas y el desarrollo tecnológico; la alimentación de la población; la salud pública y el suministro de agua. ARTÍCULO 30: Las áreas o zonas controladas estarán protegidas con medidas adecuadas para garantizar el acceso exclusivamente al personal autorizado. ARTÍCULO 31: La selección y diseño de las áreas controladas tomará en cuenta la posibilidad de daño por fuego, inundación, explosión, perturbaciones del orden y otras formas de desastre natural o artificial. ARTÍCULO 32: El equipamiento instalado en las áreas controladas estará protegido contra fallas de alimentación y otras anomalías eléctricas, incluyendo el uso de fuentes de alimentación alternativas para los procesos que deban continuar en caso de un fallo de electricidad prolongado y será ubicado y protegido de manera tal que se reduzcan los riesgos de amenazas ambientales y oportunidades de cualquier tipo de acceso no autorizado. ARTÍCULO 33: En las Áreas Limitadas se aplicarán las medidas de protección física siguientes: a) Se ubicarán en locales cuyas puertas y ventanas estén provistas de cierres seguros; b) A los locales que tengan ventanas que se comuniquen con el exterior de la instalación, se le aplicarán medidas que garanticen su seguridad y que eviten la visibilidad hacia el interior del mismo; c) Se prohíbe el acceso de personal no autorizado por la dirección de la entidad. d) Se prohíbe la permanencia del personal fuera del horario laboral sin la debida justificación y autorización por escrito de la dirección de la entidad. Las autorizaciones referidas serán conservadas para su verificación en caso de necesidad. ARTÍCULO 34: En las Áreas Restringidas, además de las medidas requeridas en las Áreas Limitadas, se aplicarán las siguientes: a) Tienen que permanecer cerradas, incluso cuando existan personas laborando en ellas, y el acceso a las mismas debe ser controlado mediante los documentos de registro que para ello se establezcan; b) El personal que acceda a estas áreas deberá cumplir requisitos especiales de idoneidad. c) Los medios informáticos no podrán estar conectados de manera física o lógica a medios que se encuentren fuera del alcance de estas áreas ni a redes públicas de transmisión de datos; d) Se aplicarán sistemas de detección y alarma que permitan una respuesta , efectiva ante accesos no autorizados cuando no se encuentre el personal que labora en las mismas; e) Se implementarán mecanismos y procedimientos de supervisión de la actividad que se realiza en estas áreas; f) Se prohíbe la introducción de soportes ópticos y magnéticos personales, excepto los que hayan sido autorizados de forma expresa por la dirección de la entidad. g) Se prohíbe la introducción de cámaras fotográficas, de grabación de imágenes o cualquier tipo de almacenamiento digital ajeno a la misma. ARTÍCULO 35: En las Áreas Estratégicas, además de las medidas requeridas en las Áreas Restringidas y Limitadas, se aplicarán las siguientes: a) Todo el personal que labora en ellas o que por razones de servicio sea autorizado a permanecer en las mismas, deberá contar con una identificación personal visible que distinga el área. b) Se implementarán medios especiales de supervisión de la actividad que en ellas se realiza; c) El acceso a estas áreas por personas ajenas a la misma solo se realizará de manera excepcional, restringida y bajo supervisión, mediante un permiso especial en cada caso emitido por la dirección de la entidad. ARTÍCULO 36: Todas las tecnologías de información, independientemente de su importancia, se protegerán contra alteraciones o sustracciones, ya sea de éstas o sus componentes, así como de la información que contienen. ARTÍCULO 37: En las redes de las entidades los cables de alimentación o de comunicaciones que transporten datos o apoyen los servicios de información se protegerán contra la intercepción o el daño. Los cables de alimentación deberán estar separados de los cables de comunicaciones para evitar la interferencia. ARTÍCULO 38: Los jefes de entidades garantizarán que el equipamiento reciba el mantenimiento correcto de acuerdo con los intervalos de servicio y especificaciones recomendados por el fabricante para asegurar su disponibilidad e integridad continuas. En caso de necesidad de envío de equipamiento fuera de las instalaciones para que reciban mantenimiento, se realizará en correspondencia con los procedimientos que se establezcan previamente para ello, observando las regulaciones establecidas en el país en materia de protección a la información. ARTÍCULO 39: El uso fuera de las instalaciones de una entidad de cualquier equipo para el procesamiento de información tiene que estar autorizado legalmente por la dirección de la misma mediante el documento correspondiente. La seguridad que se le garantice deberá ser equivalente a la que tiene en las instalaciones habituales el equipamiento usado para el mismo propósito, tomando en cuenta los riesgos de trabajar fuera de la instalación. ARTÍCULO 40: El equipamiento que cause baja o sea destinado para otras funciones será objeto de un procedimiento adecuado para evitar que la información que contiene pueda resultar comprometida. Los dispositivos de almacenamiento que contengan información crítica para la entidad deberán destruirse físicamente o sobrescribirse mediante un proceso completo en lugar de borrarlos como usualmente se hace. ARTÍCULO 41: Se prohíbe el movimiento sin autorización de los equipos, la información o el software y en caso de que se autorice será realizado mediante un documento oficial que demuestre su legalidad y el movimiento deberá registrarse a la salida y a la entrada al reintegrarse el medio a su origen. Se deberán realizar inspecciones sorpresivas para detectar las extracciones no autorizadas. inicio o si lo prefiere Haga clic aquí para ir a la Página de Informática