SECTOR PÚBLICO NACIONAL

Decisión Administrativa 641/2021

DECAD-2021-641-APN-JGM - Requisitos mínimos de Seguridad de la Información para Organismos.

Ciudad de Buenos Aires, 25/06/2021

VISTO el Expediente No EX-2021-00877103-APN-SIP#JGM, la Ley de Ministerios (texto ordenado por Decreto N° 438 del 12 de marzo de 1992 y sus modificatorias), la Ley N° 24.156 y sus modificatorias, los Decretos Nros. 577 del 28 de julio de 2017 y su modificatorio, 50 del 19 de diciembre de 2019 y sus modificatorios, las Decisiones Administrativas Nros. 669 del 20 de diciembre de 2004 y su modificatoria y 1865 del 14 de octubre de 2020, las Resoluciones de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN Nros. 829 del 24 de mayo de 2019 y 1523 del 12 de septiembre de 2019 y la Disposición de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN N° 1 del 19 de febrero de 2015, y

CONSIDERANDO:

Que por la Decisión Administrativa N° 669/04 se estableció que los organismos del Sector Público Nacional comprendidos en los incisos a) y c) del artículo 8° de la Ley N° 24.156 y sus modificatorias debían dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo a dictarse dentro del plazo de CIENTO OCHENTA (180) días de aprobada dicha Política de Seguridad Modelo.

Que por el Decreto N° 577/17 modificado por su similar N° 480 del 11 de julio de 2019 se creó el COMITÉ DE CIBERSEGURIDAD en la órbita de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, el cual tiene por objetivo la elaboración de la Estrategia Nacional de Ciberseguridad.

Que, asimismo, por el citado decreto se encomendó a la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN o a quien esta designara, impulsar los actos administrativos y demás acciones necesarias para la implementación de la Estrategia Nacional de Ciberseguridad que apruebe el COMITÉ DE CIBERSEGURIDAD, así como de los objetivos en ella contenidos.

Que dentro de este marco normativo, por la Resolución N° 829/19 de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN se aprobó la ESTRATEGIA NACIONAL DE CIBERSEGURIDAD y se creó, en el marco del referido COMITÉ DE CIBERSEGURIDAD y en la órbita de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN, la Unidad Ejecutiva, cuyas funciones se consignan en el ANEXO II de esa medida.

Que por la Resolución N° 1523/19 de la ex-SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN se aprobó la definición de Infraestructuras Críticas y de Infraestructuras Críticas de Información, la enumeración de los criterios de identificación y la determinación de los sectores alcanzados.

Que la resolución citada en el considerando anterior define a las Infraestructuras Críticas como aquellas que resultan indispensables para el adecuado funcionamiento de los servicios esenciales de la sociedad, la salud, la seguridad, la defensa, el bienestar social, la economía y el funcionamiento efectivo del Estado, cuya destrucción o perturbación, total o parcial, los afecte y/o impacte significativamente.

Que, de igual modo, la mencionada resolución determina como Infraestructuras Críticas de Información a aquellas tecnologías de información, operación y comunicación, así como la información asociada, que resultan vitales para el funcionamiento o la seguridad de las Infraestructuras Críticas.

Que se ha producido en los últimos años un incremento sustancial en el uso de las Tecnologías de la Información y las Comunicaciones en el ámbito del Sector Público Nacional, al punto de que se han tornado indispensables para el desenvolvimiento de toda la actividad de las entidades y jurisdicciones que lo componen, tanto en lo que se refiere a la gestión interna como a los servicios que prestan a la sociedad.

Que el intenso uso de las Tecnologías de la Información y las Comunicaciones conlleva asimismo un notable aumento de los riesgos y amenazas a los activos de información y a los sistemas esenciales utilizados para brindar de manera eficiente y constante los múltiples servicios que desde el Sector Público Nacional se prestan.

Que las nuevas formas de ataques informáticos y la actividad maliciosa en general avanzan y se modifican en forma vertiginosa, obligando a mantener actualizadas las herramientas, protocolos y marcos normativos, con el fin de proteger adecuadamente la infraestructura, los activos de información y principalmente los datos personales, que son en definitiva un patrimonio de los ciudadanos en su conjunto.

Que resulta necesario avanzar en el proceso de fortalecimiento de la seguridad de la información que reciben, producen y administran las entidades y jurisdicciones del Sector Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley N° 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias, con el fin de dotarlas de las características de confidencialidad, integridad y disponibilidad.

Que por lo expuesto, y atento al incremento, cantidad y variedad de amenazas y vulnerabilidades que rodean a los activos de información, corresponde derogar la Decisión Administrativa N° 669/04 y la Disposición de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN N° 1/15 -por la que oportunamente se aprobara la “Política de Seguridad de la Información Modelo”-, puesto que las mismas han perdido virtualidad y no reflejan en forma apropiada la situación actual en la materia ni sientan las bases normativas que permitan mantener adecuadamente actualizados los niveles de seguridad de la información que ingresa, y la que generan y producen las entidades y jurisdicciones del Sector Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley N° 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias.

Que si bien la referida Decisión Administrativa N° 669/04 consideraba en el alcance de la norma a las entidades comprendidas en los incisos a) y c) del artículo 8° de la ley citada precedentemente, debido a las características que revisten los requisitos mínimos exigidos se ha considerado más apropiado acotar el alcance de la presente medida a los organismos pertenecientes a la Administración Central y a aquellos descentralizados.

Que, asimismo, la información puede ser objeto de una amplia gama de usos indebidos, debiéndose preservar su confidencialidad, integridad y disponibilidad, con el fin de garantizar la prestación continua e ininterrumpida de los diversos servicios prestados por el Sector Público Nacional.

Que, en este marco, se torna necesario que cada entidad y jurisdicción del Sector Público Nacional comprendida en el inciso a) del artículo 8° de la Ley N° 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias sea capaz de prevenir que sus sistemas de información se vean afectados, implementando, a tal fin, un Plan de Seguridad.

Que a tales fines es indispensable determinar una serie de requisitos mínimos de seguridad para el tratamiento de los datos y los activos de información que gestionan las entidades y jurisdicciones del Sector Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley N° 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias, con el fin de adecuarlos a las buenas prácticas y estándares nacionales e internacionales, que contemple tanto la ampliación y profundización en el uso del espacio digital como la emergencia de las nuevas amenazas y riesgos para la confidencialidad, integridad y disponibilidad de la información.

Que, en consecuencia, a los efectos de facilitar la elaboración y ejecución de los Planes de Seguridad mencionados y elevar, a la par, los niveles de seguridad de los sistemas de información de las entidades y jurisdicciones del Sector Público Nacional comprendidos en el inciso a) del artículo 8° de la Ley N° 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias, deviene necesario aprobar los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL” y establecer todos aquellos recaudos complementarios necesarios.

Que en función de lo expresado es necesario que cada una de las entidades y jurisdicciones del Sector Público Nacional comprendida en el inciso a) del artículo 8° de la Ley N° 24.156 y sus modificatorias asuma la obligación de proteger adecuadamente la información que gestiona, a través de la urgente adopción de medidas preventivas, detectivas y correctivas específicas, destinadas a proteger dicha información y recursos, de conformidad con sus competencias y funciones y en concordancia con los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”.

Que, consecuentemente, deviene indispensable que cada entidad y jurisdicción alcanzada por la presente decisión administrativa, en el marco del Plan de Seguridad que apruebe y a los fines del cumplimiento de los requisitos de seguridad, apruebe una Política de Seguridad de la Información.

Que la Ley de Ministerios (texto ordenado por Decreto N° 438 del 12 de marzo de 1992 y sus modificatorias) establece entre las atribuciones del Jefe de Gabinete de Ministros la de “Entender en el diseño y ejecución de políticas relativas al empleo público, a la innovación de gestión, a la modernización de la Administración Pública Nacional, al régimen de compras y contrataciones, a las tecnologías de la información, las telecomunicaciones, los servicios de comunicación audiovisual y los servicios postales”.

Que por el Decreto Nº 139 del 4 de marzo de 2021 se incorporó a las funciones que el Decreto N° 50/19 le asignaba a la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS, el objetivo de “Entender en la ciberseguridad y protección de infraestructuras críticas de información y comunicaciones asociadas del Sector Público Nacional y de los servicios de información y comunicaciones definidos en el artículo primero de la Ley Nº 27.078”.

Que, asimismo, por el Decreto N° 139/21 antes mencionado se establece además como función de la SUBSECRETARÍA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES de la SECRETARÍA DE INNOVACIÓN PÚBLICA, la de “Proponer a la Secretaría estrategias, estándares y regulaciones para la ciberseguridad y protección de infraestructuras críticas de la información y las comunicaciones asociadas del Sector Público Nacional y de los servicios de información y comunicaciones definidos en el artículo primero de la Ley Nº 27.078”.

Que a través de la Decisión Administrativa Nº 1865/20 se aprobó la estructura organizativa del primer y segundo nivel operativo de la JEFATURA DE GABINETE DE MINISTROS, estableciendo como Responsabilidad Primaria de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA la de “Entender en todos los aspectos relativos a la ciberseguridad y a la protección de las infraestructuras críticas de información, así como también a la generación de capacidades de prevención, detección, defensa, respuesta y recupero ante incidentes de seguridad informática del Sector Público Nacional”.

Que, asimismo, la mencionada decisión administrativa definió, entre las acciones de la citada DIRECCIÓN NACIONAL DE CIBERSEGURIDAD, las de: diseñar políticas de ciberseguridad, en coordinación con los organismos del ESTADO NACIONAL con competencia en la materia; elaborar planes, programas y proyectos con perspectiva federal en materia de ciberseguridad, en el ámbito de competencia de la Secretaría; participar en las acciones destinadas a implementar los objetivos fijados en la Estrategia Nacional de Ciberseguridad, articulando proyectos con las diferentes áreas del ESTADO NACIONAL involucradas y proponer proyectos de normas relacionados con la ciberseguridad en la REPÚBLICA ARGENTINA, en coordinación con las áreas con competencia en la materia.

Que en este marco resulta pertinente el dictado de un acto administrativo que contribuya a que paulatinamente se incorporen controles que permitan una gestión más responsable, segura y transparente de la información que es tratada por ciertas áreas del Sector Público Nacional.

Que han tomado la intervención de su competencia los servicios jurídicos pertinentes.

Que la presente medida se dicta en ejercicio de las facultades conferidas por el artículo 100, inciso 1 de la CONSTITUCIÓN NACIONAL.

Por ello,

EL JEFE DE GABINETE DE MINISTROS

DECIDE:

ARTÍCULO 1°.- Apruébanse los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL” que como ANEXO I (IF-2021-50348419-APN-SSTIYC#JGM) forman parte integrante de la presente medida.

ARTÍCULO 2°.- La presente decisión administrativa será de aplicación a las entidades y jurisdicciones del Sector Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley N° 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias y a los proveedores que contraten con esas entidades y jurisdicciones, en todo aquello que se encuentre relacionado con las tareas que realicen y en los términos que establezca cada una de ellas, normativa o contractualmente.

ARTÍCULO 3°.- Las entidades y jurisdicciones del Sector Público Nacional comprendidas en el artículo 2° de esta medida deberán aprobar sus Planes de Seguridad en el plazo máximo de NOVENTA (90) días desde la entrada en vigencia de la presente. Dichos Planes de Seguridad deberán establecer los plazos en que se dará cumplimiento a cada uno de los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL” establecidos en el ANEXO I de la presente; plazo que no podrá ser posterior al 31 de diciembre de 2022.

ARTÍCULO 4°.- Los Planes de Seguridad mencionados en el artículo 3° deberán ser remitidos a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA, dependiente de la JEFATURA DE GABINETE DE MINISTROS y/o a la que en el futuro la reemplace, dentro de un plazo máximo de NOVENTA (90) días desde la entrada en vigencia de la presente.

ARTÍCULO 5°.- Las máximas autoridades de las entidades y jurisdicciones comprendidas en el artículo 2° de la presente deberán asignar las funciones relativas a la seguridad de sus sistemas de información al área con competencia en la materia e informar, mediante Comunicación Oficial a través del Sistema de Gestión Documental Electrónica (GDE) a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS el nombre, apellido y datos de contacto del responsable del área designada, dentro del plazo de SESENTA (60) días corridos desde la entrada en vigencia de la presente medida.

ARTÍCULO 6°.- Las entidades y jurisdicciones comprendidas en el artículo 2° de esta medida deberán adoptar las medidas preventivas, detectivas y correctivas destinadas a proteger la información que reciban, generen o gestionen como asimismo sus recursos.

ARTÍCULO 7°.- Las entidades y jurisdicciones establecidas en el artículo 2° de la presente medida deberán reportar a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS los incidentes de seguridad que se produzcan dentro de sus ámbitos, dentro de las CUARENTA Y OCHO (48) horas de tomado conocimiento de su ocurrencia o de su potencial ocurrencia.

ARTÍCULO 8°.- Encomiéndase a la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS o a quien esta designe, la revisión y actualización periódica de los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”, como asimismo el dictado de las normas complementarias y aclaratorias de la presente medida.

ARTÍCULO 9°.- Deróganse la Decisión Administrativa N° 669 del 20 de diciembre de 2004 y la Disposición de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN N° 1 del 19 de febrero de 2015.

ARTÍCULO 10.- Invítase a las entidades y jurisdicciones enumeradas en los incisos b), c) y d) del artículo 8° de la Ley N° 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias, a los Gobiernos Provinciales, de la Ciudad Autónoma de Buenos Aires y Municipales, y a los Poderes Legislativo y Judicial de la Nación a adherir a la presente.

ARTÍCULO 11.- La DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS verificará el cumplimiento de las disposiciones de la presente medida, sin perjuicio de las competencias asignadas a la SINDICATURA GENERAL DE LA NACIÓN.

ARTÍCULO 12.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

Santiago Andrés Cafiero - Eduardo Enrique de Pedro

NOTA: El/los Anexo/s que integra/n este(a) Decisión Administrativa se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 28/06/2021 N° 44521/21 v. 28/06/2021

(Nota Infoleg: Los anexos referenciados en la presente norma han sido extraídos de la edición web de Boletín Oficial. Los mismos pueden consultarse en el siguiente link: Anexos)