,EsSaludww1.essalud.gob.pe/compendio/pdf/0000003048_pdf.pdf · 2015-11-23 · EsSalud MAS SALUD...

,EsSalud MAS SALUD PARA MAS PERUANOS

RESOLUCION DE GERENCIA GENERAL Nº 034 -GG-ESSALUD-2006

Lima, 17 de Enero del 2006

VISTA:

La Carta Nº 015-GCOl-ESSALUD-2006 por medio de la cual la Gerencia Central de Organización e Informática propone la aprobación de la Directiva "Norma de Seguridad Física y del Entorno de ESSALUD", y;

CONSIDERANDO:

Que, por Resolución de Presidencia Ejecutiva Nº 792-PE-ESSALUD-2005, de fecha 28 de diciembre del 2005, se aprobó el Reglamento de Organización y Funciones del Seguro Social de Salud - ESSALUD;

Que, mediante Resolución de Presidencia Ejecutiva Nº 957-PE-ESSALUD-2003, de fecha 03 de diciembre del 2003, se aprobó, la Estructura Orgánica y el Reglamento de Organización y Funciones de la Gerencia de División de Administración y Organización;

Que, de conformidad con lo establecido en el literal c) del Artículo 23º del mencionado Reglamento, la Gerencia Central de Organización e Informática es responsable de formular y emitir directivas que permitan establecer procesos, métodos y procedimientos para una adecuada administración, seguridad y gestión de los recursos informáticos de ESSALUD, a nivel nacional;

Que, de acuerdo a lo señalado en el literal b) del Artículo 9º del mencionado Reglamento, la Oficina de Seguridad Informática de la Gerencia de División de Administración y Organización es responsable de establecer políticas de seguridad informática y administración de datos relativos a los sistemas de información, recursos informáticos y su entorno físico a fin de brindar una adecuada protección;

Que, resulta necesario dictar las políticas de seguridad física que permitan establecer las condiciones de habilitación y los controles de acceso a las áreas que contengan equipos de cómputo y sistemas de comunicación de ESSALUD, así como definir los mecanismos y dispositivos de prevención para afrontar probables peligros de nuestra infraestructura tecnológica;

Que, el literal b) del Articulo 9º de la Ley Nº 27056, Ley de Creación del Seguro Social de Salud, establece que le compete al Gerente General, dirigir el funcionamiento de la Institución, emitir las directivas y los procedimientos internos necesarios, en concordancia con las políticas, lineamientos y demás disposiciones del Consejo Directivo y del Presidente Ejecutivo;

Estando a lo propuesto y en uso de las atribuciones conferidas;

...... EsSalud MAS SALUD PA:RA MAS PERUANOS

RESOLUCION DE GERENCIA GENERAL Nº 034 -GG-ESSALUD-2006

SE RESUELVE:

ARTÍCULO UNICO.- APROBAR la Directiva de Gerencia General Nº 003 -GG-ESSALUD-2006, "Norma de Seguridad Física y del Entorno de ESSALUD", que forma parte de la presente Resolución.

REGÍSTRESE Y COMUNÍQUESE.

~A, CARLO SO ELO BAMBAREN rente General ES SALUD

DIRECTIVA DE GERENCIA GENERAL Nº 003 -GG-ESSALUD-2006

NORMA DE SEGURIDAD FISICA Y DEL ENTORNO DE ESSALUD

GERENCIA DE DIVISIÓN DE ADMINISTRACION Y ORGANIZACIÓN OFICINA DE SEGURIDAD INFORMATICA

Nonna de Seguridad Física y del Entorno 1 de20



INDICE

Página

Objetivo 3

Finalidad 3

3. Base Legal 3

Alcance 4

Responsabilidad 4

Conceptos de Referencia 4

Disposiciones Generales 6

Disposiciones Específicas 8

9. Disposiciones Complementarias 19

Norma de Seguridad Física y del Entorno 2de20



1. OBJETIVO

Establecer los fundamentos normativos que regula el uso de los mecanismos de prevención y detección destinados a proteger físicamente los equipos informáticos, equipos auxiliares, sistema de comunicaciones, medios de almacenamientos y las áreas donde residen dichos equipos y dispositivos.

2. FINALIDAD

• Disponer del instructivo que permita emprender las acciones internas para alcanzar la protección física de los recursos informáticos de la Institución.

• Definir las responsabilidades para dotar de los medios de protección que aseguren las condiciones físicas de la infraestructura informática de EsSalud.

• Definir el ámbito de protección física de los centros de procesamiento de información de EsSalud.

3. BASE LEGAL

• Constitución Política del Perú. • Ley Nº 27056, Ley de Creación del Seguro Social de Salud (ESSALUD) y el

Decreto Supremo Nº 002-99-TR que aprobó su reglamento. • Ley Nº 27310, Ley que modifica el Artículo 11º de la Ley Nº 27269. • Ley Nº 27 444, Ley del Procedimiento Administrativo General. + Decreto Legislativo Nº 276 Ley de Bases de la Carrera Administrativa y de

Remuneraciones del Sector Público, y su Reglamento. Resolución de Contraloría Nº 072-98-CG Normas Técnicas de Control Interno para el Sector Público NTC 500 - Normas Técnicas de Control Interno para Sistemas Computarizados. Texto Único Ordenado del Decreto Legislativo Nº 728, Ley de Productividad y Competitividad Laboral, y el Decreto Supremo N° 001-96-TR que aprobó su reglamento. Resolución Ministerial Nº 224-2004-PCM, uso obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. 1ª Edición" en entidades del Sistema Nacional de Informática. Resolución de Presidencia Ejecutiva N° 927-PE-ESSALUD-2003 que aprobó la Estructura Orgánica y el Reglamento de Organización y Funciones (ROF) de EsSalud.

+ Resolución de Gerencia General N° 378-GG-ESSALUD-2003, que aprobó la .. ... . . directiva: "Normas de Dependencia Funcional de las Areas de Informática de

···. '~" · .. ·'\ EsSalud". i . ·._ ' \ \

/1 •_;)Reglamento Interno de Trabajo, aprobado por Resolución de Presidencia ~;.',2 cL8 8¡,:tJEjecutiva Nº 139-PE-ESSALUD-99 y sus modificatorias.

3 d.: 20

+ Resolución de Gerencia General Nº 136-GG-ESSALUD-2003, que aprobó la directiva Nº 002-GG-ESSALUD-2003 "Normas para el Sistema de Administración Documentaría del Seguro Social de Salud".

+ Directiva Nº 008-95-INEl/ISJI "Recomendaciones Técnicas para la Protección Física de los Equipos y medios de Procesamiento de la Información en la Administración Pública".

+ Resolución Ministerial del Ministerio de Energía y Minas Nº 138-82-EM/DGE del 02 de junio de 1982 que aprobó el Tomo V "Sistema de Utilización" del Código Nacional de Electricidad.

+ Resolución de Gerencia General Nº 236-GG-ESSALUD-2005, que aprobó la directiva Nº 002-GG-ESSALUD-2005 "Políticas de Seguridad Informática de EsSalud".

ALCANCE

Personal Involucrado: Esta directiva se aplica a todas las personas que laboran para EsSalud, incluyendo personal nombrado, contratado, temporal, contratistas, consultores, y terceros que acceden a cualquiera de nuestros recursos informáticos.

Areas involucradas: Esta directiva se aplica a todas las dependencias de EsSalud que poseen equipos informáticos y dispositivos de soporte informático pertenecientes o no a EsSalud y que manejen información de apoyo a los procesos de la Institución.

5. RESPONSABILIDAD

La difusión, implantación y control de la presente directiva, es responsabilidad de todas las Gerencias y Jefaturas de EsSalud dentro de sus ámbitos correspondientes, así como, su cumplimiento es responsabilidad de todos los

\ trabajadores que utilizan los equipos de cómputo y/o recursos informáticos que brinda la Institución.

Son responsables de hacer efectivo y supeNisar lo dispuesto en la presente norma:

• Gerencia Central de Organización e Informática a través de la Gerencia de Producción, Los Gerentes Administrativos, encargados o los que hagan sus veces, de las Gerencias de Redes Asistenciales, Hospitales Nacionales, o Institutos Especializados, Jefe de la Oficina de Seguridad Informática, y

• Jefes de la Oficina de Soporte Informático de los Organos Desconcentrados o quien haga sus veces.

. CONCEPTOS DE REFERENCIA

+ Archivo: Colección de datos estructurados, que pueden recuperarse fácilmente y usarse en una aplicación determinada.

+ Activos Informáticos: Son bienes tangibles e intangibles asociados con los sistemas de información, como son los activos de información (archivos y base


de datos, documentación, manuales, planes de continuidad), activos de software (aplicación, sistema operativo, herramientas de desarrollo), activos físicos (computadoras personales, equipos de comunicación, medios magnéticos) y servicios (alumbrado, energía, aire acondicionado).

+ Areas Seguras: Son los perímetros dentro de los cuales se encuentra equipamiento informático que procesa y/o almacena información sensible de la institución, como: el Centro de Computo de la Sede Central, Centro de Soporte Informático, Centro de Almacenamiento, Oficinas o ambientes con información secreta ó confidencial.

• Centro de Almacenamiento: Ambiente de custodia de los medios de almacenamiento.

+ Centro de Almacenamiento Interno: Ambiente de custodia de los medios de almacenamiento, ubicado dentro del centro de procesamiento de información o en el mismo edificio que se encuentra este.

• Centro de Almacenamiento Externo: Ambiente de custodia de los medios de almacenamiento, ubicado fuera del edificio en el que está el centro de procesamiento de información.

+ Centro de Cómputo (CC): Ambiente donde se centraliza el proceso de información a través de uno o más servidores.

+ Centro de Procesamiento de Información: Es el conjunto de recursos físicos, lógicos y humanos necesarios para la organización, realización y control de las actividades informáticas de una empresa. Puede ser un centro de cómputo, un Centro de Soporte informático o un ambiente en que se procesa información.

+ Centro de Soporte Informático: Ambiente físico de los Organos Desconcentrados en donde se tiene instalado: servidores que contienen sistemas de información corporativos y distribuidos, otros equipos de cómputo y dispositivos de soporte informático. Estas áreas informáticas dependen funcionalmente de la Gerencia Central de Organización e Informática.

+ Contraseña o Password: Es una combinación de letras, números y signos que debe digitarse para obtener acceso al arranque o inicio de un equipo de. cómputo, protector de pantalla, computadora personal, un punto en la red, programa, aplicativo, entre otros.

+ Custodios: Los custodios de la información son aquellos que tienen la posesión física ó lógica de los aplicativos y la información.

+ Estándar: Regla que especifica una acción ó respuesta que se debe seguir a una situación dada.

+ EIA/TIA: Telecommunications lndustry Association / Electronic Industries Alliance

+ Información: Conjunto de datos sobre una materia determinada. Tras la revolución industrial, se habla de la revolución de la información, que se ha convertido en el mayor valor de las empresas y de las personas. Adopta diversas formas puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en vídeo o reproducida verbalmente.

+ Licencia: Es la autorización o permiso que concede el Titular de los derechos (Licenciante) al usuario de la obra u otra producción protegida (Licenciatario), para utilizarla en una forma determinada y de conformidad con las condiciones convenidas en el contrato de licencia.

+ NAS: Los sistemas NAS (Network Attached Storage o almacenamiento adjunto a la red) se pueden definir como sistemas independientes de almacenamiento compartido que se conectan directamente a la red y que son accesibles por cualquier número de clientes y servidores heterogéneos. El sistema NAS dispone de su propia dirección de red, en lugar de estar conectado físicamente a

Norma de Seguridad Física y del Entorno 5 de20

un servidor que sirva las aplicaciones o los datos a los usuarios de las estaciones de trabajo.

+ NFPA70: Norma internacional de barreras y protección contra fuego. + Normas: Reglas, directrices o características que determinan los patrones o

modelos que se deben seguir. + Política: Declaración general de principios que presenta la Administración para

un área de control definida. Las políticas son plasmadas y soportadas por normas, estándares, mejores prácticas, guías y procedimientos. Las políticas son obligatorias y pueden considerarse el equivalente de una ley propia de la organización.

+ Procedimiento: Definen específicamente cómo las políticas, estándares, mejores prácticas y guías serán implementadas en una situación dada. Los procedimientos son dependientes de la tecnología o de los procesos y se refieren a plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implantar la seguridad relacionado a dicho proceso o sistema especifico.

+ Programa: Conjunto de instrucciones ordenadas correctamente, que permiten realizar una tarea o trabajo específico, escritas en un lenguaje de programación determinado.

+ Protector de Pantalla: Programa de protección de ingreso a la computadora, que se activa automáticamente cuando el equipo no esta siendo usado, por un lapso determinado de tiempo.

+ Recurso Informático: Ver el concepto "Activos Informáticos". + Red de Datos: Conjunto de computadoras, conectadas por un medio físico o

inalámbrico que ejecutan un software especializado, que permite a las computadoras comunicarse y transmitir datos unas con otras.

+ Servidor: Computadora que ejecuta uno o más programas simultáneamente con el fin de distribuir información a las computadoras personales que se conecten con él para dicho fin. Vocablo más conocido bajo su denominación inglesa 'server'.

+ Software: Conjunto de instrucciones que tienen como finalidad dotar a la computadora de la capacidad de actuación, determinando sus posibilidades de uso y aplicaciones concretas. Generalmente es clasificado como Software de Base, Software Comercial y Software de Aplicaciones.

7. DISPOSICIONES GENERALES

a. La Gerencia de Producción de la Gerencia Central de Organización e Informática y/o la Oficina de Seguridad Informática, dentro de su ámbito correspondiente y conforme a los recursos humanos y técnicos a su disposición, son responsables de elaborar, mantener e implantar los procedimientos, guías y buenas prácticas que se derivan de la presente norma.

La Gerencia de Producción de la Gerencia Central de Organización e Informática, mantendrá una bitácora centralizada con todos los procedimientos, guías, y buenas prácticas resultado de la presente norma.

c. Las medidas de protección que se establezcan en la presente Norma tienen como alcance a todos los equipos informáticos y/o dispositivos de soporte informático que se encuentren bajo responsabilidad de EsSalud, sean estos de su propiedad o no.


d. La presente Norma reconoce únicamente al Centro de Cómputo de la Sede Central y a los Centros de Soporte 1 nformático de los Organos Desconcentrados, ambos bajo la administración funcional de la Gerencia Central de Organización e Informática, como los Centros de Procesamiento de Información en EsSalud y sujetos, dentro de este contexto, a la aplicación de las medidas de protección que se establecen en la presente Norma.

e. La Unidad Orgánica que no está considerada dentro de la definición señalada en el literal indicado como d. del presente capítulo y que dispone en sus instalaciones de equipos informáticos que cumplen función de servidores y/o realizan labores de procesamiento informático, en los próximos noventa (90) días calendario de puesta en vigencia la presente norma debe coordinar, evaluar y acordar conjuntamente con la Gerencia Central de Organización e Informática el plan de entrega de los recursos físicos y/o humanos pertenecientes a la Unidad Orgánica y comprometidos en estas labores informáticas, para que en adelante sean asignados bajo la administración funcional de esta Gerencia Central. Dicho plan detallará las actividades a realizarse, las fechas de conclusión de las mismas, la relación de personas involucradas a la fecha, la relación de recursos informáticos involucrados, los recursos a ser reasignados, entre otros.

Esta Unidad Orgánica será responsable de gestionar la asignación del presupuesto necesario y ejecutar las acciones pertinentes con las áreas competentes para el cumplimiento del Plan acordado.

f. La Unidad Orgánica que no está considerada dentro de la definición señalada en el literal indicado como d. del presente capítulo y que dispone en sus instalaciones de equipos informáticos que cumplen función de servidores y/o realizan labores de procesamiento informático y que no ha cumplido con declarar y/o entregar los recursos técnicos y/o humanos conforme a lo señalado en el literal anterior indicado como e. del presente capítulo:

i. No está autorizada de iniciar acciones para implementar las medidas de protección establecidas en la presente Norma, pues todo centro de procesamiento de información de la Institución debe estar bajo la administración de la Gerencia Central de Organización e Informática.

ii. La Jefatura de dicha Unidad Orgánica asumirá la responsabilidad total por los daños, perjuicios, alteraciones, pérdida y afectaciones de la parte física, de la parte lógica, del software base y aplicativo así como de la información contenida en dichos equipos.

La Gerencia Central de Organización e Informática, informará a la Gerencia General de todos los centros de procesamiento de información que tengan conocimiento de su existencia y que no han cumplido con la instrucción señalada en el literal indicado como e. del presente capítulo, alertando sobre los riesgos que ello implica.

h. Las Gerencias y Jefaturas de las Unidades Orgánicas dentro de su ámbito, deben proveer de los recursos necesarios para el cumplimiento de la presente norma.

i. Las responsabilidades que se definen en la presente norma a la Gerencia Central de Organización e Informática con respecto a las áreas seguras son


referidos al Centro de Computo de la Sede Central y a los Centros de · Almacenamiento de la Sede Central.

j. Las responsabilidades que se definen en la presente norma a las Gerencias Administrativas o a los Jefes de las Oficinas de Soporte Informático o quien haga sus veces, según se especifique con respecto a las áreas seguras, es referido al Centro de Soporte Informático y a los Centros de Almacenamiento de las Redes y/o Centros Asistenciales y/o Centros Especializados, dentro de su ámbito.

k. Las responsabilidades que se definen en la presente norma respecto a las áreas seguras referidas como Oficinas o ambientes con información secreta ó confidencial son atribuibles a las Gerencias y/o Jefaturas de dichas Unidades Orgánicas.

l. La Gerencia y/o Jefatura encargada de administrar y asignar la codificación patrimonial de las Unidades Orgánicas tanto en la Sede Central como en los Organos Desconcentrados, debe considerar la opción de calificar a las Unidades Orgánicas como Areas Seguras.

m. Los responsables de las Áreas Seguras conforme lo señala la presente norma dentro de su ámbito, deben comunicar a la Gerencia y/o Jefatura encargada de administrar y asignar la codificación patrimonial de las Unidades Orgánicas para que registre a dichos ambientes con el atributo especial de "Area Segura".

DISPOSICIONES ESPECÍFICAS

Las medidas de seguridad son descritas considerando la siguiente estructura:

a) De las Areas Seguras

• Perímetro de la Seguridad Física. • Controles Físicos de las Entradas. • Seguridad de Oficinas, Despachos y Recursos. • El Trabajo en las Areas Seguras. • Areas Aisladas de Carga y Descarga. • Ubicación y Ambiente Físico.

b) De la Seguridad de los equipos

• Instalación y Protección de Equipos. • Suministro Eléctrico. • Seguridad del Cableado. • Mantenimiento de Equipos. • Seguridad de Equipos Fuera de los Locales de la Organización. • Seguridad en el Reuso o Eliminación de los Equipos.

e) De los Controles Generales

• Política de Puesto de Trabajo y Bloqueo de Pantalla. • Extracción de Pertenencias.


,~Fr . (,-'· . ~ ... \ f2 . s ~\ ~ G NT ¡¡

\ \'&. .. ______ ;_~/ LU\l ~i;,

8.1. De las Areas Seguras

8.1.1. Perímetro de la Seguridad Física

1. Es Responsabilidad de la Gerencia de Producción de la Gerencia Central de Organización e Informática, de las Gerencias Administrativas o quien haga sus veces en las Redes Asistenciales y Centros Especializados, dentro de su ámbito, de:

a. Coordinar ante el área técnica correspondiente, para que los centros de procesamiento de información que están localizados entre paredes de vidrio o grandes ventanas de vidrio en planta baja se les instale las medidas de protección de las ventanas que conforman el perímetro para hacerlos menos vulnerables ante condiciones extremas de presión o fuerza.

b. Cautelar que las áreas seguras sean ambientes completamente cerrados y restringidos en sus accesos al personal únicamente autorizado.

8.1.2. Controles Físicos de las Entradas

1. Todo trabajador contratado bajo cualquier modalidad, es responsable de:

a. Ingresar a áreas restringidas, contando con la autorización respectiva.

b. Acceder sólo durante horas oficiales de trabajo a las instalaciones u oficinas, en donde se maneje información secreta o confidencial.

c. Reportar inmediatamente a la Jefatura encargada de la Seguridad Integral de Personas y Bienes dentro de su ámbito correspondiente el caso de la pérdida o robo de su documento de identificación (fotochecks) o se sospeche de ello.

d. Asegurarse que todas las personas que ingresen a las áreas restringidas que están bajo su custodia, tengan la autorización de ingreso respectiva.

2. Es responsabilidad de las Gerencias y , Jefaturas de las Unidades Orgánicas dentro de sus ámbitos correspondientes, de:

3.

a. Autorizar el ingreso del personal a ambientes definidos como áreas seguras.

b. Revisar, en un período max1mo de cada seis (6) meses, las autorizaciones otorgadas al personal, para acceder a las áreas seguras.

c. Hacer cumplir el uso visible de la identificación (fotocheck) a todo trabajador, al personal temporal o al personal de visita.

Es Responsabilidad de la Jefatura de la Unidad Orgánica encargada de la seguridad integral de personas y bienes tanto en la Sede Central como en los Organos Desconcentrados, de cautelar, por:


a. La identificación de todo visitante mediante un documento público personal e intransferible que contenga fotografía y firma, y la autorización respectiva antes de ingresar a áreas seguras de la Institución.

b. La revisión de todo maletín, maleta, bolsa de mano y/u otro equipaje de las personas que se retiran de la Institución, a fin de evitar la sustracción de información valiosa, equipos de cómputo o equipos de comunicación.

c. Mantener registros de las personas que han ingresado a las instalaciones u oficinas de EsSalud.

4. Es Responsabilidad de la Gerencia de Producción de la Gerencia Central de Organización e Informática, de los Jefes de las Oficinas de Soporte Informático de las Redes Asistenciales, Centros e Institutos Especializados o quien haga sus veces, dentro de su ámbito, de:

a. Prohibir a los programadores y usuarios en general, el ingreso al interior de los Centros de Procesamiento de Información, salvo causas justificadas y debidamente autorizadas.

b. Coordinar, las visitas públicas autorizadas a las instalaciones de los centros de procesamiento de información y/o sistemas de comunicación.

5. Es Responsabilidad de la Gerencia Central de Organización e Informática, realizar las gestiones necesarias ante la dependencia correspondiente y a su vez asegurarse que sus ambientes principales de la Sede Central incluido el centro de procesamiento de la Sede Central cuente con personal de vigilancia para cubrir labores de comprobación de accesos y labores de monitoreo mediante cámaras de vigilancia.

8.1.3. Seguridad de Oficinas, Despachos y Recursos

1. Es responsabilidad de la Jefatura de la Unidad Orgánica encargada de la seguridad integral de personas y bienes tanto en la Sede Central como en los Organos Desconcentrados, con respecto a las Areas Seguras, de:

a. Dotarlas de indicadores de señalización, como: "Zona Segura", "No Fumar", "Escape", "Peligro", entre otras.

b. Gestionar y asegurar la disponibilidad de salidas de emergencia, debidamente señalizadas.

c. Dotarlas con planes de evacuación, debidamente comprobados mediante simulacros.

d. Asegurar que no se señalice la ubicación de las áreas seguras.

e. Cautelar que las ventanas y puertas permanezcan cerradas, cuando la instalación se encuentre vacía.


f. Controlar y asegurar que los materiales peligrosos y combustibles se almacenen distante del Area Segura.

2. Es Responsabilidad de la Gerencia de Producción de la Gerencia Central de Organización e Informática, de las Gerencias Administrativas o quien haga sus veces en las Redes Asistenciales, Centros e Institutos Especializados, dentro de su ámbito, de:

a. Realizar las coordinaciones con las áreas correspondientes, a efecto que las áreas seguras cuenten con buena iluminación que facilite la operación de los equipos y el mantenimiento de los mismos.

b. Cautelar que las áreas seguras se ubiquen fuera del tránsito regular del personal en general.

c. Verificar y cautelar que los recursos de tratamientos de información gestionados por la Institución se encuentren separados físicamente de los gestionados por terceros.

3. Es responsabilidad de la Jefatura de la Unidad Orgánica encargada de la administración y mantenimiento de las instalaciones sanitarias tanto en la Sede Central como en los Organos Desconcentrados, de que los sistemas de agua y desagüe que se encuentran en el entorno de las áreas seguras sean ubicados en los niveles inferiores, verificando periódicamente el estado de las griferías y cañerías a fin de evitar posibles inundaciones.

8.1.4. El Trabajo en las Areas Seguras

1. Las Gerencias y Jefaturas de las Unidades Orgánicas encargadas de las Areas Seguras y dentro de sus ámbitos correspondientes, son responsables de:

a. No permitir la presencia de equipos de fotografía, vídeo, audio u otras formas de registro a realizarse por terceros, salvo que la Gerencia autorizada exprese su conformidad.

b. Disponer que las labores realizadas por terceros dentro del recinto del área segura, sean supervisadas y vigiladas por personal interno a cargo de los mismos, hasta que se concluyan dichas labores.

8.1.5. Areas Aisladas de Carga y Descarga


a. Cautelar que las áreas de carga y descarga de insumos y suministros de cómputo se encuentren en ambientes separados de las áreas seguras para evitar accesos no autorizados.

8.1.6. Ubicación y Ambiente Físico



a. Cautelar que las áreas seguras no se ubiquen en lugares expuestos al peligro por sismos, contaminación, incendio, inundación, disturbios sociales y todo aquello que involucren riesgos.

b. Cautelar que las áreas seguras no compartan el ambiente con otra área ajena a sus labores, a fin de proteger la información y los recursos informáticos.

c. Cautelar que el área segura identificada como centro de procesamiento de información, se encuentre ubicado en un lugar del edificio lo suficientemente amplio para albergar los equipos de cómputo.

d. Mantener los dispositivos de red y los servidores en un lugar centralizado, donde se pueda preservar las medidas de seguridad física indicadas en la presente norma.

e. Asegurar que las tomas de aire de los equipos pertenecientes a áreas seguras se encuentren ubicados en zonas no susceptibles de ser obstruidas.

8.2. De la Seguridad de los Equipos

8.2.1. Instalación y Protección de Equipos

De la Instalación de Equipos

1. Es responsabilidad de las Gerencias y Jefaturas de las Unidades Orgánicas dentro de su ámbito, de:

a. Cautelar que los equipos informáticos para su uso interno no se instalen en lugares expuestos a la presencia abundante de polvo, ni cerca a instalaciones de agua y desagüe, tampoco en lugares con tráfico regular de personas que limiten y perturben su uso.

b. Verificar que en las áreas de atención directa al asegurado y/o derechohabiente, los equipos informáticos se instalen en ambientes debidamente acondicionados para su resguardo y protección y fuera del alcance del público en general.

c. Cautelar que los equipos informáticos se encuentren contenidos en mobiliarios· que protejan cada uno de sus componentes de golpes y/o acciones indebidas.

2. Es Responsabilidad de la Gerencia de Producción de la Gerencia Central de Organización e Informática, de los Jefes de las Oficinas de Soporte Informático o quien haga sus veces en las Redes Asistenciales, Centros e Institutos Especializados dentro de su ámbito, de cautelar, que:


a. Las instalaciones eléctricas y de cableado de datos de las áreas seguras se ciñan estrictamente a los requerimientos técnicos de los equipos.

b. Asegurarse que las áreas seguras no cuenten con instalaciones improvisadas o con sobrecarga de conexiones eléctricas.

c. El centro de procesamiento de información cuente con un plan de evacuación del hardware, que permita trasladar los equipos y dispositivos informáticos a otro edificio o departamento en un mínimo de tiempo y siguiendo un plan predeterminado. Debe contar con personal preparado para este cometido

De la protección de Equipos

1. Es responsabilidad de Todos los Trabajadores que tengan a su cargo equipos informáticos, de:

a. Apagar de inmediato su equipo de presentarse una situación de emergencia, informando a la brevedad a su Jefe inmediato superior de lo acontecido.

b. Apagar completamente su equipo al término de sus labores.

c. Asegurarse que cerca de los equipos informáticos no se consuma alimentos, no se fume o no se realicen actos que pongan en riesgo el funcionamiento o deterioren la información almacenada en los equipos de computo.

2. Es responsabilidad de la Jefatura de la Unidad Orgánica encargada de los Seguros Patrimoniales de la Institución tanto en la Sede Central como en los Organos Desconcentrados, de gestionar y asegurar la contratación de pólizas de seguros para recuperar el parque informático, en caso de siniestros que imposibiliten su uso.

3. Es Responsabilidad de la Gerencia de Producción de la Gerencia Central de Organización e Informática, de los Jefes de las Oficinas de Soporte Informático o quien haga sus veces en las Redes Asistenciales, Centros e Institutos Especializados, dentro de su ámbito, de:

a. Verificar la existencia y vigencia de pólizas de seguros del parque informático a su cargo.

b. Garantizar que en las áreas seguras, los servidores y demás equipos informáticos y de comunicaciones se encuentran instalados a un mínimo de 20 centímetros de altura del piso para hacer frente a problemas de inundaciones.

c. Controlar que las condiciones físicas y de entorno no sea contrarias a las instrucciones señaladas por el fabricante de los equipos, de los medios de comunicación y de los dispositivos de soporte.

d. Que los equipos de red, Servidores de archivos, sistemas NAS, Servidores de aplicaciones y/o recursos similares se encuentren

Norma de Seguridad Física y del Entorno 13 de 20

instalados en racks cerrados, en armarios con llave o en ambientes bajo control de acceso.

e. Que los equipos que se adquieran tengan entre sus componentes mecanismos de seguridad física implementada, como: dobles fuentes de alimentación, dispositivos tolerante a fallas, entre otros.

f. Que las cajas de las computadoras estén herméticamente cerrados para que impidan su apertura por manipuleo.

g. Dotar a las Areas Seguras identificadas como centro de procesamiento de información con Kits de herramientas para reparaciones menores.

Mecanismos de Seguridad

1. La Jefatura de la Unidad Orgánica encargada de la seguridad integral de personas y bienes tanto en la Sede Central como en los Organos Desconcentrados, debe recomendar para las áreas seguras la instalación de los detectores de humedad y de humo, sobre la base de identificar los riesgos existentes de producirse una inundación o empozamiento de agua o un incendio.

2. Es Responsabilidad de la Gerencia de Producción de la Gerencia Central de Organización e Informática, de los Jefes de las Oficinas de Soporte Informático o quien haga sus veces en las Redes Asistenciales, Centros e Institutos Especializados, dentro de su ámbito, que:

a. Las áreas seguras identificadas como centro de procesamiento de información y centro de almacenamiento deben tener instalado equipos de aire acondicionado, salvo que las condiciones actuales del ambiente lo sustituyan. El resto de las áreas deben contar con mecanismos de ventilación que aseguren un ambiente fresco y saludable.

b. El centro de cómputo de la Sede Central debe tener instalado equipos de aire acondicionado de respaldo.

c. Se cuente con un sistema contra incendios en el centro de procesamiento de información y en el centro de almacenamiento, en ambos casos de la Sede Central que ante la presencia de incendio logre detectarlo y automáticamente sofocarlo, las sustancias y medios utilizados por este sistema no deben contener residuos tóxicos que afectan la salud del trabajador y asimismo no deben comprometer el funcionamiento regular de los equipos, los medios magnéticos y la información que estos contienen.

d. Se cuente con extintores en las áreas seguras, hechos preferentemente de bióxido de carbono, productos químicos secos, líquido vaporizado u otras sustancias recomendables técnicamente. Estos equipos estarán al alcance inmediato del personal y deben mantener la vigencia de uso de su contenido.

3. Es Responsabilidad de la Gerencia de Producción de la Gerencia Central de Organización e Informática cautelar y gestionar para que en el centro de cómputo de la Sede Central se instalen sensores y alarmas para humedad,


líquidos, temperatura y flujos de aire efectivos a fin de mantener condiciones óptimas para el funcionamiento de los equipos.

8.2.2. Suministro Eléctrico

1. Es Responsabilidad de la Gerencia de Producción de la Gerencia Central de Organización e Informática, de las Gerencias Administrativas o quien haga sus veces en las Redes Asistenciales, Centros e Institutos Especializados, dentro de su ámbito, solicitar al área técnica correspondiente, para que:

a. Realice, previo a la instalación de equipos informáticos, los cálculos de la carga eléctrica requerida en los tableros de distribución, así como en los circuitos y conexiones que deben soportar la carga adicional proyectada.

b. Se instale en las áreas seguras identificadas como centro de procesamiento de información, lo siguiente: Circuitos alternos y tableros de distribución eléctrica independientes a cualquier otra conexión. Asimismo debe tenerse etiquetado el cableado, las extensiones y los tableros de distribución eléctrica.

c. Se instale en las áreas seguras identificadas como centro de procesamiento de información, lo siguiente: pozos puesta a tierra en exclusiva y conectados a su sistema eléctrico.

d. Mantenga los procedimientos de maniobras de encendido de emergencia en un lugar visible y accesible.

e. Capacite al personal correspondiente en el uso del equipo contra incendio.

f. Disponga las medidas necesarias que eviten:

i. La sobrecarga de los cables con extensiones o equipos de alto consumo.

ii. La Existencia de fuentes de líquidos o gas u otros componentes de riesgo, cercano a las conexiones eléctricas.

iii. La utilización de tomacorrientes tanto para equipos informáticos como para otros equipos o aparatos no informáticos ajenos a la función.

g. Verifique y supervise que se mantenga continuidad regular en cuanto al voltaje y amperaje en la alimentación eléctrica de las áreas seguras, neutralizando las variaciones provenientes de la fuente externa.

h. Se cuente en las áreas seguras identificadas como centros de procesamiento de información con UPS (Suministro de Energía Ininterrumpido) conectados a sus equipos informáticos.

i. Se cuente en el centro de procesamiento de información con Grupo Electrógeno, conectado a sus equipos, el cual debe ser revisado periódicamente de acuerdo a las instrucciones del fabricante, cumpliendo las pruebas y/o ensayos respectivos.


j. El sistema eléctrico cumpla los estándares señalados en el Código Nacional de Electricidad.

k. Se cuente con los recursos mínimos necesarios para garantizar la continuidad de funcionamiento del generador durante un período prolongado de seis (6) horas.

2. La Jefatura de la Unidad Orgánica encargada de la administración de los servicios eléctricos tanto en la Sede Central como en los Organos Desconcentrados, es responsable de la conservación, actualización y custodia de los planos de instalación eléctrica de los edificios y oficinas, dentro de su ámbito.

3. La Jefatura de la Unidad Orgánica encargada de la seguridad integral de personas y bienes tanto en la Sede Central como en los Organos Desconcentrados, debe dotar de luces de emergencia a los edificios y oficinas, para ser utilizadas en caso de fallas en la fuente principal de energía.

8.2.3. Seguridad del Cableado

1. La Jefatura de la Unidad Orgánica encargada de la administración de los servicios eléctricos tanto en la Sede Central como en los Organos Desconcentrados, es responsable de cautelar que los cableados eléctricos se encuentren contenidos en canaletas y/o medios de conducción fijos y empotrados.

2. La Gerencia de Producción de la Gerencia Central de Organización e Informática es responsable, de cautelar que:

a. Los medios de conexión, como: los cableados de datos o de telefonía se encuentren contenidos en canaletas y/o medios de conducción fijos y empotrados.

b. El sistema de cableado de red cumpla los estándares El.A/TIA y la norma NFPA70.

c. Los cables de la red eléctrica y los cables de comunicaciones deben estar separados para evitar interferencias, de acuerdo a las recomendaciones del fabricante y de los estándares en vigencia.

8.2.4. Mantenimiento de Equipos

Mantenimiento preventivo

1 . La Gerencia de Producción de la Gerencia Central de Organización e Informática, las Gerencias Administrativas o quien haga sus veces en las Redes Asistenciales, Centros e Institutos Especializados, dentro de su ámbito son responsables, de:

a. Que los equipos informáticos y los dispositivos de soporte informáticos cuenten con un programa anual de mantenimiento preventivo para asegurar sus condiciones operativas.


b. Cautelar y supervisar que las instrucciones del fabricante para la protección del equipamiento sean observadas permanentemente.

c. Que los pozos puesta a tierra tengan el mantenimiento preventivo como mínimo una vez al año, garantizándose que la resistencia eléctrica no exceda los limites fijados por las normas técnicas actuales.

d. Que el sistema contra incendios de las áreas seguras, sea probado por lo menos una vez al año, para verificar su operatividad.

e. Mantener un registro escrito de las fallas y los mantenimientos (preventivos y correctivos) realizados sobre los equipos informáticos y/o los dispositivos de soporte informáticos.

f. Elaborar un plan anual de revisión de los parámetros eléctricos (tensión y corriente en verdadero valor y los índices de armónicos) del centro de procesamiento de información. Asimismo debe considerarse en dicho plan el mantenimiento preventivo a los tableros y conexiones eléctricas.

8.2.5. Seguridad de Equipos Fuera de los Locales de la Organización

1. Es responsabilidad de la Gerencia de Producción de la Gerencia Central de Organización e Informática, de los Jefes de las Oficinas de Soporte Informático o quien haga sus veces en las Redes Asistenciales, Centros~ Institutos Especializados, dentro de su ámbito, de:

a. Supervisar y cautelar que el traslado de los equipos informáticos de EsSalud fuera de sus propias instalaciones mantenga el buen estado físico y técnico, así como la integridad, reserva y disponibilidad de la información contenida.

b. Supervisar que el ambiente ubicado fuera de los locales de la Institución y designado para la instalación de equipos informáticos de EsSalud, cuenten con las condiciones técnicas y de entorno señalados en las especificaciones técnicas de dichos equipos para su correcto funcionamiento.

c. Supervisar que la instalación de los equipos informáticos de EsSalud en ambientes externos no afecte el cumplimiento y aplicación de los programas de mantenimiento previamente establecidos.

2. Es responsabilidad de la Gerencia de Producción de la Gerencia Central de Organización e Informática, de gestionar ante la dependencia respectiva para que la cobertura de las pólizas de seguro de los recursos informáticos de la Institución, se encuentren cubiertas por pérdidas, deterioros y daños acontecidos fuera de sus instalaciones.

8.2.6. Seguridad en el Reuso o Eliminación de los Equipos

1 . Es responsabilidad de la Gerencia de Producción de la Gerencia Central de Organización e Informática, de los Jefes de las Oficinas de Soporte Informático de las Redes Asistenciales, Centros e Institutos Especializados o quien haga sus veces, dentro de su ámbito, de que:


a. Toda información ó software bajo licencia y residente en los equipos que serán dados de baja o reusados, deben ser previamente borrados, anulados o imposibilitados su uso.

b. Los equipos informáticos que se encuentren malogrados y que contengan información sensible o software licenciado, y que para su reparación deban ser trasladados fuera de las oficinas de EsSalud, previo a su traslado, primero debe copiarse dicha información en un medio de respaldo para que finalmente la misma sea eliminada de dichos equipos.

Controles Generales

1. Todos los trabajadores de Essalud que tengan a su cargo activos informáticos son responsables, de:

a. Mantener, resguardado en lugares seguros (como: Armarios, mobiliarios cerrados, escritorios, entre otros) y fuera del alcance de terceros los medios informáticos (como: Papeles, disquetes, CD's, impresos, memorias físicas, entre otras) que contengan información clasificada como secreta o confidencial para la organización.

b. Cuando se tenga que ausentar temporalmente de su puesto de trabajo y de tener encendido el equipo informático, deberá activar el protector de pantalla con contraseña o cualquier otra medida que no permita acceder a un tercero a la información contenida en su equipo.

c. Retirar, inmediatamente de las impresoras toda información clasificada como secreta o confidencial.

2. Todos los trabajadores de Essalud son responsables, de mantener la política de escritorios limpios una vez finalizada la jornada laboral.

8.3.2. Extracción de Pertenencias

1. Es responsabilidad de las Gerencias y/o Jefaturas de las Unidades Orgánicas de EsSalud, de:

a. Emprender las siguientes acciones en los casos en que activos informáticos designados bajo su custodia, sean otorgados en calidad de préstamo y trasladados fuera de la Institución o fuera de sus oficinas:

i. Establecer, el compromiso de devolución de dicho activo en una fecha determinada.

ii. Informar, al nuevo custodio sobre la información contenida (datos, aplicativos, software licenciados, entre otros) en dicho activo, para que este último tome las medidas de protección adecuadas que aseguren la preservación y confidencialidad de la información proporcionada.

iii. Gestionar y asegurarse que se inhabilite temporalmente los dispositivos y conexiones que permiten la grabación de información


en medios externos (como: disketeras, CD, conexiones USB, entre otros) de aquellos activos informáticos que almacenan información de las siguientes características: datos calificados como secretos o confidenciales, aplicativos, software licenciados, entre otros.

DISPOSICIONES COMPLEMENTARIAS

1. Las Gerencias y/o Jefaturas de las Unidades Orgánicas, responsables de implementar las medidas de protección contenidas en la presente norma, para la puesta en práctica de las mismas, deben proceder conforme a lo siguiente:

a) Elaborar Plan de Adecuaciones, el cual debe ser elaborado en los próximos noventa (90) días calendarios de la puesta en vigencia de la presente norma. El proyecto debe detallar la situación actual, el diagnóstico, plan de acción, requerimientos económicos, tiempos estimados para las adecuaciones, entre otros. En el caso que la Unidad Orgánica dependa funcionalmente de la Gerencia Central de Organización e Informática, el Plan debe ser presentado previamente a dicha Gerencia Central para su revisión y opinión. Caso contrario a continuación, debe procederse con lo descrito en el literal d) del presente capítulo.

b) Revisión y Opinión de la Gerencia Central de Oraanización e Informática, el cual debe ser emitido en los siguientes cuarenta y cinco (45) días calendarios contados a partir de la fecha en que se recibió el proyecto de adecuaciones señalado en el punto anterior.

e) Ajustes en la Formulación del Proyecto, de presentarse sugerencias y recomendaciones por parte de la Gerencia Central de Organización e Informática se tienen los siguientes treinta (30) días calendarios contados a partir de la fecha en que se recibió las opiniones de la Gerencia Central, conforme a lo indicado en el punto b) para realizar los ajustes al proyecto de plan.

d) Presentación. Conformidad y Aprobación del Plan de Adecuaciones, durante los siguientes sesenta (60) días calendarios contados a partir de la fecha en que se culminó las actividades señaladas en el punto indicado como a) ó en el punto anterior indicado como c), según corresponda, la Gerencia o Jefatura correspondiente presentará el Plan de Adecuaciones ante la Gerencia General para su aprobación así como para obtener la autorización en la disponibilidad de los recursos económicos que lo hagan viable.

e) Ejecución del Plan de Adecuaciones, una vez que la Gerencia General otorgue la aprobación y autorice la disponibilidad de los recursos económicos planteados, la Gerencia o Jefatura correspondiente procederá a la ejecución del Plan conforme a lo aprobado.

Es importante mencionar, que el punto indicado como d) del numeral 1. y del capitulo de "Disposiciones Complementarias" procederá siempre y cuando el plan demande la necesidad de contar con recursos económicos excepcionales, caso contrario la Gerencia de la Unidad Orgánica esta facultado para proceder con el plan presentado.


•

2. El personal que transgreda los enunciados y políticas contenidos en la presente norma, estará sujeto a las sanciones administrativas que determine la autoridad competente de acuerdo al nivel del involucrado y al régimen laboral al que pertenezca de conformidad con las normas legales e institucionales vigentes

3. El desconocimiento de las normas aquí descritas por parte del personal, no lo libera de las sanciones y/o penalidades por el incumplimiento de las mismas.

4. Todas las sospechas de violaciones de la norma, intrusiones al sistema, y otras condiciones que pondrían en riesgo la información o los activos informáticos, deben inmediatamente ser reportados a:

•

•

Mesa de Ayuda, anexos: 2646 ó a [email protected],y Oficina de Seguridad Informática, anexos: 2627 - 2638 [email protected]


la cuenta

ó a la cuenta

,EsSaludww1.essalud.gob.pe/compendio/pdf/0000003048_pdf.pdf · 2015-11-23 · EsSalud MAS SALUD...

Documents

Transcript of ,EsSaludww1.essalud.gob.pe/compendio/pdf/0000003048_pdf.pdf · 2015-11-23 · EsSalud MAS SALUD...