Bs. As., 22/6/2006

VISTO: la Decisión Administrativa Nº 669/2004 del JEFE DE GABINETE DE MINISTROS, la Resolución Nº 45/05 del Subsecretario de la Gestión Pública, la Disposición Nº 06/2005 del DIRECTOR NACIONAL DE LA OFICINA DE TECNOLOGIAS DE LA INFORMACION, y

CONSIDERANDO:

Que el artículo 1º de la Decisión Administrativa Nº 669/2004 establece que "los organismos del Sector Público Nacional, comprendidos en el artículo 7º deberán dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo, dentro del plazo de CIENTO OCHENTA (180) días de aprobada dicha Política de Seguridad Modelo".

Que el artículo 7º de la Decisión Administrativa antes citada establece que la misma "será de aplicación a los organismos comprendidos en los incisos a) y c) del artículo 8º de la Ley Nº 24.156 y sus modificatorias".

Que por la Disposición Nº 6/2005 del DIRECTOR NACIONAL DE LA OFICINA DE TECNOLOGIAS DE LA INFORMACION se aprueba la "Política de Seguridad de la Información Modelo".

Que por la Disposición Nº 22/2006 se conformó el Comité de Seguridad de la Información y se designaron sus coordinadores, asignándose las funciones relativas a la seguridad de los sistemas de información.

Que el Comité de Seguridad de la Información elevó su propuesta de política de seguridad de la información, según consta a fojas 64/75 del Expediente ENRE Nº 19.879/2006.

Que ENTE NACIONAL REGULADOR DE LA ELECTRICIDAD (ENRE), organismo descentralizado que actúa en jurisdicción del MINISTERIO DE PLANIFICACION FEDERAL, INVERSION PUBLICA Y SERVICIOS, integra el Sector Público Nacional y debe, en consecuencia, dictar la Política de Seguridad de la Información de acuerdo a las pautas establecidas en la Decisión Administrativa JGM Nº 669/2004 y a la Disposición ONTI Nº 06/ 2005.

Que la presente se dicta en uso de las funciones y facultades conferidas por la Ley Nº 24.065 y su Decreto reglamentario, y los Contratos de Concesión a este Organismo.

Que se ha emitido el correspondiente Dictamen conforme lo requerido por el artículo 7 inciso d) de la Ley Nº 19.549.

Que el Directorio del ENTE NACIONAL REGULADOR DE LA ELECTRICIDAD se encuentra facultado para el dictado del presente acto, en virtud de lo dispuesto en el inciso s) del Artículo 56 de la Ley Nº 24.065;

Por ello,

EL DIRECTORIO DEL ENTE NACIONAL REGULADOR DE LA ELECTRICIDAD

RESUELVE:

Artículo 1º — Aprobar la Política de Seguridad de la Información del ENTE NACIONAL REGULADOR DE LA ELECTRICIDAD que se detalla en el anexo que forma parte integrante de la presente Resolución.

Art. 2º — Establecer que la Política de Seguridad de la Información aprobada por el artículo anterior será de aplicación para los generadores, transportistas, distribuidores de energía eléctrica, agentes del MEM y las personas físicas y jurídicas, privadas o públicas que presten servicios al ENTE o participen de los procesos de contratación.

Art. 3º — Hacer saber a los sujetos mencionados en el artículo anterior que para todo aquello no previsto por la presente será de aplicación lo establecido por Disposición ONTI Nº 06/2005.

Art. 4º — Regístrese, comuníquese, publíquese, dése a la Dirección Nacional de Registro Oficial y archívese. — Ricardo A. Martínez Leone. — Marcelo Baldomir Kiener. — Jorge D. Belenda. — Julio C. Molina.

ANEXO

I. INTRODUCCION

La información es un recurso que, como el resto de los activos, tiene valor para el Organismo y por consiguiente debe ser debidamente protegida.

Las Políticas de Seguridad de la Información protegen a la misma de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos del Organismo.

Para ello, se deben implementar políticas inherentes a la seguridad de la información en el marco de las funciones y facultades establecidas por la ley Nº 24.065, su Decreto Reglamentario y los Contratos de Concesión.

II. OBJETIVOS

Proteger los recursos de Información del Organismo y la tecnología utilizada para su procesamiento, con el fin de asegurar el cumplimiento de la confidencialidad, integridad y disponibilidad de la misma.

Establecer la administración de la seguridad de la información, como parte de los objetivos y funciones del Organismo, asegurando la implementación de las medidas de seguridad comprendidas en esta Política e identificando los recursos necesarios para tales fines.

Mantener la Política de Seguridad del Organismo actualizada, a efectos de asegurar su vigencia y nivel de eficacia.

III. TERMINOS Y DEFINICIONES

A los efectos de la presente Política se aplican las siguientes definiciones:

• Información: se refiere a toda comunicación o representación de conocimiento inherente a las misiones y funciones del ENRE, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro.

• Seguridad de la información: se entiende como la preservación de las siguientes características:

Confidencialidad: la información será accesible sólo a aquellas personas autorizadas a tener acceso a la misma.

Integridad: consiste en salvaguardar la exactitud y totalidad de la información y los métodos de procesamiento.

Disponibilidad: acceder a la información y a los recursos relacionados con la misma.

• Sistema de Información: se refiere a un conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales

• Tecnología de Información: se refiere al hardware y software operados por el Organismo o por un tercero que preste servicios al Organismo, sin tener en cuenta la tecnología utilizada, ya sea de computación de datos, telecomunicaciones u otro tipo.

• Propietario de la Información: se vincula con la generación y/o administración; o disposición, de la información, entendiéndose por "propietario" a cualquier área del organismo que posea la responsabilidad respecto de su manejo y preservación, conforme a sus funciones y competencias.

• Compromiso de Confidencialidad: instrumento por el cual la persona física o jurídica declara conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad de las personas físicas o jurídicas.

IV. POLITICAS DEL ORGANISMO

1. ASPECTOS GENERALES

• Organización de la Seguridad: orientado a administrar la seguridad de la información dentro del Organismo y establecer un marco gerencial para controlar su implementación.

• Clasificación y Control de Activos: destinado a mantener una adecuada protección de los activos del Organismo.

• Seguridad del Personal: orientado a reducir los riesgos de error humano, comisión de ilícitos contra el Organismo o uso inadecuado de instalaciones.

• Seguridad Física y Ambiental: destinado a impedir accesos no autorizados, daños e interferencia a las sedes e información del Organismo.

• Gestión de Comunicaciones y Operaciones: dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y medios de comunicación.

• Control de Acceso: orientado a controlar el acceso lógico a la información.

• Desarrollo y Mantenimiento de los Sistemas: orientado a garantizar la incorporación de medidas de seguridad en los sistemas de información desde su desarrollo y/o implementación y durante su mantenimiento.

• Administración de la Continuidad de las Actividades del Organismo: orientado a contrarrestar las interrupciones de las actividades y proteger los procesos críticos de los efectos de fallas significativas o desastres.

• Cumplimiento: destinado a impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.

2. ASPECTOS ESPECIFICOS – OBJETIVOS

2.1. PERSONAS FISICAS Y JURIDICAS

Reducir los riesgos de error humano, el uso inadecuado o malicioso de los recursos de información del ENRE como así también la divulgación y manejo no autorizado de la información crítica.

Hacer conocer a los públicos internos y externos del Organismo, la Política de Seguridad de la Información y establecer políticas de comunicación de incidentes en cuanto a seguridad.

Suscribir Compromisos de Confidencialidad con todos los agentes.

Capacitar a todo el Organismo, en todo lo referido a política, normas y procedimientos de Seguridad de la Información.

2.2. SEGURIDAD FISICA Y AMBIENTAL

Brindar el marco para minimizar los riesgos de daños e interferencias sobre la información y operaciones del Organismo. Asimismo, pretende evitar al máximo el riesgo de accesos físicos no autorizados, mediante el establecimiento de perímetros de seguridad y de áreas protegidas.

Garantizar la protección física de los accesos, del equipamiento y de la documentación.

2.3. GESTION DE COMUNICACIONES Y OPERACIONES

Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y de comunicaciones.

Asignar responsabilidades e implementar los procedimientos para su gestión y operación.

Establecer funciones de desarrollo y operatividad, a fin de reducir el riesgo de modificaciones no autorizadas, error humano, uso negligente o mal uso deliberado de los sistemas.

2.4. CONTROL DE ACCESOS

Impedir el acceso no autorizado a todos los sectores que produzcan, promuevan y reciban información propia y de terceros.

Implementar la asignación de derechos de acceso a los sistemas, servicios de información, bases de datos y todo lo que contemple la presente política.

2.5. DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Garantizar la seguridad durante el desarrollo y la implementación de sistemas de Información y/o aplicativos, tanto internos como externos.

Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo e implementación de los sistemas

Optimizar los controles de seguridad de entrada y salida del Organismo.

Monitorear la gestión, el mantenimiento de los sistemas operativos y el software de base, en las distintas plataformas.

2.6. CONTINGENCIAS

Garantizar la continuidad de las actividades del Organismo mediante la implementación de "Planes de Continuidad" y "Procedimientos de Contingencia".

Identificar los recursos de Información críticos

Implementar los planes y procedimientos para contingencias asegurando el funcionamiento de los sistemas y equipos soporte de la información en tiempos limitados.

Realizar controles periódicos para identificar y reducir los riesgos, limitar las consecuencias de los incidentes que afectan negativamente, y asegurar el tiempo de respuesta de las operaciones esenciales.

Realizar periódicamente verificaciones y pruebas de los procedimientos para contingencias, como así también relevar datos para facilitar la actualización de los planes.

2.7. NORMAS LEGALES Y CONTRACTUALES

Dar cumplimiento a las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos en el diseño, operación, uso y administración de los sistemas de información.

Definir normas y procedimientos para garantizar el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual y a la conservación de registros.

3. SEGURIDAD FRENTE AL ACCESO POR PARTE DE TERCEROS

3.1. IDENTIFICACION

Cuando exista la necesidad de otorgar acceso a terceras partes a información del Organismo, el Responsable de Seguridad Informática y el Propietario de la Información de que se trate, llevarán a cabo y documentarán una evaluación de riesgos para identificar los requerimientos de controles específicos, teniendo en cuenta, entre otros aspectos:

• El tipo de acceso requerido (físico/lógico y a qué recurso).

• Los motivos para los cuales se solicita el acceso.

• El valor de la información.

• Los controles empleados por la tercera parte,

• La incidencia de este acceso en la seguridad de la información del Organismo.

En todos los contratos cuyo objeto sea la prestación de servicios a título personal bajo cualquier modalidad jurídica que deban desarrollarse dentro del Organismo, se establecerán los controles, requerimientos de seguridad y compromisos de confidencialidad aplicables al caso, restringiendo al mínimo necesario, los permisos a otorgar.

Se cita a modo de ejemplo:

a) Personal de mantenimiento y soporte de hardware y software.

b) Limpieza, "catering", guardia de seguridad y otros servicios de soporte tercerizados.

c) Pasantías y otras designaciones de corto plazo.

d) Consultores.

En ningún caso se otorgará acceso a terceros a la información, a las instalaciones de procesamiento u otras áreas de servicios críticos, hasta tanto se hayan implementado los controles apropiados y se haya firmado un contrato o acuerdo que defina las condiciones para la conexión o el acceso.

3.2 REQUERIMIENTO DE SEGURIDAD EN CONTRATO O ACUERDO CON TERCEROS

Se revisarán los contratos o acuerdos existentes lo que se efectúen con terceros, teniendo en cuenta la necesidad de aplicar los siguientes controles:

a) Cumplimiento de la Política de seguridad de la información del Organismo.

b) Protección de los activos del Organismo, incluyendo:

• Procedimientos para proteger los bienes del Organismo, abarcando los activos físicos, la información y el software.

• Procedimientos para determinar si ha ocurrido algún evento que comprometa los bienes, por ejemplo, debido a pérdida o modificación de datos.

• Controles para garantizar la recuperación o destrucción de la información y los activos al finalizar el contrato o acuerdo, o en un momento convenido durante la vigencia del mismo.

• Restricciones a la copia y divulgación de información.

c) Descripción de los servicios disponibles.

d) Nivel de servicio esperado y niveles de servicio aceptables.

e) Permiso para la transferencia de personal cuando sea necesario.

f) Obligaciones de las partes emanadas del acuerdo y responsabilidades legales.

g) Existencia de Derechos de Propiedad Intelectual.

h) Definiciones relacionadas con la protección de datos.

i) Acuerdos de control de accesos que contemplen:

• Métodos de acceso permitidos, y el control y uso de identificadores únicos como identificadores de usuario y contraseñas de usuarios.

• Proceso de autorización de accesos y privilegios de usuarios.

• Requerimiento para mantener actualizada una lista de individuos autorizados a utilizar los servicios que han de implementarse y sus derechos y privilegios con respecto a dicho uso.

j) Definición de criterios de desempeño comprobables, de monitoreo y de presentación de informes.

k) Adquisición de derecho a auditar responsabilidades contractuales o surgidas del acuerdo.

I) Establecimiento de un proceso para la resolución de problemas y en caso de corresponder disposiciones con relación a situaciones de contingencia.

m) Responsabilidades relativas a la instalación y al mantenimiento de hardware y software.

n) Estructura de dependencia y del proceso de elaboración y presentación de informes que contemple un acuerdo con respecto a los formatos de los mismos.

o) Proceso claro y detallado de administración de cambios.

p) Controles de protección física requeridos y los mecanismos que aseguren la implementación de los mismos.

q) Métodos y procedimientos de entrenamiento de usuarios y administradores en materia de seguridad.

r) Controles que garanticen la protección contra software malicioso.

s) Elaboración y presentación de informes, notificación e investigación de incidentes y violaciones relativos a la seguridad.

t) Relación entre proveedores y subcontratistas.

3.3 REQUERIMIENTO DE SEGURIDAD EN CONTRATO DE TERCERIZACION

Los contratos o acuerdos de tercerización total o parcial para la administración y control de sistemas de información, redes y/o ambientes de PC del Organismo, contemplarán además de los puntos especificados en ("Requerimientos de Seguridad en Contratos o Acuerdos con Terceros", los siguientes aspectos:

a) Forma en que se cumplirán los requisitos legales aplicables.

b) Medios para garantizar que todas las partes involucradas en la tercerización, incluyendo los subcontratistas, están al corriente de sus responsabilidades en materia de seguridad.

c) Forma en que se mantendrá y comprobará la integridad y confidencialidad de los activos del Organismo.

d) Controles físicos y lógicos que se utilizarán para restringir y delimitar el acceso a la información sensible del Organismo.

e) Forma en que se mantendrá la disponibilidad de los servicios ante la ocurrencia de desastres.

f) Niveles de seguridad física que se asignarán al equipamiento tercerizado.

g) Derecho a la auditoría por parte del Organismo sobre los aspectos tercerizados en forma directa o a través de la contratación de servicios ad hoc.

Se debe prever la factibilidad de ampliar los requerimientos y procedimientos de seguridad con el acuerdo de las partes.