SERVICIO NACIONAL DE SANIDAD Y CALIDAD AGROALIMENTARIA

Resolución 316/2009

Apruébase la Política de Seguridad de la Información del SENASA.

Bs. As., 8/4/2009

Visto el Expediente Nº S01:0472845/2008 del entonces MINISTERIO DE ECONOMIA Y PRODUCCION, la Decisión Administrativa Nº 669 del 20 de diciembre de 2004 de la JEFATURA DE GABINETE DE MINISTROS, la Resoluciones Nros. 45 del 24 de junio de 2005 de la SUBSECRETARIA DE LA GESTION PUBLICA 48 del 5 de mayo de 2005 de la SINDICATURA GENERAL DE LA NACION, 228 del 2 de mayo de 2006 y 570 del 29 de agosto de 2006 ambas del SERVICIO NACIONAL DE SANIDAD Y CALIDAD AGROALIMENTARIA, la Disposición Nº 6 del 3 de agosto de 2005 del DIRECCCION NACIONAL DE LA OFICINA DE TECNOLOGIAS DE LA INFORMACION, el Acta Nº 1 de fecha 6 de abril de 2009, y

CONSIDERANDO:

Que el Artículo 1º de la Decisión Administrativa Nº 669 del 20 de diciembre de 2004 de la JEFATURA DE GABINETE DE MINISTROS establece que "los organismos del Sector Público Nacional, comprendidos en el Artículo 7º deberán dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo, dentro del plazo de CIENTO OCHENTA (180) días de aprobada dicha Política de Seguridad Modelo".

Que el Artículo 7º de la citada Decisión Administrativa Nº 669/2004 establece que la misma ‘será de aplicación a los organismos comprendidos en los incisos a) y c) del Artículo 8º de la Ley Nº 24.156 y sus modificatorias".

Que por la Disposición Nº 6 del 3 de agosto de 2005 del DIRECCION NACIONAL DE LA OFICINA DE TECNOLOGIAS DE LA INFORMACION se aprueba la "Política de Seguridad de la Información Modelo".

Que por la resolución Nº 228 del 2 de mayo de 2006 del SERVICIO NACIONAL DE SANIDAD Y CALIDAD AGROALIMENTARIA se conformó el Comité de Seguridad de la Información y se designaron sus coordinadores, asignándose las funciones relativas a la seguridad de los sistemas de información.

Que el Comité de Seguridad de la Información elevó su propuesta de política de seguridad de la información, según consta a fojas 64/69 de las presentes actuaciones, mediante Acta Nº 1 de fecha 6 de abril de 2009.

Que el SERVICIO NACIONAL DE SANIDAD Y CALIDAD AGROALIMENTARIA, organismo descentralizado en la órbita de la SECRETARIA DE AGRICULTURA, GANADERIA, PESCA Y ALIMENTOS del MINISTERIO DE PRODUCCION, integra el Sector Público Nacional y debe, en consecuencia, dictar la Política de Seguridad de la Información de acuerdo a las pautas establecidas en las citadas Decisión Administrativa Nº 669/2004 y Disposición Nº 06/2005.

Que la presente se dicta en uso de las funciones y facultades conferidas por la Ley Nº 24.065 y su Decreto reglamentario, y los Contratos de Concesión a este Organismo. Que se ha emitido el correspondiente Dictamen conforme lo requerido por el artículo 7 inciso d) de la Ley Nº 19.549.

Que el suscripto está facultado para dictar el presente acto en uso de las facultades conferidas por el Artículo 8º, inciso h) del Decreto Nº 1.585 del 19 de diciembre de 1996, sustituido por su similar Nº 237 del 26 de marzo de 2009.

Por ello,

EL PRESIDENTE DEL SERVICIO NACIONAL DE SANIDAD Y CALIDAD AGROALIMENTARIA

RESUELVE:

Artículo 1º — Aprobar la Política de Seguridad de la Información del SERVICIO NACIONAL DE SANIDAD Y CALIDAD AGROALIMENTARIA, organismo descentralizado en la órbita de la SECRETARIA DE AGRICULTURA, GANADERIA, PESCA Y ALIMENTOS del MINISTERIO DE PRODUCCION, que se detalla en el Anexo que forma parte integrante de la presente resolución.

Art. 2º — Establecer que la Política de Seguridad de la Información aprobada por el artículo anterior será de aplicación para los agentes de este Servicio Nacional y las personas físicas y jurídicas, privadas o públicas que presten servicios al SENASA.

Art. 3º — Hacer saber a los sujetos mencionados en el artículo anterior que para todo aquello no previsto por la presente será de aplicación lo establecido por la Disposición Nº 06/2005 de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION.

Art. 4º — Regístrese, comuníquese, publíquese, dése a la Dirección Nacional de Registro Oficial y archívese. — Jorge N. Amaya.

ANEXO

SEGURIDAD DE LA INFORMACION

POLITICA GENERAL DEL SENASA

I. INTRODUCCION

La información es un recurso que, como el resto de los activos, tiene valor para el Organismo y por consiguiente debe ser debidamente protegida.

Las Políticas de Seguridad de la Información protegen a la misma de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos del Organismo.

II. OBJETIVO

El objetivo de la presente Política de Seguridad de la Información es el de crear un conjunto de reglas básicas que rijan el comportamiento del personal del Organismo en el uso de la información para el desarrollo de sus tareas.

Mantener la Política de Seguridad del Organismo actualizada, a efectos de asegurar su vigencia y nivel de eficacia.

III. RESPONSABLES DEL CUMPLIMIENTO

Todo el personal del Organismo y los terceros, que interacman de manera habitual u ocasional, que accedan a información sensible y/o a los recursos informáticos en el desarrollo de sus tareas habituales.

IV. INCUMPLIMIENTOS

Las medidas disciplinarias forman parte del conjunto de medidas disciplinarias del Organismo.

Todas las definiciones de la presente Política de Seguridad de la Información están alineadas con los estándares nacionales e internacionales vigentes para la práctica de seguridad de la información.

V. ESTANDARES Y MARCO LEGAL

Alineación con Normas Nacionales e Internacionales.

VI. TERMINOS Y DEFINICIONES

A los efectos de la presente Política se aplican las siguientes definiciones:

• Información: se refiere a toda comunicación o representación de conocimiento inherente a las misiones y funciones del SENASA, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro.

• Seguridad de la información: se entiende como la preservación de las siguientes características: Confidencialidad: la información será accesible solo a aquellas personas autorizadas a tener acceso a la misma.

Integridad: consiste en salvaguardar la exactitud y totalidad de la información y los métodos de procesamiento.

Disponibilidad: acceder a la información y a los recursos relacionados con la misma.

• Sistema de Información: se refiere a un conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales.

• Tecnología de Información: se refiere al hardware y software operados por el Organismo o por un tercero que preste servicios al Organismo, sin tener en cuenta la tecnología utilizada, ya sea de computación de datos, telecomunicaciones u otro tipo.

• Propietario de la Información: se vincula con la generación y/o administración; o disposición, de la información, entendiéndose por "propietario" a cualquier área del Organismo que posea la responsabilidad respecto de su manejo y preservación, conforme a sus funciones y competencias.

• Compromiso de Confidencialidad: instrumento por el cual la persona física o jurídica declara conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad de las personas físicas o jurídicas.

VII. POLITICAS DEL ORGANISMO

ASPECTOS GENERALES

• Organización de la Seguridad: orientado a administrar la seguridad de la información dentro del Organismo y establecer un marco gerencial para controlar su implementación, así como para la distribución de funciones y responsabilidades.

Fomentar la consulta y cooperación con Organismos especializados paca la obtención de asesoría en materia de seguridad de la información.

Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información del Organismo.

• Administración de Activos: destinado a mantener una adecuada clasificación y protección de los activos del Organismo.

Clasificar la información para señalar su sensibilidad y criticidad.

Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.

• Seguridad de los Recursos Humanos: orientado a reducir los riesgos de error humano, robo, fraude, o uso inadecuado de las instalaciones, además de definiciones de puestos de trabajo y asignación de recursos. Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal e incluirlas en los acuerdos a firmarse (NDA-Non Disclosure Agreement-) y verificar su cumplimiento durante el desempeño del individuo como empleado.

Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad de la Información del Organismo en el transcurso de sus tareas normales.

• Seguridad Física y Ambiental: destinado a impedir accesos no autorizados, daños e interferencia a las dependencias e información del Organismo. Proteger el equipamiento de procesamiento de información crítica del Organismo ubicándolo en áreas protegidas y resguardadas por un perímetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados.

Controlar los factores ambientales que podrían perjudicar el conecto funcionamiento del equipamiento informático que alberga la información del Organismo.

Implementar medidas para proteger la información manejada por el personal en las oficinas, en el marco normal de sus labores habituales.

• Administración de Comunicaciones y Operaciones: dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.

Establecer responsabilidades y procedimientos de gestión y operación para todas las instalaciones. Implementación de separación de funciones cuando corresponda.

• Sistema de Control de Accesos: impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información. Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización.

Registrar y revisar eventos y actividades criticas llevadas a cabo por los usuarios en los sistemas.

Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.

• Adquisición, Desarrollo y Mantenimiento de Sistemas de información: orientado a garantizar la incorporación de medidas de seguridad en los sistemas de información desde su desarrollo y/o implementación y durante su mantenimiento.

Definir y documentar las normas y procedimientos que se aplicaran durante el ciclo de vida de los aplicativos y en la infraestructura de base en la cual se apoyan.

Definir los métodos de protección de la información crítica o sensible.

• Administración de Incidentes de Seguridad de la información: minimizar el daño producido por incidentes y anomalías en materia de seguridad, monitorear dichos incidentes y aprender de los mismos.

• Administración de la Continuidad de las Actividades del Organismo: orientado a contrarrestar las interrupciones de las actividades y proteger los procesos críticos de los efectos de fallas significativas o desastres.

Asegurar la coordinación con el personal del Organismo y los contactos extremos que participaran en las estrategias de planificación de contingencias.

Asignar funciones para cada actividad definida.

• Cumplimiento: destinado a impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.

Revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la adecuada aplicación de la política, normas y procedimientos de seguridad, sobre las plataformas tecnológicas y los sistemas de información.