NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE ...web.compranet.gob.mx:8004/HSM/UNICOM/00641/193/2… · Web viewseguridad informática: es el conjunto de normas, políticas,

NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE SEGURIDAD INFORMATICA EN EL INSTITUTO MEXICANO DEL SEGURO SOCIAL




INDICE

1 OBJETIVO

2 ÁMBITO DE APLICACIÓN

3 SUJETOS DE LA NORMA

4 RESPONSABLES DE LA APLICACIÓN DE LA NORMA

5 DEFINICIONES

6 DOCUMENTOS DE REFERENCIA

7 DISPOSICIONES

7.1 DE CARÁCTER GENERAL

7.2 PARA EL USO DE LA INFRAESTRUCTURA Y SERVICIOS INFORMÁTICOS

7.3 PARA LA INFORMACIÓN QUE SE ALMACENA, PROCESA Y TRANSMITE POR MEDIOS ELECTRÓNICOS

7.4 DE LA ADMINISTRACIÓN DE INFRAESTRUCTURA Y SERVICIOS INFORMÁTICOS

7.5 PARA EL DESARROLLO Y LIBERACIÓN DE SISTEMAS


Con fundamento en lo dispuesto en los artículos 5 y 81D, fracciones I y II, del Reglamento de Organización Interna del Instituto Mexicano del Seguro Social, publicado en el Diario Oficial de la Federación el 11 de noviembre de 1998, reformado según decretos publicados en el Diario Oficial de la Federación el 13 de octubre de 1999, 17 de diciembre de 2001 y 19 de junio de 2003, así como el numeral 7.6.1 de la Norma que Establece las Disposiciones para la Elaboración, Autorización e Implantación de Normas en el Instituto Mexicano del Seguro Social, aprobada mediante Acuerdo 54/2003 por el Consejo Técnico del propio Instituto en sesión celebrada el 19 de febrero de 2003, se expide la siguiente:


1 Objetivo Esta Norma define las disposiciones mínimas a las que deberán ajustarse los usuarios y administradores en el uso, administración, desarrollo y mantenimiento de la Infraestructura y servicios informáticos del Instituto Mexicano del Seguro Social.

2 Ámbito de aplicación La presente norma es de observancia obligatoria para la Secretaría General, Órganos Superiores, Normativos, Colegiados, de Operación Administrativa Desconcentrada y Operativos del Instituto Mexicano del Seguro Social, definidas en el artículo 1 del Reglamento de Organización Interna del Instituto.

3 Sujetos de la norma Los usuarios, administradores y desarrolladores a nivel central y delegacional que hagan uso, administren o desarrollen sistemas, infraestructura o servicios informáticos para el Instituto Mexicano del Seguro Social.

4 Responsables de la aplicación de la norma Las Coordinaciones de la Dirección de Innovación y Desarrollo Tecnológico a nivel central y las Coordinaciones Regionales y Delegacionales de Informática a nivel delegacional del Instituto Mexicano del Seguro Social.

5 Definiciones:Para efectos de la presente norma se entenderá por:

5.1 administrador: son todas aquellas personas responsables de mantener la disponibilidad y la funcionalidad de la infraestructura y servicios Institucionales de acuerdo a las necesidades de operación del Instituto Mexicano del Seguro Social.

5.2 ambiente de trabajo: se refiere al conjunto de herramientas, utilerías, programas, aplicaciones e información que un usuario tiene disponible para el desempeño de sus funciones de manera controlada, en relación con los privilegios de su cuenta.

5.3 amenazas: es una condición causada por una mala configuración o instalaciones realizadas con opciones por omisión, que permite explotar vulnerabilidades de una entidad atentando contra las propiedades de confidencialidad, disponibilidad e integridad de la información.

5.4 análisis de protocolos: software que permite conocer los paquetes que conforman la información durante los procesos de comunicación, procesamiento o manipulación de datos, mediante la separación de estas partes.

5.5 antivirus: software especializado diseñado para detectar, eliminar y prevenir virus informáticos en los dispositivos de la red Institucional.

5.6 aplicaciones institucionales: son todos los sistemas desarrollados por personal interno y externo para automatizar los procesos operativos del Instituto Mexicano del Seguro Social.

5.7 bases de datos: es un conjunto estructurado de datos, gestionado bajo el control de un Manejador de Bases de Datos, el cual se encarga de controlar el acceso concurrente, evitar redundancia, cumplimiento de las restricciones y reglas de integridad, usar elementos que aceleren el acceso físico a los datos (índices, agrupamientos, funciones de dispersión, ...), distribuir los bloques del disco del modo más adecuado para el crecimiento y uso de los datos, controlar el acceso y los privilegios de los usuarios, recuperar ante fallos, entre otros.


5.8 biblioteca de programas: es una colección o conjunto de archivos que contienen código, desarrollados por un mismo fabricante bajo ciertos criterios, mismo que suelen ser compatibles e interoperables entre sí.

5.9 cadenas: son mensajes enviados a través del servicio de correo electrónico que se caracterizan por solicitar dentro del cuerpo del mismo ser enviados a cierta cantidad de personas, con el fin de obtener algo a cambio.

5.10 cifrar: es el proceso de transformar un mensaje para ocultar su contenido, de tal manera que el receptor sea la única persona que pueda recuperar el mensaje original.

5.11 configuración de red: son los valores asignados y las opciones habilitadas para la operación de la tarjeta de red de un equipo de cómputo dentro de la red del Instituto Mexicano del Seguro Social.

5.12 contraseña de encendido: es la contraseña asignada por el usuario, necesaria para que un equipo de cómputo inicie el proceso normal de encendido, y por lo tanto, la inicialización del Sistema Operativo.

5.13 correo electrónico: son el grupo de tecnologías encaminadas a dar un servicio que agiliza y facilita el intercambio de mensajes, documentos e información.

5.14 cuenta: es el identificador único y personal que está asociado a un usuario, mismo que en conjunto con una contraseña permite el acceso a recursos o servicios institucionales.

5.15 contraseña: son una serie de caracteres que en conjunto con una cuenta (nombre de usuario) permiten el acceso a los recursos o servicios institucionales, misma que debe ser difícil de generar por todas las personas a excepción del dueño de la cuenta.

5.16 confidencialidad: es uno de los servicios de seguridad en la información, el cual está encaminado a revelar el nivel y el tipo de información únicamente a las entidades autorizadas para acceder a la misma.

5.17 cintas: es un dispositivo de almacenamiento basado en una bobina magnética que requiere de un lector/reproductor especial.

5.18 cartucho: sistema de almacenamiento que incluye una cinta magnética sin fin, lo que le permite mayor velocidad que las cintas magnéticas tradicionales y la posibilidad de ser manejado por un sistema automatizado que no requiera la intervención de un operador.

5.19 CD: es un dispositivo de almacenamiento óptico que requiere de un dispositivo de grabado, el cual utiliza un láser para imprimir puntos sobre la superficie brillante, mismas que al ser leídas con un láser de menor intensidad, son transformadas en cadenas de bits.

5.20 compilador: es un programa que genera lenguaje máquina a partir de un lenguaje de programación.

5.21 desarrollador: es aquella persona que tienen acceso a la infraestructura o servicios informáticos institucionales de manera autorizada, misma que cuenta con los conocimientos necesarios para diseñar, construir y probar aplicaciones para automatizar la operación Institucional.

5.22 dial-up: acceso remoto comúnmente usado para Internet utilizando un MODEM y una línea telefónica.

5.23 diskette: dispositivo de almacenamiento basado en un disco magnético de pequeñas dimensiones y baja capacidad. Los disquetes se introducen en un drive para su lectura y grabación mediante el uso de una o varias cabezas lectoras-grabadoras magnéticas.

5.24 disponibilidad: es uno de los servicios de seguridad en la información, encaminado a mantener los servicios habilitados y listos para su uso en el momento en que sean requeridos por los usuarios.

5.25 extensión: es el sufijo, o nombre adicional que se le da a un archivo tal como “.XXX”, el cual caracteriza el formato por el que se genera, donde “.XXX” representa un numero limitado de caracteres alfanuméricos dependiendo del sistema operativo, normalmente tiene tres caracteres pero esto es susceptible de variación.


5.26 firmware: parte del software de una computadora que no puede modificarse por encontrarse en la ROM o memoria de sólo lectura, «Read Only Memory», es una mezcla o híbrido entre el hardware y el software, es decir tiene parte física y una parte de programación consistente en programas internos implementados en memorias no volátiles.

5.27 firewall: es el dispositivo físico que permite crear una barrera entre la red interna y red externa, permitiendo el acceso entre las redes de acuerdo a las políticas de seguridad definidas en su configuración.

5.28 generador de contraseñas: es un dispositivo físico que permite fabricar códigos (contraseñas) de referencia secretos en función de parámetros o características deseables en periodos de tiempo definidos.

5.29 hardware: son los componentes físicos que conforman un equipo de cómputo.

5.30 infraestructura: son todos los componentes que soportan los servicios informáticos institucionales.

5.31 Instituto: Instituto Mexicano del Seguro Social

5.32 internet: conjunto de redes de computadoras y equipos físicamente unidos a través de medios alámbricos o inalámbricos que unen redes o equipos en todo el mundo.

5.33 integridad: es uno de los servicios de seguridad que establece, que la información durante su procesamiento, manipulación o transmisión, no sea modificada en contenido, de manera que conserve su originalidad.

5.34 lista de control de acceso: es una lista donde se asignan permisos de acceso a los archivos y directorios por usuario.

5.35 mesa de ayuda: es el único punto de contacto encargado de recibir todas aquellas incidencias de usuarios relacionados con problemas recurrentes, el objetivo de esta mesa de ayuda es darle lo más pronto posible solución a los usuarios, mediante la escalación del problema a el área correspondiente.

5.36 mensajería instantánea: son aplicaciones o software que permite comunicarse, o enviar mensajes al instante, así como, intercambio de archivos.

5.37 macros: son todos aquellos programas que se ejecutan dentro de otros programas como word o excel para automatizar tareas, su uso elimina la realización de tareas repetitivas, automatizándolas, básicamente, se trata de un grupo de comandos de una aplicación, organizados según un determinado juego de instrucciones y cuya ejecución puede ser solicitada una sola vez para realizar la función que se desea.

5.38 periféricos: son todos los dispositivos que están conectados físicamente a la computadora.

5.39 protector de pantalla: se trata de un programa que se ejecuta automáticamente después de que el ratón y el teclado han estado inactivos por un periodo de tiempo determinado. Las razones principales de la existencia de tales programas son: - Para evitar que el recubrimiento fosforescente del monitor se marque como consecuencia de dejar una imagen estática por un tiempo prolongado. - Para proteger información sensible desplegada en la pantalla del monitor en ausencia del operador de la computadora

5.40 rebobinamiento: se refiere a la acción de regresar una cinta magnética, a un punto físico previo a aquel en el que se ubicaba en el momento de iniciar el procedimiento, pudiendo ser hasta el inicio de la misma.

5.41 seguridad informática: es el conjunto de normas, políticas, procedimientos, estándares mínimos que deben ser considerados en el desarrollo, implementación y operación de los sistemas y servicios informáticos, con la finalidad de garantizar la integridad, confidencialidad, autenticación y disponibilidad de la información institucional.

5.42 servicios: son todas las aplicaciones que están soportadas en la infraestructura institucional y que agilizan y automatizan las actividades diarias de los usuarios.

5.43 software: son todas aquellas aplicaciones o programas instalados en una PC.


5.44 soporte técnico local: se refiere a la ayuda técnica que pueden tener los usuarios dentro de su área de trabajo en relación con la distribución geográfica, central, Delegacional o Subdelegacional.

5.45 sistema operativo: es el software encargado de ejercer el control y coordinar el uso del hardware entre diferentes programas de aplicación y los diferentes usuarios. Es un administrador de los recursos de hardware del sistema.

5.46 software de escaneo: es la aplicación que permite conocer los puertos o servicios disponibles en los dispositivos de la red.

5.47 tarjeta inteligente: módulo de memoria del tamaño de una tarjeta de crédito en el cual es posible almacenar información para autenticación de usuarios.

5.48 usuarios: son todas aquellas personas que tienen acceso a la infraestructura o servicios Institucionales de manera autorizada.

5.49 usuario interno: es todo usuario que se encuentra adscrito al Instituto Mexicano del Seguro Social.

5.50 usuario externo: es todo usuario que no se encuentra adscrito al Instituto Mexicano del Seguro Social.

5.51 virus informático: es un programa informático que se ejecuta en la computadora sin previo aviso y que puede corromper el resto de los programas, directorios de datos e, incluso el mismo sistema operativo.

5.52 web: es la información contenida en páginas y portales de Internet

5.53 WAN: red de cómputo que se encuentra distribuida en un área geográfica determinada como una ciudad o un estado, su finalidad está encaminada a enlazar los diferentes edificios de una organización.

6. Documentos de referencia

6.1 Constitución Política de los Estados Unidos Mexicanos, vigente aplicable.

6.2 Ley Federal de Procedimiento Administrativo, vigente aplicable.

6.3 Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, vigente aplicable.

6.4 Ley del Seguro Social, vigente aplicable

6.5 Ley Federal de Derechos de Autor, vigente aplicable

6.6 Ley Federal de Responsabilidades Administrativas de los Servidores Públicos, vigente aplicable.

6.7 Ley de Planeación, vigente aplicable

6.8 Nuevo Código Penal para el Distrito Federal en materia de Fuero Común y para toda la República en materia de Fuero Federal, vigente aplicable.

6.9 Código Federal de Procedimientos Penales, vigente aplicable.

6.10 Código Penal Federal, vigente aplicable.

6.11 Código de Procedimientos Penales para el Distrito Federal, vigente aplicable.

6.12 Código Civil Federal, vigente aplicable.

6.13 Código Federal de Procedimientos Civiles, vigente aplicable.

6.14 Reglamento de Organización Interna del IMSS, vigente aplicable.


6.15 Código de Comercio, vigente aplicable.

6.16 Lineamientos Generales para la clasificación y desclasificación de la información de las dependencias y entidades de la Administración Publica Federal, vigentes aplicables.

7 Disposiciones

7.1 De carácter general

7.1.1 Las disposiciones contenidas en la presente norma son de observancia general y obligatoria para todo el personal del Instituto Mexicano del Seguro Social (IMSS), así como personal externo que preste sus servicios en la Institución de manera permanente o temporal a través del personal institucional que utilicen, administren o desarrollen la infraestructura y servicios informáticos, asimismo, el personal Institucional vigilará que

7.1.2 La autorización, difusión e implantación del presente documento será responsabilidad de la Dirección de Innovación y Desarrollo Tecnológico a través de sus Coordinaciones y sus respectivas Divisiones, mediante diferentes medios incluyendo los electrónicos.

7.1.3 La División de Coordinaciones Delegaciones de Informática será la encargada de la difusión y la vigilancia del cumplimiento de las disposiciones presente norma en el ámbito Delegacional.

7.1.4 El Instituto Mexicano del Seguro Social a través de las Direcciones Normativas, Coordinaciones Generales y Unidades es el propietario de la información que se almacena, procesa y transmite dentro del Instituto.

7.1.5 Todas los Órganos Superiores, Normativos, Colegiados, de Operación Administrativa Desconcentrada, Operativos y la Secretaría General del Instituto Mexicano del Seguro Social, definidas en el artículo 1 del Reglamento de Organización Interna del Instituto, deberán nombrar un representante de seguridad ante la Dirección de Innovación y Desarrollo Tecnológico, con la finalidad de tener un punto de contacto para una oportuna distribución de actualizaciones de seguridad en la infraestructura o reacción ante eventos de seguridad.

7.1.6 El representante de seguridad designado por cada una de las coordinaciones de nivel central, y las jefaturas de oficina a nivel delegacional del Instituto Mexicano del Seguro Social, tendrá la función de verificar que cada uno de los integrantes de su área de trabajo instalen las actualizaciones de seguridad, así como la ejecución de las actividades notificadas, en caso de un evento de seguridad.

7.1.7 Los intentos (exitosos o fallidos) para ganar acceso no autorizado a los sistemas e infraestructura, servicios o datos del Instituto Mexicano del Seguro Social, revelación no autorizada de su información, interrupción o denegación no autorizada de sus servicios, el uso no autorizado de los sistemas e infraestructura para procesar, almacenar o transmitir datos, cambios a las características de sus sistemas de hardware, firmware o software sin conocimiento y respectiva autorización por parte de los administradores del mismo o cualquier otra actividad que afecte a los intereses del Instituto, será sancionada con la aplicación de la reglamentación vigente dentro del Instituto Mexicano del Seguro Social y la legislación vigente aplicable, como lo es la Ley Federal de Responsabilidades de los Servidores Públicos; sin que ello implique limitación alguna de la aplicación de cualquier ordenamiento que sancione tales conductas y conllevará a la aplicación de las sanciones disciplinarías respectivas, además de las consecuencias de índole legal aplicables.

7.1.8 Las violaciones a estas disposiciones podrán ser causa de la revocación de los privilegios de uso del acceso a los servicios e infraestructura de cómputo del Instituto Mexicano del Seguro Social, según lo determine la Dirección de Innovación y Desarrollo Tecnológico y de las acciones disciplinarias que establezcan los órganos responsables. El uso inapropiado del servicio conllevará a la aplicación de las sanciones disciplinarias respectivas, además de las consecuencias de índole legal aplicables.

7.1.9 La División de Seguridad Informática en conjunto con las Divisiones dependientes de las Coordinaciones de la Dirección de Innovación y Desarrollo Tecnológico deberán revisar por lo menos cada 2 años las disposiciones descritas en la presente norma en el ámbito de su competencia o en cualquier momento que requiera un ajuste


por avances en la tecnología o cambios en las necesidades de operación del Instituto Mexicano del Seguro Social, según lo determine la Dirección de Innovación y Desarrollo Tecnológico.

7.2 Para el uso de la infraestructura y servicios informáticos

7.2.1 Uso y cuidado de la infraestructura informática institucional

7.2.1.1 Los usuarios deben utilizar los equipos de cómputo, periféricos y el software que tengan instalado, sólo para el desarrollo de las actividades institucionales que le fueron conferidas, relacionadas con el desempeño de su empleo, cargo o comisión, de acuerdo a ésta norma.

7.2.1.2 Los usuarios no deben fumar, tomar bebidas o ingerir alimentos en las áreas donde se encuentren instalados los equipos de cómputo y/o periféricos de acuerdo a la norma de seguridad e higiene en el trabajo.

7.2.1.3 Los usuarios no deben causar daños o destrucción a los equipos de cómputo y/o sus periféricos, aquellos que sean sorprendidos en un hecho de éste tipo serán sancionados conforme a la legislación vigente aplicable.

7.2.1.4 Los usuarios deben apagar los equipos de cómputo y/o periféricos, cuando éstos no se encuentren en operación, excepto aquellos de los cuales se justifique su operación continua.

7.2.1.5 Los usuarios no deben alterar o dañar los identificadores de los equipos de cómputo y/o sus periféricos. Por lo tanto es su responsabilidad preservar su buen estado.

7.2.1.6 Los usuarios deben verificar que su equipo de cómputo se encuentra instalado al menos con las siguientes condiciones: - Estar conectado a la corriente regulada, cuando se cuente con este servicio. - Estar soportado en una superficie sólida y firme. - Los cables de energía o datos no estén siendo presionados por objetos pesados.

7.2.1.7 Los usuarios deben utilizar la infraestructura de comunicaciones asociada a su equipo de cómputo, para acceder solamente a equipos locales o remotos a los que tenga autorización explícita.

7.2.1.8 Los usuarios que realicen actividades de robo de información, violación de la seguridad, análisis de protocolos o generación de ataques a la infraestructura informática y servicios informáticos con los que cuenta el Instituto Mexicano del Seguro Social, serán sancionados por la reglamentación vigente aplicable. Asimismo, los usuarios que presencien o sospechen de este tipo de hechos deberán notificarlo a la Mesa de Ayuda.

7.2.1.9 Los usuarios no deben alterar la configuración de red que les fue asignada al momento de la instalación de su equipo.

7.2.1.10 Los usuarios deben verificar que su equipo de cómputo tenga configurada la contraseña de encendido.

7.2.1.11 Los usuarios deben verificar que su equipo de cómputo tenga configurado el protector de pantalla con contraseña, con la finalidad de evitar el acceso no autorizado a su información en caso de retiro temporal.

7.2.1.12 Los usuarios deben asegurase de utilizar y mantener cerradas las chapas de seguridad de los equipos de cómputo que cuenten con las mismas.

7.2.1.13 Los usuarios deben asignar contraseñas personalizadas estableciendo los permisos de lectura o escritura, o utilizar la lista de control de acceso personalizado cuando requieran compartir archivos a través de la red con otros usuarios del Instituto Mexicano del Seguro Social.

7.2.1.14 Los usuarios de forma periódica (semestral, mensual, quincenal) deben realizar copias de seguridad de la información crítica que almacenen en su equipo.

7.2.1.15 El extravío o robo de equipo de cómputo y/o periféricos deben ser reportados de forma inmediata al área administrativa correspondiente, para que se realicen las gestiones pertinentes.


7.2.1.16 Los usuarios que requieran conectarse a la red Institucional utilizando equipo de cómputo de escritorio o portátil propio o Institucional, deberán asegurarse de que éste se encuentre libre de virus informáticos y con la totalidad y más recientes actualizaciones recomendados por el fabricante, antes de integrarse a la red del Instituto Mexicano del Seguro Social.

7.2.1.17 Los usuarios que acceden a la red a través de medios inalámbricos deberán asegurarse de que la comunicación establecida esté cifrada de acuerdo a los estándares de seguridad definidos por el Instituto Mexicano del Seguro Social.

7.2.2 Solicitud y uso de servicios informáticos institucionales

7.2.2.1 Los usuarios deben acudir a la Mesa de Ayuda o al personal de soporte técnico local cuando: - Se presenten problemas en los equipos de cómputo y/o periféricos asignados, software instalado o en los servicios que le son proporcionados. - Requieran capacitación o tengan inquietudes sobre el correcto uso de los recursos y/o servicios autorizados. - Requieran capacitación o apoyo en la implementación de las disposiciones para el aseguramiento de su entorno de trabajo. - Sospechen que su equipo se encuentra infectado por algún virus informático.

- Requieran la instalación de un nuevo software o hardware.- Requieran trasladar o dar de baja un equipo de cómputo y/o sus periféricos.- Requieran del alta, baja y/o cambio de cuentas de usuario para acceso a la red, sistemas operativos, bases de datos o aplicaciones institucionales.- Requieran del acceso al servicio de Internet a través de un enlace dial-up.- O cualquier otra causa que a juicio de éste, amerite el acudir a la mesa de ayuda.

7.2.2.2 Los servicios de correo electrónico y mensajería instantánea sólo debe ser utilizado para los propósitos de comunicación de asuntos relativos al Instituto Mexicano del Seguro Social.

7.2.2.3 Los usuarios no deben utilizar el servicio de correo electrónico o mensajería instantánea para: - Enviar todo tipo de cadenas o archivos cuyo contenido pueda considerarse ofensivo, discriminatorio o difamatorio, así como archivos personales de gran tamaño que congestionen la red Institucional. - Enviar mensajes en forma anónima o ficticia.

7.2.2.4 Los usuarios deben tener las siguientes precauciones al enviar archivos adjuntos a través del servicio de correo electrónico o mensajería instantánea: - Evitar el envío de archivos que excedan en su tamaño a los 2 megabytes. - Evitar el envío de archivos que contengan las extensiones “.exe”, “.bat”, “.vbs”, “.pif”, “.reg”, “.scr” y “.com”. - Evitar el envío de archivos que en su nombre contengan mas de un punto “.”.

7.2.2.5 Todos los mensajes distribuidos a través de la infraestructura de correo del Instituto Mexicano del Seguro Social, aún los mensajes personales, son propiedad de Instituto, quien podrá llevar a cabo el monitoreo de los servicios de correo electrónico o mensajería instantánea, archivos anexos y cualquier otra información electrónica transmitida a través de sus equipos de cómputo.

7.2.2.6 El correo electrónico de dudosa procedencia debe ser manejado por los usuarios con precaución, es necesaria su eliminación sin ser leído y no debe ser respondido.

7.2.2.7 No se deberá usar la infraestructura de correo electrónico o mensajería instantánea para enviar información cuyo contenido difiera con las funciones asignadas al usuario, enviar o reenviar mensajes de contenido difamatorio, ofensivo, racista u obsceno, incluyendo, pero no limitándose a contenidos ofensivos sobre origen étnico, género, edad, orientación sexual, pornografía, creencias políticas o religiosas o discapacidades o potencialmente ilegal.

7.2.2.8 No se deberá usar la infraestructura de correo electrónico o mensajería instantánea para cualquier práctica tendiente a utilizar, distribuir y/o duplicar información o programas que no sean consistentes con las licencias de uso correspondiente o no esté expresamente aprobada por su autor.

7.2.2.9 La información clasificada como de uso interno o pública puede enviarse a través del servicio de correo electrónico. La información Confidencial o Reservada debe cifrarse para su envío.


7.2.2.10 El servicio Web sólo debe ser usado con el propósito de comunicación o consulta de asuntos relativos al Instituto Mexicano del Seguro Social.

7.2.2.11 Los usuarios del servicio Web deben adoptar absoluta seriedad en el manejo de información Confidencial o Reservada, por lo que no deberán publicar o distribuir algún tipo de software con licencia o cualquier tipo de información clasificada como Confidencial o Reservados propiedad del Instituto Mexicano del Seguro Social.

7.2.2.12 El servicio Web debe ser usado sin interferir con el rendimiento laboral del personal y sin degradar el rendimiento o desempeño de los recursos de acceso al servicio.

7.2.2.13 El usuario debe dar cumplimiento a todas las recomendaciones que le sean proporcionadas por el Instituto Mexicano del Seguro Social a través de la Dirección de Innovación y Desarrollo Tecnológico para elevar el nivel de seguridad en el uso del servicio Web.

7.2.3 Uso de cuentas y contraseñas

7.2.3.1 Las cuentas y contraseñas asignadas son personales e intransferibles, las consecuencias jurídicas y/o administrativas de los actos ejecutados con la misma son responsabilidad exclusiva del usuario dueño de la cuenta.

7.2.3.2 Los usuarios deben cambiar su contraseña por una nueva en el primer acceso después de ser otorgada.

7.2.3.3 Los usuarios deben generar su contraseña de acuerdo al siguiente estándar, seleccionar dos palabras, unirlas y aplicar cualquiera de las siguientes operaciones para generarla:

- Seleccionar únicamente las consonantes- Seleccionar únicamente las vocales- Seleccionar caracteres intercalados (uno sí otro no)

NOTA: A la contraseña obtenida, agregar al menos dos números, hasta obtener una combinación de letras y números de longitud mínima de 6 y máxima de 8 caracteres.

7.2.3.4 Los usuarios deben evitar la repetición de contraseñas al efectuar los cambios periódicos de las mismas.

7.2.3.5 Los usuarios deben cambiar su contraseña en caso de sospechar que alguien más la conoce.

7.2.3.6 Los usuarios deben evitar exponer o difundir su contraseña independientemente del medio en el cual sea almacenada.

7.2.3.7 En caso de utilizar hardware de seguridad, tales como generadores de contraseñas o tarjeta inteligente, los usuarios deben traerlos siempre consigo.

7.2.4 Uso de software y antivirus

7.2.4.1 Los usuarios deben utilizar únicamente el software para el cual tengan autorización del Instituto Mexicano del Seguro Social y le sea asignado para el desarrollo de sus funciones.

7.2.4.2 Los usuarios no deben prestar el software propiedad del Instituto Mexicano del Seguro Social para que éste sea copiado, o copiar software que sea pedido en calidad de préstamo.

7.2.4.3 Los usuarios deben utilizar el software con conciencia y conocimiento de lo establecido en la Ley Federal de Derechos de Autor.

7.2.4.4 Los usuarios deben verificar que su equipo de cómputo tenga instalado el antivirus institucional, mismo que debe estar habilitado permanentemente, en caso contrario lo deberán notificar a la Mesa de Ayuda.


7.2.4.5 Los usuarios deben verificar que los archivos obtenidos de manera externa a través de cualquier medio, así fuera de una fuente confiable, estén libres de virus informáticos antes de ser almacenados o procesados en su equipo de cómputo.

7.2.4.6 Los usuarios deben informar a la brevedad al área emisora, a la Mesa de Ayuda o al personal de soporte técnico local para que se tomen las medidas pertinentes, en los casos en los cuales se determine que un archivo recibido se encuentre infectado por virus informáticos.

7.2.4.7 Los usuarios no deben abrir archivos que contengan macros, doble extensión o extensiones poco convencionales, aún cuando sean de fuentes confiables, con excepción de aquellos archivos con macroinstrucciones que hayan sido desarrollados por los administradores, usuarios o desarrolladores, para la adecuada ejecución de sus funciones.

7.2.4.8 Los usuarios deben informar vía telefónica a la Mesa de Ayuda, en caso de notar que se están recibiendo archivos no convencionales o de fuentes desconocidas para determinar si se trata de un virus informático.

7.3 Para la información que se almacena, procesa y transmite por medios electrónicos.

7.3.1 Clasificación de la información que se almacena, procesa y transmite por medios electrónicos.7.3.1.1 La información que se genera almacena, procesa y transmite por medios electrónicos será administrada en

función de la clasificación otorgada por el área responsable de la misma.

7.3.1.2 Las figuras que intervendrán en la generación, almacenamiento, manejo y procesamiento de la información en el IMSS son: responsables, depositarios y usuarios finales.

- Los responsables de la información, son todas las áreas usuarias operativas de los sistemas del Instituto Mexicano del Seguro Social las cuales son dueñas de la información, mismas que responden por la integridad de la información capturada y procesada en la infraestructura de cómputo propiedad del Instituto.

- Los depositarios de la información, son todas las áreas técnicas de administración y soporte de la tecnología y servicios informáticos del Instituto Mexicano del Seguro Social y son las encargadas de mantener la integridad, disponibilidad y confidencialidad de la información que se almacena en la infraestructura de cómputo propiedad del instituto.

- Los usuarios finales son todos aquellos que se encargan de la captura y explotación de la información, sin que sean dueños de la misma.

7.3.1.3 Las actividades de los usuarios finales están limitadas de acuerdo al perfil y el nivel de consulta que le sea autorizada por el responsable. - El perfil es la serie de actividades que un tipo de usuario final podrá realizar dentro de un sistema de información. - El nivel de consulta es la cantidad y el tipo de información a la cual el usuario final tendrá acceso.

7.3.1.4 Los responsables de la información deben determinar los perfiles y los niveles de consulta sobre la información que serán asignados a los usuarios finales.

7.3.1.5 Los depositarios son los encargados de implementar los mecanismos de seguridad necesarios para implementar la asignación de los roles y el nivel de consulta a los usuarios finales, determinados por los responsables de la información.

7.3.1.6 La definición de los mecanismos de seguridad a implementar para mantener la integridad, disponibilidad y confidencialidad de la información estará a cargo de los depositarios en conjunto con la División de Seguridad Informática.

7.3.1.7 La División de Seguridad conjuntamente con las Coordinaciones de la Dirección de Innovación y Desarrollo Tecnológico, revisarán periódicamente los mecanismos de seguridad implementados, para garantizar la integridad, disponibilidad y confidencialidad de la información Institucional.


7.3.1.8 Cada área responsable deberá definir en qué clasificación se encuadra su información de acuerdo a la normatividad vigente aplicable.

7.3.1.9 Cada área responsable deberá reevaluar la clasificación de su información periódicamente a la luz de las directrices institucionales de acuerdo a la normatividad vigente aplicable.

7.3.2 Administración y uso de la información que se almacena, procesa y transmite por medios electrónicos.

7.3.2.1 El nivel de clasificación de los documentos impresos que contengan información clasificada (confidencial o reservada), tiene que estar marcado de acuerdo a la normatividad vigente aplicable.

7.3.2.2 Cada Medio de Almacenamiento desmontable (cintas, cartuchos, diskette o CD), que contenga información clasificada como Confidencial, Reservada o Pública, tiene que ser etiquetado de acuerdo a la normatividad vigente aplicable.

7.3.2.3 Todos los administradores de tecnología informática deben: - Implantar los mecanismos de control para el acceso a los datos en función del nivel de exposición y revelación de los mismos, de acuerdo al grado de criticidad. - Verificar la integridad de los sistemas en producción. - Cumplir con todas las políticas, normas, procedimientos y estándares de seguridad aplicables.

7.3.2.4 Las áreas responsables de la Información pueden asignar o cambiar el nivel de clasificación, previo a la asignación de una fecha de efectividad y difundirlo a los usuarios finales involucrados.

7.3.2.5 Los responsables o poseedores de manuales, procedimientos, guías e instructivos de operación de los equipos de cómputo, telecomunicaciones y sistemas, controlarán el acceso y uso de los mismos, bajo su estricta responsabilidad.

7.3.2.6 En conjunto con las áreas responsables de la información y las áreas depositarias, la División de Seguridad determinará el algoritmo de cifrado y el tamaño de llaves que se implementará en cada uno de los sistemas de información que operen en el Instituto Mexicano del Seguro Social.

7.3.2.7 Las áreas depositarias deberán utilizar los siguientes códigos de color para identificar los medios de almacenamiento de información, de acuerdo con su clasificación:

Clasificación ColorConfidencial AmarillaReservada Rojo

7.3.2.8 Los datos clasificados como Confidenciales o Reservados deberán tener fechas programadas de eliminación y deberá destruirse la identificación del medio y cualquier marca de uso, esto en estricto apego a la normatividad vigente aplicable.

7.3.2.9 Los medios de almacenamiento que hayan contenido información con clasificación Confidencial o Reservada que vayan a salir de uso, deberán ser borrados mediante un medio que garantice la eliminación física de la información. Si van a ser reutilizados o entregados a un tercero (reparación, préstamo) deberán ser borrados con anterioridad, esto en estricto apego a la normatividad vigente aplicable.

7.3.2.10 La información Confidencial o Reservada no necesaria deberá ser destruida (los listados deberán ser triturados y los desechos empacados antes de deshacerse de ellos), esto en estricto apego a la normatividad vigente aplicable.

7.4 De la administración de infraestructura y servicios informáticos

7.4.1 Plan de contingencias


7.4.1.1 El Instituto Mexicano del Seguro Social a través de la Dirección de Innovación y Desarrollo Tecnológico debe contar con un Plan de Contingencias Institucional que describa las actividades a desarrollar para la oportuna prevención, disuasión y detección de amenazas y garantizar el restablecimiento y restauración de la operación en caso de desastres.

7.4.1.2 Todas las Coordinaciones dependientes de la Dirección de Innovación y Desarrollo Tecnológico deben conocer el Plan de Contingencias Institucional, las actividades a desarrollar en caso de presentarse alguna eventualidad, además de contar con una copia y apoyar en el desarrollo y mantenimiento del mismo.

7.4.1.3 El Plan de Contingencias definido debe estar actualizado y autorizado por la Dirección de Innovación y Desarrollo Tecnológico y debe existir una copia fuera de las instalaciones.

7.4.1.4 El Plan de Contingencias Institucional debe ser probado y verificado periódicamente por la Dirección de Innovación y Desarrollo Tecnológico, las diferencias determinadas resultado de las pruebas deben ser reflejadas en dicho Plan.

7.4.1.5 Los cambios en la operación institucional deben reflejarse inmediatamente en los procedimientos descritos en el Plan de Contingencias Institucional.

7.4.1.6 Todo el personal involucrado en el Plan de Contingencias Institucional deberá ser entrenado adecuadamente con el fin de minimizar las consecuencias que traen los accidentes generados por descuido o desconocimiento.

7.4.1.7 La Coordinaciones de la Dirección de Innovación y Desarrollo Tecnológico deberán contemplar en el presupuesto anual los recursos necesarios para atender las actividades asociadas con los planes de contingencias.

7.4.1.8 El Plan de Contingencias Institucional debe estar desarrollado de acuerdo a la guía para el desarrollo y mantenimiento de Planes de Contingencia para Sistemas de Información.

7.4.2 Respaldos

7.4.2.1 Los respaldos deben garantizar la integridad de la información (programas, datos, documentos, etc.). En los sistemas que lo permitan se deberá dejar registro electrónico del proceso realizado.

7.4.2.2 Los administradores deben mantener los controles necesarios para conocer el estado de cada copia de respaldo y su ubicación.

7.4.2.3 Los administradores deben realizar un respaldo total del sistema, antes de efectuar cualquier actualización del mismo.

7.4.2.4 Los administradores deben implantar procedimientos para preparar, almacenar y probar periódicamente la integridad de las copias de seguridad y de toda la información necesaria para restaurar el sistema a una operación normal.

7.4.2.5 Los administradores deben mantener una copia de los sistemas (aplicativo, parámetros de configuración, versiones de software, etc.) anterior a la versión actual.

7.4.2.6 Los administradores deben determinar el tipo de respaldo a realizar tomando en cuenta, el tipo de información y las necesidades de operación.

7.4.2.7 Los administradores deben determinar un calendario de respaldos para establecer la periodicidad de los mismos.

7.4.2.8 Los administradores deben identificar los medios de almacenamiento de los respaldos indicando, número de serie del respaldo, dueño de la información, sistema al que corresponde, cantidad de registros obtenidos, fecha, hora, tipo de respaldo, y responsable de la ejecución del respaldo.

7.4.2.9 Los administradores deben generar dos copias de los respaldos y almacenarlos en inmuebles diferentes.


7.4.2.10 Las solicitudes de restauración deben ser por escrito y contener al menos: autorización del dueño de la información, nombre del sistema del cual se desea recuperar la información, ruta de recuperación y sección que desea recuperar.

7.4.2.11 Los administradores deben registrar en una bitácora las recuperaciones realizadas, indicando al menos, número de solicitud de la restauración, dueño de la información, nombre del sistema, sección solicitada, número de serie del respaldo utilizado.

7.4.2.12 Los administradores deben realizar pruebas periódicas para verificar que los medios de almacenamiento no han sido deteriorados, como son lecturas, rebobinamiento y copia a otro medio, cada dos años, de cintas que tienen un ciclo muy largo de retención, verificando la siguiente información:

-El sistema operativo junto con las tablas relacionadas (datos de configuración).

-Software de red.

-Compiladores.

-Software de aplicación.

-Archivos de seguridad.

-Bibliotecas de programas.

-Archivos de datos.

7.4.2.13 Las áreas depositarias en conjunto con los responsables de la información deben determinar la permanencia y la vigencia de la información respaldada de acuerdo a las necesidades legales, contractuales y operacionales del Instituto Mexicano del Seguro Social.

7.4.2.14 Las áreas depositarias en conjunto con las responsables de la información deben definir el procedimiento de eliminación de respaldos, específico por sistema o por tipo de información de acuerdo a las necesidades legales, contractuales y operacionales del Instituto Mexicano del Seguro Social.

7.4.3 Seguridad física

7.4.3.1 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deberán restringir y controlar el acceso a los componentes de cada uno de los elementos de la infraestructura informática de la Institución.

7.4.3.2 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deberán proteger los respaldos y datos institucionales del acceso de personal no autorizado para tal fin.

7.4.3.3 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deberán llevar un registro del personal que accede a las áreas restringidas incluyendo el motivo de la visita.

7.4.3.4 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deberán mantener actualizadas las listas de autorización de acceso a personal contratado de proveedores de servicio de terceros.

7.4.3.5 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deberán implementar y dar el seguimiento pertinente al programa de mantenimiento a infraestructura informática.

7.4.3.6 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deberán instalar la infraestructura informática en ambientes adecuados para su operación, administración, monitoreo y control de acceso, para minimizar las amenazas a las que se encuentren expuestos.


7.4.3.7 Los administradores de la infraestructura informática del Instituto Mexicano del Seguro Social deberán evaluar y aprobar las instalaciones eléctricas, comunicaciones, sistemas contra incendios y de aire acondicionado y demás recursos, que garanticen las condiciones adecuadas para la operación óptima de la infraestructura tecnológica del Instituto.

7.4.4 Administración de la infraestructura informática

7.4.4.1 Los administradores de infraestructura informática deben limitar el acceso a los sistemas operativos, sistemas institucionales y/o bases de datos, mediante la identificación del usuario, a través de su cuenta y contraseña, así como, la asignación de un perfil y nivel específico.

7.4.4.2 Los administradores de infraestructura informática deben cifrar programas fuentes y archivos de contraseñas y opcionalmente las bases de datos y canal de comunicaciones, si la información que se almacene o viaje corresponde al nivel de clasificación Confidencial o Reservada.

7.4.4.3 Los administradores de infraestructura informática deben identificar todos los reportes y respaldos que contienen datos Confidenciales o Reservados y limitar el acceso a los mismos.

7.4.4.4 Los administradores de infraestructura informática deben prohibir la utilización de datos Confidenciales o Reservados para realizar pruebas en los sistemas.

7.4.4.5 Los administradores de infraestructura informática deben destruir datos Confidenciales o Reservados que se consideren no vigentes en estricto apego a la normatividad vigente aplicable.

7.4.4.6 El registro de usuarios y la administración de la seguridad de los sistemas de información que son accedidos en forma local y/o a través de la red de comunicaciones, se realizará únicamente por los responsables de la seguridad de cada sistema o plataforma, de conformidad con los procedimientos establecidos.

7.4.4.7 El registro de las cuentas de usuario para autenticar el acceso a equipos de cómputo y sistemas institucionales, de las diferentes plataformas de cómputo instaladas, deberá ser solicitado con apego a los procedimientos establecidos para ello.

7.4.4.8 Las cuentas con privilegios especiales sobre el sistema (por ejemplo: root en Unix, Administrator en Windows NT) serán de uso restringido, sólo para casos de emergencia y para actividades relacionadas con seguridad (administración de normas de seguridad, definición de relaciones de confianza, administración de registros de auditoria y de seguridad, administración de cuentas y grupos de usuarios, actualización del sistema operativo).

7.4.4.9 Los administradores de infraestructura informática deben personalizar las cuentas para las actividades de administración de servidores, bases de datos, servicios o sistemas Institucionales, así como una cuenta de seguridad para el monitoreo de las actividades realizada por cada usuario.

7.4.4.10 Todo usuario deberá tener definido desde su creación el ambiente de trabajo y éste no deberá ser modificado por él mismo.

7.4.4.11 El personal Institucional autorizado deberá definir y vigilar el acceso que un proveedor o contratista podrá tener a la información, limitando el alcance a información Confidencial o Reservada a no ser que sea autorizado explícitamente por el responsable de la misma, en este caso el proveedor o contratista deberá firmar un acuerdo de no revelación.

7.4.4.12 Los administradores de infraestructura informática deben registrar los procesos ejecutados en el día y el estatus de terminación de los mismos, también deben registrar diariamente los eventos como fallas o inhabilitación de cada servicio y las causas del evento.

7.4.4.13 Los administradores de infraestructura informática deben asegurarse de que la fecha y hora del sistema sólo puede ser alterada por el administrador, misma que requiere de la autorización escrita del jefe responsable.


7.4.4.14 Los administradores de infraestructura informática deben configurar los servidores para que el usuario que realice un acceso reciba un mensaje de ingreso en la cual se le advierte que: el sistema sólo podrá ser utilizado por personal autorizado, las actividades realizadas son monitoreadas y cualquier intento de ingreso no autorizado será sancionado.

7.4.4.15 Los administradores de infraestructura informática deben asegurarse de que en la bitácora de auditoria queden registrados todos los eventos realizados por cuentas con permisos especiales (administrator, guest, root, system, etc.).

7.4.4.16 La bitácora de auditoria sólo podrá ser accedida por la cuenta de administración y por las cuentas que se creen para revisiones por parte de la División de Seguridad Informática.

7.4.4.17 Los nodos de comunicaciones WAN deberán estar ubicados en lugares cerrados y resguardados dentro de los edificios institucionales.

7.4.4.18 El acceso a los puntos de red deberá estar vigilado por la seguridad propia de cada edificio institucional y el acceso a los nodos únicamente se permitirá al personal del proveedor de servicios, quien deberá presentar una identificación oficial de la empresa al momento de realizar el trabajo, previamente autorizado por personal del Instituto Mexicano del Seguro Social encargado de la función.

7.4.4.19 El administrador de los equipos de comunicaciones debe realizar revisiones periódicas de las bitácoras de los sistemas de comunicación para verificar si se han presentado intentos de ataques o de explotación de vulnerabilidades.

7.4.4.20 El administrador de los equipos de comunicaciones debe implantar alarmas en los sistemas de control que le notifiquen cualquier anomalía para que haya una respuesta inmediata.

7.4.4.21 El administrador de los equipos de comunicaciones debe contar con líneas alternas de comunicación como respaldo en caso de caída de las líneas principales.

7.4.4.22 El administrador de los equipos de comunicaciones debe asegurarse que todos los servicios y protocolos, es decir, todos los intentos de conexión hacia la infraestructura informática que soporta las aplicaciones o servicios institucionales pase a través de un firewall.

7.4.4.23 El administrador de firewalls debe configurarlos para rechazar cualquier clase de software de escaneo.

7.4.4.24 Los administradores de la infraestructura informática que se encuentre en la zona de producción realizarán las actividades propias de la administración de los mismos in situ, en caso de hacerlo de manera remota, deberán de realizar esta actividad a través de software de cifrado de canal.

7.4.4.25 Se deberá notificar a los usuarios de equipos PC´s, cuales son sus responsabilidades para lo cual deben firmar el conocimiento de las disposiciones, el inventario de software instalado en su equipo y el conocimiento de la Ley Federal de Derechos de Autor.

7.4.4.26 Se deberá asignar a los equipos del usuario un nombre que identifique de manera rápida al responsable del equipo y su ubicación, de acuerdo a la nomenclatura que le hará llegar la División de Seguridad Informática.

7.4.5 Administración de cuentas de usuario

7.4.5.1 La asignación de cuentas de usuario para cualquiera de los servicios y/o sistemas que operan dentro del Instituto Mexicano del Seguro Social deberá identificar a un solo responsable de ésta.

7.4.5.2 El administrador debe establecer el perfil y nivel del usuario antes de asignarle una cuenta.

7.4.5.3 El administrador debe bloquear el acceso a toda cuenta de usuario después de 3 intentos consecutivos fallidos de acceso en los sistemas o red.


7.4.5.4 El administrador debe restringir el número de sesiones por usuario.

7.4.5.5 El administrador debe habilitar el registro de los eventos (logs de seguridad), relacionado con los accesos a los sistemas y las actividades importantes realizadas por los usuarios.

7.4.5.6 El administrador debe bloquear cualquier cuenta de usuario la cual no se haya firmado en el sistema o la red después de 30 días.

7.4.5.7 El administrador debe eliminar cualquier cuenta de usuario que no se utilice por un período de 120 días, si no hay causa justificada.

7.4.5.8 El administrador debe eliminar cualquier cuenta de usuarios del cual le sea notificado el cambio de situación laboral o baja definitiva del Instituto Mexicano del Seguro Social.

7.4.5.9 El administrador debe forzar el cambio de la contraseña de la cuenta de usuario en un periodo máximo de 30 días, la cual debe ser distinta, por lo menos, a las últimas 5 usadas por la misma cuenta de usuario.

7.4.5.10 Las contraseñas no deben ser mostradas en pantalla mientras son tecleadas, ni deben viajar por la red sin ser cifradas.

7.4.5.11 Las contraseñas deben tener una longitud mínima de 6 caracteres y una máxima de 8.

7.4.5.12 Las contraseñas deben contener caracteres alfanuméricos y especiales.

7.4.6 Administración de servicios informáticos

7.4.6.1 Los administradores del servicio de acceso a Internet deben sugerir la adecuada configuración de los navegadores Web, esto para asegurar un correcto uso y como medida de prevención de ataques, intrusiones o cualquier acto que atente contra las condiciones de seguridad.

7.4.6.2 El administrador del correo electrónico debe facilitar a los usuarios el cambio de contraseña cuando éstos lo estimen conveniente.

7.4.6.3 El administrador del correo electrónico debe Implementar herramientas para analizar todos los mensajes de entrada o salida para detectar virus informáticos o contenidos maliciosos.

7.4.6.4 El servicio de acceso remoto a la red Institucional será otorgado previa validación de la División de Seguridad Informática, a los funcionarios que lo soliciten y a los proveedores que lo requieran derivado de los proyectos Institucionales.

7.4.7 Detección de intrusos y vulnerabilidades

7.4.7.1 La División de Seguridad deberá revisar diariamente la existencia de actualizaciones de seguridad del software Institucional, aparición de nuevos virus informáticos, con la finalidad de disminuir los huecos de seguridad.

7.4.7.2 La División de Seguridad al encontrar una actualización notificará a través del servicio de correo electrónico Institucional, a las Divisiones de Administración de Bases de Datos, Internet, Telecomunicaciones, Administración de Arquitectura Tecnológica, Sistemas de Soporte a Decisiones, Servicios Electrónicos, y Repositorio Nacional de Transacciones responsable de la administración del software de base o de sistema operativo, para que evalúe y en su caso aplique dicha actualización.

7.4.7.3 La División de Seguridad al encontrar la existencia de un nuevo virus informático, notificará a través del servicio de correo electrónico Institucional, a la Mesa de Ayuda con la finalidad de que esta a su vez informe a los usuarios y éstos se encuentren en posibilidades de reconocer el virus informático y no sea propagado hacia el interior.


7.4.7.4 La División de Seguridad se deberá coordinar con las Divisiones de Administración de Bases de Datos, Internet, Telecomunicaciones, Administración de Arquitectura Tecnológica, Sistemas de Soporte a Decisiones, Servicios Electrónicos, y Repositorio Nacional de Transacciones para determinar la configuración de las herramientas de detección de intrusos y vulnerabilidades, la cual debe ajustarse a las necesidades de la operación

7.4.7.5 La División de Seguridad se deberá coordinar con las Divisiones de Administración de Bases de Datos, Internet, Telecomunicaciones, Administración de Arquitectura Tecnológica, Sistemas de Soporte a Decisiones, Servicios Electrónicos, y Repositorio Nacional de Transacciones para definir el procedimiento de reacción ante intentos de intrusión a la infraestructura tecnológica del Instituto Mexicano del Seguro Social.

7.5 Para el desarrollo y liberación de sistemas

7.5.1 Funcionalidad

7.5.1.1 Las Divisiones y Coordinaciones encargadas de desarrollar sistemas o servicios de información deberán apegarse a la Metodología de Desarrollo de Sistemas definida por la Dirección de Innovación y Desarrollo Tecnológico.

7.5.1.2 Las Divisiones y Coordinaciones encargadas de desarrollar sistemas o servicios de información deberán habilitar la funcionalidad de cifrado de programas fuente, archivos de datos, comunicación entre el cliente y el servidor, y bases de datos si así lo requiere el nivel de criticidad de la información que manejará el sistema.

7.5.1.3 Las Divisiones y Coordinaciones encargadas de desarrollar sistemas o servicios de información deberán integrar la funcionalidad para filtrar la información y las operaciones del sistema con base en el perfil y nivel de consulta del usuario.

7.5.1.4 Las Divisiones y Coordinaciones encargadas de desarrollar sistemas o servicios de información deberán integrar un módulo de auditoria que permita registrar y verificar los eventos relacionados con la seguridad, el acceso y las operaciones realizadas por los usuarios dentro del sistema.

7.5.2 Ambientes de trabajo

7.5.2.1 El ambiente de desarrollo deberá observar las siguientes condiciones:

-Debe ser de uso exclusivo de analistas y/o programadores.

-Debe contener un directorio de software base utilizado por el área de desarrollo para sus trabajos.

-Debe contener un directorio de desarrollo y pruebas donde residen los sistemas que están siendo desarrollados, mantenidos y los archivos de pruebas correspondientes.

-Debe contener un directorio de control para la correcta publicación o transferencia a los ambientes de producción, programas ejecutables que han sido desarrollados o modificados, y la transferencia de los programas en código fuente a las bibliotecas de programas fuentes.

-Debe contener un directorio de archivos fuente donde se alojarán todos los programas fuente de la organización, que se encuentren en producción, misma que debe tener el máximo nivel de seguridad y control de acceso, ya que forman parte del activo informático del Instituto Mexicano del Seguro Social.

7.5.2.2 El ambiente de producción deberá observar las siguientes condiciones:

-Deben residir los directorios que contengan archivos de datos, bases de datos, programas ejecutables o compilados, distribuidos por sistemas o aplicaciones en producción.

-Debe contener un directorio de Objetos Ejecutables el cual contendrá todos los objetos ejecutables, que corresponden con programas fuentes debidamente autorizados y de acuerdo con las normas sobre desarrollo de aplicaciones.


-Debe contener un directorio de datos de aplicación el cual contendrá los archivos físicos, bases de datos y las vistas lógicas asociadas y utilizadas por cada aplicación.

7.5.3 Liberación de sistemas y servicios

7.5.3.1 Cualquier requerimiento de cambio en la funcionalidad o componentes de sistemas debe ser solicitado e implementado por escrito y en el formato establecido.

7.5.3.2 Las Divisiones encargadas de liberación de sistemas o servicios informáticos deben verificar que el sistema o servicio haya cumplido con el control de calidad apegándose a la metodología definida.

7.5.3.3 Las Divisiones encargadas de liberación de sistemas o servicios informáticos deben probar adecuadamente antes de ser aprobado por los responsables, el nuevo producto o el cambio introducido a uno existente.

7.5.3.4 Las Divisiones encargadas de liberación de sistemas o servicios informáticos deben verificar que no existan otras modificaciones distintas a las requeridas o autorizadas.

7.5.3.5 Las Divisiones encargadas de liberación de sistemas o servicios informáticos deben registrar las implementaciones efectuadas en el ambiente de producción, indicándose como mínimo: fecha, hora, ambiente de procesamiento, nombre y versión del producto, responsable que autoriza.

7.5.3.6 Las Divisiones encargadas de liberación de sistemas o servicios informáticos deben asegurar la separación de funciones entre los responsables de la implementación y el área de desarrollo.

7.5.3.7 Las Divisiones encargadas de liberación de sistemas o servicios informáticos deben verificar en el caso de que el sistema o servicio sea nuevo en el ambiente de producción, la existencia de definición de mecanismos de seguridad asociados al producto. Una vez efectuada su implantación, controlar la activación de los mismos.

7.5.3.8 Las Divisiones encargadas de liberación de sistemas o servicios informáticos deben impedir las modificaciones al software instalado en el ambiente de producción.

Transitorios

PRIMERO. La presente Norma entrará en vigor al día siguiente de su autorización.

Documents

NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE ...web.compranet.gob.mx:8004/HSM/UNICOM/00641/193/2… · Web viewseguridad informática: es el conjunto de normas, políticas,