RESOLUCION No. 127 /2007 POR CUANTO: El Decreto Ley No.

204 de fecha 11 de enero de 2000, cambi la denominacin del Ministerio de Comunicaciones por la de Ministerio de la Informtica y las Comunicaciones, para desarrollar las tareas y funciones que hasta ese momento realizaba el Ministerio de Comunicaciones, as como las de Informtica y la Electrnica que ejecutaba el Ministerio de la Industria SideroMecnica y la Electrnica. POR CUANTO: El Consejo de Estado de la Repblica de Cuba, mediante Acuerdo de fecha 30 de agosto del 2006, design al que resuelve Ministro de la Informtica y las Comunicaciones. POR CUANTO: De conformidad con el Acuerdo No. 2817 de 25 de noviembre de 1994, adoptado por el Comit Ejecutivo del Consejo de Ministros, corresponde a los Jefes de los Organismos de la Administracin Central del Estado, dictar, en el lmite de sus facultades y competencia, reglamentos, resoluciones y otras disposiciones de obligatorio cumplimiento para el sistema del organismo, y en su caso, para los dems organismos, el sector mixto, privado y la poblacin. POR CUANTO: El Acuerdo No. 3736 de 18 de julio del 2000, adoptado por el Comit Ejecutivo del Consejo de Ministros, aprueba el objetivo, funciones y atribuciones especficas del Ministerio de la Informtica y las Comunicaciones, establecindose en su apartado 6, entre sus funciones especficas, las de establecer y controlar las normas y regulaciones relativas a la integridad y privacidad de la informacin; la seguridad e invulnerabilidad de las redes de infocomunicaciones; el diseo y documentacin de los sistemas informticos as como la inviolabilidad de la correspondencia postal y telegrfica. POR CUANTO: El Acuerdo No. 6058 del Comit Ejecutivo del Consejo de Ministros, de fecha 9 de julio del 2007, aprob los Lineamientos para el Perfeccionamiento de la Seguridad de las Tecnologas de la Informacin en el pas, disponiendo que el Ministerio de la Informtica y las Comunicaciones, implemente en el termino de seis meses un Reglamento de Seguridad para las Tecnologas de la Informacin que responda a las necesidades actuales en esta materia, para su aplicacin en todo el territorio nacional, as como las normas, regulaciones y procedimientos que se requieran para el cumplimiento de los citados Lineamientos. POR CUANTO: Los avances alcanzados en los ltimos aos en la informatizacin de la sociedad con el incremento de tecnologas de la informacin en todos los sectores y en particular de las redes informticas y sus servicios asociados, y el impulso orientado por la direccin del pas al desarrollo acelerado de programas que multipliquen dichos logros, requieren la adopcin de medidas que garanticen un adecuado nivel de seguridad para su proteccin y ordenamiento. POR CUANTO: La seguridad de las organizaciones, sistemas y redes de informacin estn constantemente amenazadas por diversas fuentes que incluyen ataques de distintos tipo y origen; la ocurrencia de catstrofes, errores de operacin y negligencias, aumentan los riesgos a que estn expuestos los servicios y protocolos utilizados, as como el contenido de la informacin tratada en dichos sistemas, todo lo cual puede afectar severamente la confidencialidad, integridad y disponibilidad de la informacin.

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 8812856 e-mail: ministro@mic.cu

POR CUANTO: A partir de las vulnerabilidades y debilidades propias de los sistemas informticos y de las dificultades y limitaciones que se presentan para detectar y neutralizar oportunamente las posibles acciones del enemigo en esta esfera, resulta necesario implementar un basamento legal que establezca los requerimientos de seguridad en el empleo de las tecnologas de la informacin a partir de criterios de racionalidad y utilidad, que resulten susceptibles de verificacin y propendan a la disminucin de los riesgos en la seguridad informtica. POR TANTO: En el ejercicio de las facultades que me estn conferidas, RESUELVO: PRIMERO: Aprobar y poner en vigor el Reglamento de Seguridad para las Tecnologas de la Informacin que se anexa a la presente Resolucin, formando parte integrante de la misma. SEGUNDO: Facultar a la Oficina de Seguridad para las Redes Informticas para implementar cuantas disposiciones complementarias se requieran para dar cumplimiento a lo que por la presente se dispone. TERCERO: Los Ministerios de las Fuerzas Armadas Revolucionarias y del Interior, adecuaran y regularan para sus sistemas lo dispuesto en la presente Resolucin, de conformidad con sus estructuras y particularidades. CUARTO: La presente Resolucin entrara en vigor y surtir plenos efectos legales a los treinta das posteriores de su publicacin en la Gaceta Oficial de la Repblica. COMUNIQUESE a los Jefes de los rganos y Organismos de la Administracin Central del Estado, Entidades Nacionales, y a cuantas personas naturales y jurdicas deban conocerla. ARCHIVESE el original en la Direccin Jurdica del Ministerio de la Informtica y las Comunicaciones. PUBLIQUESE en la Gaceta Oficial de la Repblica de Cuba. Dada en La Habana, a los 24 das del mes de Julio de 2007.

Ramiro Valds Menndez Ministro

LIC. ZENAIDA C. MARRERO PONCE DE LEON, DIRECTORA JURIDICA DEL MINISTERIO DE LA INFORMATICA Y LAS COMUNICACIONES. CERTIFICO: Que la presente Resolucin es copia fiel y exacta del original que obra en los archivos de esta Direccin a m cargo. La Habana, 30 de Julio del 2007.

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

ANEXO REGLAMENTO DE SEGURIDAD PARA LAS TECNOLOGAS DE LA INFORMACIN CAPITULO I GENERALIDADES Objetivos y Alcance ARTCULO 1: El presente Reglamento tiene por objeto establecer los requerimientos que rigen la seguridad de las tecnologas de la informacin y garantizar un respaldo legal que responda a las condiciones y necesidades del proceso de informatizacin del pas. Este Reglamento no sustituye las medidas especficas que norman el procesamiento de la informacin clasificada y limitada, que son objeto de normativas emitidas por el Ministerio del Interior. ARTCULO 2: El trmino Seguridad de las Tecnologas de la Informacin utilizado en este Reglamento est relacionado con la confidencialidad, integridad y disponibilidad de la informacin tratada por los ordenadores y las redes de datos. El empleo de otros trminos, tales como seguridad de la informacin, seguridad de los ordenadores, seguridad de datos o seguridad informtica, tienen a los efectos de lo que aqu se establece, el mismo significado. ARTCULO 3: Este Reglamento ser de aplicacin, en lo que a cada cual concierne, en todos los rganos y Organismos de la Administracin Central del Estado y sus dependencias; otras entidades estatales; empresas mixtas; sociedades y asociaciones econmicas que se constituyan de acuerdo a la Ley; entidades privadas radicadas en el pas; organizaciones polticas, sociales y de masas y personas naturales que posean o utilicen, en inters propio o de un tercero, tecnologas de la informacin. El cumplimiento de este Reglamento en reas sensibles que son objeto de la atencin directa del MININT y el MINFAR ser realizado por los especialistas de estos rganos designados al efecto. CAPITULO II DEL SISTEMA DE SEGURIDAD INFORMATICA.

ARTCULO 4: Cada entidad que haga uso para el desempeo de su actividad de las tecnologas de la informacin est en la obligacin de disear, implantar y mantener actualizado, un Sistema de Seguridad Informtica a partir de la importancia de los bienes a proteger y de los riesgos a que estn sometidos, con el fin de alcanzar los siguientes objetivos: Minimizar los riesgos sobre los sistemas informticos. Garantizar la continuidad de los procesos informticos. ARTCULO 5: A partir del Sistema de Seguridad Informtica diseado, cada entidad elaborar su Plan de Seguridad Informtica. ARTCULO 6: El diseo del Sistema de Seguridad Informtica y la elaboracin del Plan de Seguridad Informtica de cada entidad se realizarn en correspondencia con las metodologas establecidas al respecto por la Oficina de Seguridad para las Redes Informticas, adscripta al Ministerio de la Informtica y las Comunicaciones.

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

ARTCULO 7: Los jefes de entidades responden por la actualizacin de los Planes de Seguridad Informtica, considerando para ello los siguientes factores: a) La aparicin de nuevas vulnerabilidades. b) Los efectos de los cambios de tecnologa o de personal. c) La efectividad del sistema, demostrada por la naturaleza, nmero y dao ocasionado por los incidentes de seguridad registrados; ARTCULO 8: En los rganos y Organismos de la Administracin Central del Estado y en aquellas organizaciones en que las tecnologas de la informacin son determinantes para su gestin se dispondr de los cargos de especialistas de Seguridad Informtica que se requieran para atender esta actividad, los cuales tendrn las siguientes atribuciones y funciones: a) Organizar y controlar la actividad de Seguridad Informtica. b) Evaluar el estado de cumplimiento y aplicacin de la base legal vigente en la materia. c) Supervisar el trabajo del personal que responde por la Seguridad Informtica en las entidades y organizar su preparacin. d) Proponer medidas ante violaciones de la base legal establecida en la materia. ARTCULO 9: Los jefes a las diferentes instancias en los rganos, organismos y entidades responden por la proteccin de los bienes informticos que le han sido asignados y tienen las siguientes obligaciones: a) Identificar los requerimientos de seguridad de los bienes informticos bajo su responsabilidad y de las aplicaciones en desarrollo, determinar el nivel de acceso de los usuarios a los mismos y la vigencia de estos accesos. b) Participar en el diseo del Sistema de Seguridad y en la elaboracin, evaluacin y actualizacin del Plan de Seguridad Informtica en la parte que concierne a su esfera de accin y garantizar su cumplimiento. c) Aplicar las medidas y procedimientos establecidos en su rea de responsabilidad. d) Especificar al personal subordinado las medidas y procedimientos establecidos y controlar su cumplimiento. e) Participar en la elaboracin de los procedimientos de recuperacin ante incidentes de seguridad y en sus pruebas peridicas. f) Imponer o proponer sanciones ante violaciones del Sistema de Seguridad, en correspondencia con su naturaleza y con los daos ocasionados. ARTCULO 10: El responsable de la actividad informtica en cada entidad tiene las siguientes obligaciones: a) Participar en el diseo del Sistema de Seguridad y en la elaboracin, evaluacin y actualizacin del Plan de Seguridad Informtica, supervisar su aplicacin y disciplina de cumplimiento. b) Establecer y mantener los controles en correspondencia con el grado de proteccin requerido por el Sistema de Seguridad Informtica diseado. c) Garantizar la disponibilidad de los bienes informticos. d) Asesorar a las distintas instancias sobre los aspectos tcnicos vinculados con la seguridad de las tecnologas de la informacin. e) Establecer los controles necesarios para impedir la instalacin de cualquier tipo de hardware o software sin la autorizacin de la Direccin de la Entidad. f) Participar en la elaboracin de los procedimientos de recuperacin ante incidentes de seguridad y en sus pruebas peridicas.
Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

g) Informar a los usuarios de las regulaciones establecidas. ARTCULO 11: Los usuarios de las tecnologas de la informacin asumen en primera instancia la responsabilidad de las consecuencias que se deriven de la utilizacin impropia de las mismas. ARTCULO 12: Los usuarios de las tecnologas de informacin en rganos, organismos y entidades tienen las siguientes obligaciones: a) Adquirir la preparacin necesaria y los conocimientos de Seguridad Informtica imprescindibles para el desempeo de su trabajo. b) Contar con la autorizacin expresa del jefe facultado, para obtener acceso a cualquiera de los bienes informticos. c) Utilizar las tecnologas de informacin solo en inters de la entidad. d) No transgredir ninguna de las medidas de seguridad establecidas. e) Proteger las tecnologas o la terminal de red que le ha sido asignada y colaborar en la proteccin de cualquier otra, para evitar que sea robada o daada, usada la informacin que contiene o utilizado de manera impropia el sistema al que est conectada. f) No instalar ni utilizar en las tecnologas equipamientos o programas ni modificar la configuracin de las mismas, sin la correspondiente autorizacin del jefe facultado. g) Cumplir las reglas establecidas para el empleo de las contraseas. h) Informar al dirigente facultado de cualquier anomala de seguridad detectada.

CAPITULO III
EMPLEO CONVENIENTE Y SEGURO DE LAS TECNOLOGAS DE LA INFORMACION

Seccin Primera Clasificacin y control de bienes informticos ARTCULO 13: Los bienes informticos de una entidad deben ser utilizados en las funciones propias del trabajo en correspondencia con su objeto social. ARTCULO 14: Todos los bienes informticos de una entidad debern estar identificados y controlados, para lo cual se conformar y mantendr actualizado un inventario de stos incluyendo sus componentes y las especificaciones tcnicas de aquellos que pudieran ser suplantados. ARTCULO 15: Cada uno de los bienes informticos de una entidad tienen que ser puestos bajo la custodia documentada legalmente de una persona, que actuando por delegacin de la direccin de la entidad, es responsable de su proteccin. ARTCULO 16: Los jefes de entidades instrumentarn los procedimientos que se requieran para garantizar la autorizacin y el control sobre el movimiento de los bienes informticos, los cuales debern ser considerados a esos efectos de igual forma que el resto de los medios de la entidad.

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

Seccin Segunda Del personal

ARTCULO 17: Las funciones y responsabilidades de seguridad, tanto general como especfica, sern documentadas y se incluirn dentro de las responsabilidades laborales del personal. ARTCULO 18: El personal previsto para ocupar cargos vinculados a la actividad informtica en rganos, organismos, entidades, organizaciones polticas, sociales y de masas, incluyendo personal eventual, estudiantes insertados y otros casos similares con acceso a sistemas crticos, a informacin de valor o a la supervisin y seguridad de los sistemas, deber ser seleccionado adecuadamente. ARTCULO 19: Los trminos y condiciones del contrato de empleo incluirn la obligacin de la entidad contratante en cuanto a la preparacin del contratado, as como la responsabilidad del trabajador hacia la Seguridad Informtica, precisando que este ltimo aspecto mantiene su vigencia una vez finalizada la relacin laboral. Debern incluirse las acciones a tomar en caso que el trabajador pase por alto los requerimientos de seguridad. ARTCULO 20: La utilizacin de las tecnologas y sus servicios asociados en cada entidad estar aprobada previamente por la direccin de la misma y basada en cada caso en la necesidad de uso por inters de la propia entidad. ARTCULO 21: El uso no autorizado de las tecnologas de informacin y sus servicios asociados constituye una violacin de los derechos de la entidad que es sancionable. Es un deber y un derecho de la direccin de cada entidad la supervisin del empleo de las tecnologas de la informacin por parte de los usuarios. ARTCULO 22: Los Jefes a cada nivel, garantizarn que el personal vinculado a las tecnologas de la informacin est capacitado para la utilizacin de las mismas, as como que conozca sus deberes y derechos en relacin con el Sistema de Seguridad Informtica implementado, los cuales debern firmar una declaracin como constancia de su conocimiento y compromiso de cumplimiento, que se incluir en el contrato de trabajo. ARTCULO 23: El acceso a las facilidades de procesamiento y a los servicios que brindan las tecnologas por parte de personal que no forme parte de la plantilla ser en todos los casos objeto de una estricta autorizacin y control por parte de la direccin de cada entidad y a partir de los riesgos que esto pueda introducir se establecern los requerimientos especficos que correspondan para garantizar la seguridad. ARTCULO 24: Los usuarios de las tecnologas de la informacin estn en la obligacin de informar de inmediato cualquier incidente de seguridad, debilidad o amenaza a sistemas o servicios y las direcciones correspondientes exigirn su cumplimiento. ARTCULO 25: Constituye una violacin grave de la seguridad la realizacin de acciones de comprobacin de vulnerabilidades contra sistemas informticos nacionales o extranjeros.

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

ARTCULO 26: Ninguna persona est autorizada a introducir, ejecutar, distribuir o conservar en los medios de cmputo programas que puedan ser utilizados para comprobar, monitorear o transgredir la seguridad, as como informacin contraria al inters social, la moral y las buenas costumbres, excepto aquellas aplicaciones destinadas a la comprobacin del sistema instalado en la organizacin para uso por especialistas expresamente autorizados por la direccin de la misma. En ningn caso este tipo de programas o informacin se expondr mediante las tecnologas para su libre acceso. Seccin Tercera Seguridad Fsica y Ambiental

ARTCULO 27: La direccin de cada entidad determinar las tecnologas de informacin que por las funciones a que estn destinadas, la informacin que contengan y las condiciones de los locales en que se encuentren ubicadas, requieran la aplicacin especfica de medidas de proteccin fsica.

ARTCULO 28: Las tecnologas de la informacin se ubicarn en reas que garanticen la aplicacin de medidas alternativas que permitan la creacin de una barrera de proteccin a estos medios e impidan su empleo para cometer acciones malintencionadas o delictivas. ARTCULO 29: En los edificios e instalaciones de cada entidad se determinarn reas o zonas controladas con requerimientos especficos, protegidas por un permetro de seguridad definido en dependencia de la importancia de los bienes informticos contenidos en ellas y su utilizacin, de acuerdo con los criterios y denominaciones siguientes: a) reas limitadas, son aquellas donde se concentran bienes informticos de valor medio cuya afectacin puede determinar parcialmente los resultados de la gestin de la entidad o de terceros. b) reas restringidas, son aquellas en que se concentran bienes informticos de alto valor e importancia crtica cuya afectacin pueda paralizar o afectar severamente la gestin de ramas o sectores de la economa o de la sociedad; territorios o entidades. c) reas estratgicas, son aquellas en que se concentran bienes informticos de alto valor e importancia crtica que inciden de forma determinante en la seguridad y la defensa nacional; la seguridad aeronutica; biolgica; industrial; la generacin y distribucin de energa elctrica; las redes informticas y de comunicaciones del pas; las relaciones exteriores y de colaboracin; la economa nacional; las investigaciones cientficas y el desarrollo tecnolgico; la alimentacin de la poblacin; la salud pblica y el suministro de agua. ARTCULO 30: Las reas o zonas controladas estarn protegidas con medidas adecuadas para garantizar el acceso exclusivamente al personal autorizado. ARTCULO 31: La seleccin y diseo de las reas controladas tomar en cuenta la posibilidad de dao por fuego, inundacin, explosin, perturbaciones del orden y otras formas de desastre natural o artificial. ARTCULO 32: El equipamiento instalado en las reas controladas estar protegido contra fallas de alimentacin y otras anomalas elctricas, incluyendo el uso de fuentes de alimentacin alternativas para los procesos que deban
Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

continuar en caso de un fallo de electricidad prolongado y ser ubicado y protegido de manera tal que se reduzcan los riesgos de amenazas ambientales y oportunidades de cualquier tipo de acceso no autorizado. ARTCULO 33: En las reas Limitadas se aplicarn las medidas de proteccin fsica siguientes: a) Se ubicarn en locales cuyas puertas y ventanas estn provistas de cierres seguros; b) A los locales que tengan ventanas que se comuniquen con el exterior de la instalacin, se le aplicarn medidas que garanticen su seguridad y que eviten la visibilidad hacia el interior del mismo; c) Se prohbe el acceso de personal no autorizado por la direccin de la entidad. d) Se prohbe la permanencia del personal fuera del horario laboral sin la debida justificacin y autorizacin por escrito de la direccin de la entidad. Las autorizaciones referidas sern conservadas para su verificacin en caso de necesidad. ARTCULO 34: En las reas Restringidas, adems de las medidas requeridas en las reas Limitadas, se aplicarn las siguientes: a) Tienen que permanecer cerradas, incluso cuando existan personas laborando en ellas, y el acceso a las mismas debe ser controlado mediante los documentos de registro que para ello se establezcan; b) El personal que acceda a estas reas deber cumplir requisitos especiales de idoneidad. c) Los medios informticos no podrn estar conectados de manera fsica o lgica a medios que se encuentren fuera del alcance de estas reas ni a redes pblicas de transmisin de datos; d) Se aplicarn sistemas de deteccin y alarma que permitan una respuesta , efectiva ante accesos no autorizados cuando no se encuentre el personal que labora en las mismas; e) Se implementarn mecanismos y procedimientos de supervisin de la actividad que se realiza en estas reas; f) Se prohbe la introduccin de soportes pticos y magnticos personales, excepto los que hayan sido autorizados de forma expresa por la direccin de la entidad. g) Se prohbe la introduccin de cmaras fotogrficas, de grabacin de imgenes o cualquier tipo de almacenamiento digital ajeno a la misma. ARTCULO 35: En las reas Estratgicas, adems de las medidas requeridas en las reas Restringidas y Limitadas, se aplicarn las siguientes: a) Todo el personal que labora en ellas o que por razones de servicio sea autorizado a permanecer en las mismas, deber contar con una identificacin personal visible que distinga el rea. b) Se implementarn medios especiales de supervisin de la actividad que en ellas se realiza; c) El acceso a estas reas por personas ajenas a la misma solo se realizar de manera excepcional, restringida y bajo supervisin, mediante un permiso especial en cada caso emitido por la direccin de la entidad. ARTCULO 36: Todas las tecnologas de informacin, independientemente de su importancia, se protegern contra alteraciones o sustracciones, ya sea de stas o sus componentes, as como de la informacin que contienen.

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

ARTCULO 37: En las redes de las entidades los cables de alimentacin o de comunicaciones que transporten datos o apoyen los servicios de informacin se protegern contra la intercepcin o el dao. Los cables de alimentacin debern estar separados de los cables de comunicaciones para evitar la interferencia. ARTCULO 38: Los jefes de entidades garantizarn que el equipamiento reciba el mantenimiento correcto de acuerdo con los intervalos de servicio y especificaciones recomendados por el fabricante para asegurar su disponibilidad e integridad continuas. En caso de necesidad de envo de equipamiento fuera de las instalaciones para que reciban mantenimiento, se realizar en correspondencia con los procedimientos que se establezcan previamente para ello, observando las regulaciones establecidas en el pas en materia de proteccin a la informacin. ARTCULO 39: El uso fuera de las instalaciones de una entidad de cualquier equipo para el procesamiento de informacin tiene que estar autorizado legalmente por la direccin de la misma mediante el documento correspondiente. La seguridad que se le garantice deber ser equivalente a la que tiene en las instalaciones habituales el equipamiento usado para el mismo propsito, tomando en cuenta los riesgos de trabajar fuera de la instalacin. ARTCULO 40: El equipamiento que cause baja o sea destinado para otras funciones ser objeto de un procedimiento adecuado para evitar que la informacin que contiene pueda resultar comprometida. Los dispositivos de almacenamiento que contengan informacin crtica para la entidad debern destruirse fsicamente o sobrescribirse mediante un proceso completo en lugar de borrarlos como usualmente se hace. ARTCULO 41: Se prohbe el movimiento sin autorizacin de los equipos, la informacin o el software y en caso de que se autorice ser realizado mediante un documento oficial que demuestre su legalidad y el movimiento deber registrarse a la salida y a la entrada al reintegrarse el medio a su origen. Se debern realizar inspecciones sorpresivas para detectar las extracciones no autorizadas. Seccin Cuarta Seguridad de Operaciones ARTCULO 42: Al determinar las responsabilidades que se asignan al personal se tendr en cuenta el principio de separacin de funciones, considerando aquellas tareas que no deben ser realizadas por una misma persona, a fin de reducir oportunidades de modificacin no autorizada o mal uso de los sistemas informticos. ARTCULO 43: La introduccin en una entidad de nuevos sistemas informticos, actualizaciones y nuevas versiones ser aprobada previamente a partir de su correspondencia con el sistema de seguridad establecido y los resultados de las pruebas que se realicen para determinar si cumple los criterios de seguridad apropiados. ARTCULO 44: Las acciones para cubrir las brechas de seguridad y la correccin de los errores del sistema debern estar minuciosamente controladas en cada entidad. Los procedimientos debern asegurar que:

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

a) b) c)

solo el personal claramente identificado y autorizado tenga acceso a sistemas en funcionamiento y a los datos; todas las acciones de emergencia tomadas sean documentadas detalladamente; la accin de emergencia sea reportada a la direccin y realizada de manera ordenada; Seccin Quinta Identificacin, autenticacin y control de accesos

ARTCULO 45: En los sistemas en que es posible el acceso por mltiples usuarios se dispondr para cada uno de ellos de un identificador de usuario personal y nico. Las personas a las que se asignen identificadores de usuarios responden por las acciones que con ellos se realicen. ARTCULO 46: La asignacin de nuevos identificadores de usuarios en los sistemas se realizar a partir de un procedimiento que incluya la notificacin del jefe inmediato del usuario. En caso de terminacin de la necesidad del uso de los sistemas por el cese de la relacin laboral u otras causas, se proceder de forma anloga para la eliminacin del identificador de usuario. ARTCULO 47: Para la utilizacin de contraseas como mtodo de autenticacin de usuarios, se cumplirn los siguientes requisitos: a) Sern privadas e intransferibles. b) Su estructura, fortaleza y frecuencia de cambio estarn en correspondencia con el riesgo estimado para el acceso que protegen. c) Combinarn en todos los casos letras y nmeros sin un significado evidente, con una longitud mnima de 6 caracteres. d) No pueden ser visualizadas en pantalla mientras se teclean. e) No pueden ser almacenadas en texto claro (sin cifrar) en ningn tipo de tecnologas de informacin. ARTCULO 48: En cada entidad se definirn de manera estricta los derechos y privilegios de acceso a sistemas y datos que tiene cada usuario y se implementar un procedimiento escrito en cada caso para otorgar o suspender dichos accesos. Seccin Sexta Seguridad ante programas malignos ARTCULO 49: Se prohbe el diseo, la distribucin o intercambio de cdigos de virus informticos u otros programas malignos entre personas naturales o jurdicas; se excepta la informacin enviada por usuarios a la autoridad competente para el anlisis e investigacin de programas malignos. ARTCULO 50: En cada entidad se implementarn los controles y procedimientos para protegerse contra virus y otros programas dainos que puedan afectar los sistemas en explotacin, as como para impedir su generalizacin. Para la proteccin contra virus se utilizarn los programas antivirus de produccin nacional u otros autorizados oficialmente para su uso en el pas, debidamente actualizados.

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

ARTCULO 51: Ante indicios de contaminacin por programas malignos, tanto en redes como en equipos no conectados a redes, se proceder al cese de la operacin de los medios implicados y a su desconexin de las redes cuando corresponda, preservndolos para su posterior anlisis y descontaminacin por personal especializado y se revisarn los soportes con los cuales haya interactuado el medio contaminado. ARTCULO 52: La contaminacin por virus informticos u otros programas malignos se considera un incidente de seguridad y se cumplir en este caso lo establecido en el Artculo 89 del presente Reglamento. En todos los casos se determinar el origen y la responsabilidad de las personas involucradas. Seccin Sptima Respaldo de la informacin ARTCULO 53: Todas las entidades estn en la obligacin de implementar un sistema fiable de respaldo de la informacin esencial para su funcionamiento que permita la recuperacin despus de un ataque informtico, desastre o fallo de los medios, para lo cual ejecutarn los procedimientos que aseguren la obtencin sistemtica de las copias que se requieran. ARTCULO 54: La informacin de respaldo, conjuntamente con informes precisos y completos de las copias de respaldo y los procedimientos de recuperacin documentados debern almacenarse en otra ubicacin que le permita no afectarse en caso de desastre en la ubicacin principal. ARTCULO 55: La informacin de respaldo deber tener una proteccin fsica y ambiental consecuente con las normas aplicadas en la ubicacin principal. Los controles aplicados a los medios en la ubicacin principal debern extenderse a la ubicacin de los medios de respaldo. ARTCULO 56: Los medios de respaldo debern probarse regularmente y verificar su estado de actualizacin con el fin de asegurar que pueda confiarse en ellos para un uso de emergencia cuando sea necesario. Seccin Octava Seguridad en Redes ARTCULO 57: Los rganos, organismos y entidades estn en la obligacin de implementar los mecanismos de seguridad de los cuales estn provistas las redes, as como de aquellos que permitan filtrar o depurar la informacin que se intercambie. ARTCULO 58: En todas las redes se habilitarn las opciones de seguridad con que cuentan los sistemas operativos de forma tal que se garantice la proteccin de los servidores y las terminales, el acceso a la informacin solamente por personal autorizado y los elementos que permitan el monitoreo y auditoria de los principales eventos por un tiempo no menor de un ao.

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

ARTCULO 59: Para la fiscalizacin y el monitoreo del empleo que se le da a las redes de datos y de los servicios en ellas implementadas las entidades instalarn los productos autorizados en el pas para esos propsitos. ARTCULO 60: La arquitectura y la configuracin de los diferentes componentes de seguridad de una red y la implementacin de sus servicios estarn en correspondencia con las polticas definidas y aprobadas para su empleo y en ningn caso deben ser el resultado de la iniciativa de una persona con independencia de la preparacin que sta posea. ARTCULO 61: Toda red de computadoras deber contar para su operacin con la existencia de al menos una persona encargada de su administracin. ARTCULO 62: El Administrador de una red tiene, en relacin con la Seguridad Informtica, las siguientes obligaciones: a) Garantizar la aplicacin de mecanismos que implementen las polticas de seguridad definidas en la red. b) Realizar el anlisis sistemtico de los registros de auditoria que proporciona el sistema operativo de la red. c) Garantizar que los servicios implementados sean utilizados para los fines que fueron creados. d) Comunicar a la direccin de la entidad los nuevos controles tcnicos que estn disponibles y cualquier violacin o anomala detectada en los existentes. h) Activar los mecanismos tcnicos y organizativos de respuesta ante los distintos tipos de incidentes y acciones nocivas que se identifiquen, preservando toda la informacin requerida para su esclarecimiento. i) Participar en la elaboracin de los procedimientos de recuperacin ante incidentes y en sus pruebas peridicas. e) Informar a los usuarios de las regulaciones de seguridad establecidas y controlar su cumplimiento. f) Participar en la confeccin y actualizacin del Plan de Seguridad Informtica. ARTCULO 63: La gestin de administracin de las redes implica la concesin de mximos privilegios, debindose realizar directamente desde los puestos de trabajo habilitados al efecto. Se prohbe la administracin remota de estas redes mediante conexiones conmutadas a travs de las redes pblicas de transmisin de datos. ARTCULO 64: Se prohbe la adicin de algn equipo o la introduccin de cualquier tipo de software en una red, ya sea a travs de soportes removibles o mediante acceso a redes externas, sin la autorizacin de la direccin de la entidad, garantizando su compatibilizacin con las medidas de seguridad establecidas para la proteccin de dicha red. ARTCULO 65: Los usuarios que han recibido la autorizacin para el empleo de los servicios que brindan las redes son responsables por su propia conducta. Los usuarios deben conocer las polticas de seguridad para las computadoras y redes a que ellos acceden y estn en la obligacin de cumplir estas polticas. ARTCULO 66: En las redes que prevean conexiones desde o hacia el exterior de una entidad es obligatorio instalar los medios tcnicos que aseguren una barrera de proteccin entre las tecnologas de informacin de la entidad y la red externa, mediante los mecanismos de seguridad que sea necesario implementar. ARTCULO 67: Las entidades instrumentarn la ejecucin de procedimientos peridicos de verificacin de la seguridad de las redes con el fin de detectar
Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

posibles vulnerabilidades, incluyendo para ello cuando sea procedente la comprobacin de forma remota por entidades autorizadas oficialmente a esos efectos, debido a la sensibilidad de estas acciones. ARTCULO 68: Las entidades autorizadas oficialmente para la comprobacin de la seguridad de las redes de otras entidades estn en la obligacin de: a) Garantizar la profesionalidad que requiere esta actividad. b) Obtener la aprobacin previa de las entidades que requieren estos servicios para su realizacin. c) Mantener el mximo de discrecin con relacin a las posibles vulnerabilidades detectadas. d) Abstenerse de la utilizacin del conocimiento obtenido sobre la red comprobada en beneficio propio. e) Informar a la Oficina de Seguridad para las Redes Informticas de los resultados de las comprobaciones realizadas. ARTCULO 69: En las redes donde se establezcan servicios de intercambio de datos o mensajes con otras redes o usuarios externos se implementarn mecanismos de seguridad que garanticen la confidencialidad, la integridad, el control de accesos, la autenticacin y el no repudio, segn corresponda. ARTCULO 70: Las entidades que coloquen informacin en servidores para su acceso pblico, establecern las medidas y procedimientos que garanticen su integridad y disponibilidad, as como la correspondencia de su contenido con los intereses de la propia entidad y del pas. ARTCULO 71: Si por necesidades de conectividad u otros intereses se requiere hospedar un sitio en servidores ubicados en un pas extranjero, siempre se har como espejo o rplica del sitio principal en servidores ubicados en Cuba, estableciendo las medidas requeridas para garantizar su seguridad, particularmente durante el proceso de actualizacin de la informacin. ARTCULO 72: Se prohbe la colocacin de pginas o sitios Web desde entidades estatales en servidores extranjeros que ofrecen estos servicios de forma gratuita. ARTCULO 73: Los servidores de redes de una entidad destinados a facilitar accesos hacia o desde el exterior de las mismas no sern instalados en las mquinas en que se instalen los servidores destinados para el uso interno de dicha red. ARTCULO 74: En los casos de redes corporativas que prevean la extrapolacin de servicios internos, esto se realizar por puertos bien identificados y mediante la proteccin con dispositivos que garanticen el acceso a esos servicios por el personal autorizado. ARTCULO 75: Los servicios que ofrecen las redes de datos de una entidad mediante conexiones externas solo se utilizarn en inters de la misma. La asignacin de cuentas para el empleo de estos servicios ser aprobada en todos los casos por la direccin de la entidad sobre la base de las necesidades requeridas para su funcionamiento. ARTCULO 76: Se prohbe el establecimiento de cuentas de correo electrnico desde entidades estatales en servidores que se encuentran en el exterior del pas, considerando la inseguridad que el empleo de los mismos implica para la entidad por hallarse fuera del control del Estado Cubano. Si de manera excepcional por
Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

no haber otra alternativa, surgiera esta necesidad de forma puntual, tiene que ser aprobada previamente y por escrito por la direccin de la entidad, a partir de la valoracin de las razones existentes, especificando claramente el tipo de informacin que se va a transmitir y el plazo de vigencia de esta modalidad. ARTCULO 77: Se prohbe vincular cuentas de correo electrnico de un servidor de una entidad a un servidor en el exterior del pas con el fin de redireccionar y acceder a los mensajes a travs del mismo. ARTCULO 78: La suscripcin a listas de correo electrnico y el empleo de servicios de conversacin en tiempo real (chat) por parte del personal de una entidad ser autorizado en todos los casos por la direccin de la misma en correspondencia con sus intereses y de las normas particulares establecidas para estos servicios, debiendo documentarse esta autorizacin de manera que pueda ser objeto de comprobacin. ARTCULO 79: Se prohbe la difusin a travs de las redes pblicas de transmisin de datos de informacin contraria al inters social, la moral, las buenas costumbres y la integridad de las personas; o que lesione la Seguridad Nacional, por cualquier persona natural o jurdica. Las entidades instalarn los controles y mecanismos que permitan detectar y obstaculizar este tipo de actividades. Las violaciones detectadas sern informadas oportunamente a las instancias pertinentes. ARTCULO 80: Ninguna persona natural o jurdica est autorizada para enviar mensajes de correo electrnico no solicitados a mltiples usuarios de forma indiscriminada (spam), ya sean de carcter informativo, comercial, cultural, social, con intenciones de engao (hoax) u otros. ARTCULO 81: Las redes proveedoras de servicios tomarn las medidas que se requieran para impedir la sobrecarga de los canales de comunicaciones, restringiendo el envo o recepcin de grandes volmenes de informacin y la generacin de mensajes a mltiples destinatarios. ARTCULO 82: Las entidades implementarn controles dirigidos a impedir e interrumpir la generacin de cartas en cadena y el envo de mensajes de correo de forma masiva a travs de las redes. ARTCULO 83: Las entidades con redes destinadas a proveer servicios a otras personas naturales o jurdicas mediante conexiones remotas estn en la obligacin de cumplir los aspectos siguientes: a) Establecer las medidas y procedimientos de Seguridad Informtica que garanticen la proteccin de los servicios a brindar y los intereses de seguridad de los que los reciben. b) Implementar los mecanismos y procedimientos que aseguren la identificacin del origen de las conexiones, incluidas las conmutadas, as como su registro y conservacin por un tiempo no menor de un ao. c) Dar a conocer a los clientes de estos servicios los requerimientos de Seguridad Informtica que deben cumplir en correspondencia con las polticas de seguridad establecidas en la red que los brinda. d) Facilitar el acceso de las autoridades competentes a los registros de las conexiones y cooperar con las mismas en la investigacin de violaciones de las normas establecidas y de incidentes de seguridad.

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

ARTCULO 84: Ninguna persona, natural o jurdica est autorizada para explorar o monitorear las redes pblicas de transmisin de datos en busca de vulnerabilidades o informacin sobre los usuarios legales de las mismas. ARTCULO 85: El acceso no autorizado o la agresin a cualquier sistema de cmputo conectado a las redes pblicas de transmisin de datos y la usurpacin de los derechos de acceso de usuarios debidamente autorizados se consideran violaciones del presente Reglamento, independientemente de otras implicaciones legales que puedan derivarse de estas acciones.

CAPITULO IV GESTIN DE INCIDENTES DE SEGURIDAD

ARTCULO 86: Las entidades estn obligadas a formular la estrategia a seguir ante cualquier incidente o violacin de la seguridad que pueda producirse en correspondencia con la importancia de los bienes informticos que posea y las posibles alternativas a emplear para garantizar los servicios. Dicha estrategia deber ser consecuente con los objetivos bsicos de la entidad y tomar en consideracin: a) Los riesgos que la entidad enfrenta en trminos de su probabilidad y su impacto, incluyendo una identificacin y asignacin de prioridades a los procesos crticos. b) El impacto probable de las interrupciones sobre la gestin de la entidad. c) Comprobar y actualizar regularmente los planes y procesos establecidos. ARTCULO 87: Una vez establecida la estrategia a seguir, las entidades dispondrn las medidas y procedimientos que correspondan con el fin de garantizar la continuidad, el restablecimiento y la recuperacin de los procesos informticos. ARTCULO 88: Las medidas y procedimientos de recuperacin sern definidas a partir de la identificacin de los posibles eventos que puedan causar la interrupcin o afectacin de los procesos informticos e incluirn las acciones de respuesta a realizar, la determinacin de los responsables de su cumplimiento y los recursos necesarios en cada caso. ARTCULO 89: Los procedimientos para la gestin de incidentes y violaciones de Seguridad Informtica, especificarn los pasos a seguir para garantizar una correcta evaluacin de lo que ha ocurrido, a quin, cmo y cundo debe ser reportado, la respuesta adecuada, as como los aspectos relacionados con su documentacin, la preservacin de las evidencias y las acciones a seguir una vez restablecida la situacin inicial. Para ello considerarn lo siguiente: a) b) c) d) e) el reporte inmediato de la accin a la autoridad correspondiente; la comunicacin con los afectados o los involucrados en la recuperacin del incidente; el anlisis y la identificacin de las causas de los incidentes; el registro de todos los eventos vinculados con el incidente; la recoleccin y preservacin de las trazas de auditora y otras evidencias;

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

f)

la planificacin y la implementacin de medidas para prevenir la recurrencia, si fuera necesario;

ARTCULO 90: Ante cualquier incidente que afecte la Seguridad Informtica de una entidad, se designar por la direccin de la misma una comisin presidida por un miembro del Consejo de Direccin e integrada por especialistas no comprometidos directamente con el incidente, que realizar las investigaciones necesarias con el fin de esclarecer lo ocurrido, determinar el impacto, precisar los responsables y proponer la conducta a seguir. ARTCULO 91: La direccin de cada entidad garantizar que al producirse un incidente o violacin de la seguridad informtica la informacin sobre este acontecimiento se reporte inmediatamente a la Oficina de Seguridad para las Redes Informticas y a la instancia superior de la entidad. Este reporte incluir como mnimo: a) b) c) d) e) En que consisti el incidente o violacin. Fecha y hora de comienzo del incidente y de su deteccin. Implicaciones y daos para la entidad y para terceros. Acciones iniciales tomadas. Evaluacin preliminar

CAPITULO V PRESTACIN DE SERVICIOS DE SEGURIDAD INFORMTICA A TERCEROS. ARTCULO 92: Solo estarn autorizadas a brindar servicios de Seguridad Informtica a terceros aquellas entidades que cuenten con la correspondiente autorizacin emitida por la Oficina de Seguridad para las Redes Informticas, adscripta al Ministerio de la Informtica y las Comunicaciones. ARTCULO 93: Los requerimientos que debe cumplir una entidad para solicitar la autorizacin para prestar servicios de Seguridad Informtica a terceros son los siguientes: a) que el objeto social de dicha entidad coincida con estos fines; b) que dicha entidad cuente con mecanismos que garanticen la calidad de los servicios y la idoneidad del personal; c) preparacin tcnico - profesional de los especialistas que laboren en la entidad; d) que la entidad est en condiciones de cumplir los reglamentos y disposiciones establecidos en esta materia; e) que cuente con medios de proteccin de la informacin a la que tenga acceso durante su trabajo; f) que los productos de Seguridad Informtica, que utilicen estn debidamente certificados por los rganos correspondientes del Ministerio de la Informtica y las Comunicaciones; y g) que el capital sea enteramente nacional y el personal designado para brindar los servicios sea ciudadano cubano y resida de forma permanente en el pas.

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

CAPITULO VI DE LA INSPECCION A LA SEGURIDAD DE LAS TECNOLOGAS DE LA INFORMACION ARTCULO 94: El Ministerio de la Informtica y las Comunicaciones tiene como atribucin estatal la ejecucin de inspecciones en materia de Seguridad a las Tecnologas de la Informacin. ARTCULO 95:La inspeccin estatal en esta materia ser ejecutada exclusivamente por los inspectores del Ministerio de la Informtica y las Comunicaciones. ARTCULO 96: Los Jefes de rganos, Organismos y Entidades facultarn a especialistas debidamente preparados para realizar controles en materia de Seguridad Informtica en las entidades subordinadas. Seccin Primera Objetivos ARTCULO 97: La inspeccin estatal a la Seguridad a las Tecnologas de la Informacin tiene los objetivos siguientes: a) Evaluar los conocimientos y la aplicacin de la base legal vigente. b) Realizar diagnsticos sobre la efectividad de los Sistemas de Seguridad Informtica aplicados en las entidades. c) Verificar el grado de control y supervisin que se ejerce sobre los bienes informticos, as como los resultados de la gestin de la Seguridad Informtica. d) Valorar la efectividad de los Planes de Seguridad Informtica elaborados y su actualizacin y correspondencia con las necesidades de cada entidad. e) Valorar la gestin e influencia que ejercen las instancias superiores sobre esta actividad. Seccin Segunda Facultades de los inspectores ARTCULO 98: Los inspectores de Seguridad Informtica tienen las facultades siguientes: a) Realizar la inspeccin con aviso previo o sin l. b) Evaluar el estado del cumplimiento y aplicacin de la base legal de Seguridad Informtica vigente. c) Identificar las violaciones y vulnerabilidades detectadas en el Sistema de Seguridad Informtica. d) Hacer evaluaciones, recomendaciones y disponer acciones correctivas ante violaciones de la base legal establecida. e) Proponer sanciones administrativas u otra de las previstas en el Artculo 99. f) Recomendar la realizacin de auditorias. g) Proponer la suspensin de los servicios cuando se viole lo establecido en el presente Reglamento. h) Verificar el cumplimiento de las acciones correctivas que hayan sido aplicadas como resultado de inspecciones anteriores si las hubiere.
Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

i) Exigir la entrega de las trazas o registros de auditoria de las tecnologas de la informacin u otras posibles evidencias que se consideren necesarias. j) Ocupar para su revisin los medios informticos involucrados en cualquier tipo de incidente de seguridad y proponer su decomiso definitivo a las instancias correspondientes. CAPITULO VII

DE LOS INCUMPLIMIENTOS ARTCULO 99: Toda persona natural o jurdica que incumpla lo dispuesto en la presente Resolucin y en las disposiciones legales vigentes en la materia, estar sujeta a la aplicacin de las siguientes medidas: a) Invalidacin temporal o definitiva de las autorizaciones administrativamente concedidas por el Ministerio de la Informtica y las Comunicaciones al infractor, entre ellas, cancelacin de licencias, permisos, autorizaciones, desconexin parcial o total de las redes privadas de datos y otras; b) Suspensin y/o cancelacin, temporal o definitiva, de los servicios de informtica y comunicaciones que hayan suscrito con empresas debidamente reconocidas y autorizadas por el Estado cubano; d) Ocupacin cautelar de los medios, instrumentos, equipamientos y otros utilizados para cometer la infraccin, con la finalidad de disponer posteriormente el decomiso de los mismos, segn proceda. e) La aplicacin de las medidas que correspondan, de conformidad con lo legalmente establecido. ARTCULO 100: Toda persona natural o jurdica sujeta a la aplicacin de las medidas descritas anteriormente puede apelar ante el Ministro del Ministerio de la Informtica y las Comunicaciones en el plazo de 30 das hbiles contados a partir de la fecha de aplicada la medida. A su vez el Ministro dispondr de 90 das hbiles para dar respuesta a dicha reclamacin. La decisin de esta ltima instancia ser inapelable.

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

Anexo1 Principales Trminos y Definiciones Acceso no autorizado: Acceso a un sistema o a la informacin que este contiene, por parte de alguien no autorizado explcitamente para ello. Se puede tener acceso autorizado a un sistema y no tener derecho a acceder a determinadas reas del mismo. Amenaza: Situacin o acontecimiento que pueda causar daos a los bienes informticos. Puede ser una persona, un programa maligno o un suceso natural o de otra ndole. Representan los posibles atacantes o factores que inciden negativamente sobre las debilidades del sistema. Anlisis de riesgos: Proceso dirigido a determinar la probabilidad de que las amenazas se materialicen sobre los bienes informticos. Implica la identificacin de los bienes a proteger, la determinacin de las amenazas que actan sobre ellos, as como la estimacin de su probabilidad de ocurrencia y el impacto que puedan causar. Ataque: Intento de acceso o acceso a un sistema mediante la explotacin de vulnerabilidades existentes en su seguridad. Ataque de desfiguracin: Agresin deliberada a una pgina o sitio Web modificando su estado parcial o totalmente, con lo que se afecta su integridad y su disponibilidad. Autenticacin: Mtodo para comprobar la identificacin de un usuario o proceso. Una vez identificado al usuario, es necesario que este demuestre de algn modo la veracidad de su identidad. Autorizacin de usuarios: Proceso de determinacin y aprobacin de los niveles de acceso de un usuario a los sistemas informticos o a parte de los mismos. Barrera de Proteccin: Dispositivo fsico o lgico utilizado para proteger un sistema, obstaculizando el acceso al mismo o entre sus componentes, ya sea de forma directa o remota. Bienes Informticos: Elementos componentes del sistema informtico que deben ser protegidos en evitacin de que como resultado de la materializacin de una amenaza sufran algn tipo de dao. Bomba lgica: Programa maligno preparado para actuar contra un sistema informtico cuando se cumplan ciertas condiciones implementadas por su autor. Caballos de Troya: Programas malignos que se introducen de manera subrepticia en los medios de cmputo para adquirir privilegios de acceso al sistema atacado y manipularlo a su conveniencia. Confidencialidad: Condicin que asegura que la informacin no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados. Conexin Externa: Conexin en la que est presente, al menos, una de las condiciones siguientes: Acceso remoto a sistemas informticos internos, por empleados o por terceros, desde medios tcnicos que no estn controlados por la Entidad. Acceso remoto a sistemas informticos externos desde medios tcnicos controlados por la Entidad. Conexin entre un servicio interno y un servicio ajeno a la Entidad. Control de acceso: Mtodo que garantiza que solo tengan acceso a un sistema o a la informacin que ste contiene, aquellos debidamente autorizados para ello. Los mecanismos de control de acceso se implementan utilizando tcnicas de software y de hardware y por lo general incluyen: identificacin y autenticacin de usuarios; limitacin de acceso a ficheros, monitorizacin de las acciones de los usuarios y un sistema de auditoria. Cracker:: Intruso; individuo que intenta penetrar en un ordenador o sistema informtico ilegalmente con intenciones nocivas.
Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

Chat: Conversacin interactiva utilizando diferentes mtodos en tiempo real, a travs de Internet, entre dos o ms usuarios. Denegacin de Servicio: Significa que los usuarios no pueden obtener del sistema los recursos deseados. Es lo opuesto a disponibilidad y constituye uno de los posibles mtodos de ataque realizado mediante la saturacin de los sistemas provocando la generacin de una cantidad tal de procesos que stos no pueden ejecutar. Disponibilidad: Propiedad que garantiza que los usuarios autorizados tengan acceso a la informacin y activos asociados cuando se requiera. Significa que el sistema, tanto hardware como software, se mantienen funcionando y que est en capacidad de recuperarse rpidamente en caso de fallo. Gusanos: Programas que pueden provocar efectos tan dainos como los causados por los virus, pero se diferencian de stos en su forma de transmitirse, pues no infectan otros programas con una copia de s mismos, ni son insertados en otros programas por sus autores. Suelen funcionar en grandes sistemas informticos conectados en red, difundindose rpidamente a travs de sta. Hacker: Intruso. Persona que con diferentes propsitos se dedica a incursionar en las redes informticas sin reparar en las limitaciones existentes para su acceso ni en las barreras de proteccin establecidas en las mismas. En el contexto de nuestro pas cualquier accin realizada contra las redes se considera ilegal. Herramienta de Seguridad: Un dispositivo de hardware o software diseado para proporcionar o comprobar la seguridad en un sistema informtico. Hoax (en espaol: rumor, falsedad, engao): Mensajes de correo electrnico engaosos que se difunden por las redes con la ayuda de usuarios irresponsables que los reenvan formando largas cadenas, lo que consume un gran ancho de banda y congestiona los servidores. Su contenido generalmente se basa en temticas religiosas o de solidaridad, alertas sobre virus muy dainos, etc. Identificacin de usuarios: En todos los sistemas multiusuario, cada usuario posee un identificador (ID) que define quin es y qu lo identifica unvocamente en el sistema, diferencindolo del resto. Impacto: Daos producidos por la materializacin de una amenaza. Incidente de Seguridad: Cualquier evento que se produzca, de forma accidental o intencional, que afecte o ponga en peligro las tecnologas de informacin o los procesos que con ellas se realizan. Integridad: Condicin que garantiza que la informacin slo puede ser modificada, incluyendo su creacin y borrado, por el personal autorizado. El concepto de integridad significa que el sistema no debe modificar o corromper la informacin que almacene, o permitir que alguien no autorizado lo haga. Mecanismo de Seguridad: Implementacin de hardware o software diseada o construida para prevenir, detectar o responder a incidentes de seguridad. Medidas de Seguridad Informtica: Conjunto de acciones orientadas al fortalecimiento del Sistema de Seguridad Informtica No Repudio: Mtodo para asegurar que las partes que intervienen en una transaccin no nieguen su participacin. Plan de Seguridad Informtica: Documento bsico que establece los principios organizativos y funcionales de la actividad de seguridad informtica en una entidad. Procedimiento de Seguridad Informtica: Secuencia predeterminada de acciones dirigida a garantizar un objetivo de seguridad. Protocolo: Conjunto de normas, especificaciones y convenciones por el que se rigen los medios informticos para comunicarse entre si e intercambiar informacin. Puertas falsas (puertas traseras): Mecanismo establecido en el sistema por su diseador o por alguien que ha modificado el funcionamiento del mismo. Su objetivo es ofrecer un modo de acceder al sistema evadiendo las medidas de seguridad establecidas cuando se usa el procedimiento normal, para proporcionar una ruta directa y oculta de acceso al sistema.
Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu

Responsable de Informtica: Persona que dentro de la estructura de un rgano, Organismo o Entidad ha sido designada para dirigir funcionalmente la actividad informtica Riesgo: Probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informtico, causando un impacto negativo en la organizacin. Servicio de Seguridad: Funcin suministrada por un sistema para mejorar su seguridad. Se implementa mediante uno o varios mecanismos de seguridad. Sistema de Seguridad Informtica: Conjunto de medios humanos, tcnicos y administrativos, que de manera interrelacionada garantizan diferentes grados de seguridad informtica en correspondencia con la importancia de los bienes a proteger y los riesgos estimados. Sistema Informtico: Conjunto de bienes informticos de que dispone una entidad para su correcto funcionamiento y la consecucin de los objetivos propuestos Soportes Removibles: Cualquier tipo de dispositivo intercambiable que permita la transferencia o almacenamiento de informacin. Spam: Prctica de envo indiscriminado de mensajes de correo electrnico no solicitados. Spyware: Un tipo de software que enva datos del sistema donde est instalado sin que el usuario d su consentimiento o ni siquiera lo sepa. Este tipo de informacin puede ir desde los sitios Web que se visitan hasta algo ms delicado como por ejemplo el nombre de usuario y la contrasea. Trazas (logs) de auditora: Registro cronolgico de las acciones que se realizan en un sistema, los accesos al mismo y los procesos y ficheros que han intervenido. Usuario: Quien hace uso de las tecnologas de informacin. Cualquier persona, con independencia de la responsabilidad asignada o del cargo que ocupe, cuando emplea estas tecnologas se denomina usuario. Virus Informticos: Programas capaces de reproducirse a s mismos sin que el usuario est consciente de ello. Se adicionan a programas de aplicacin as como a componentes ejecutables del sistema de forma tal que puedan tomar el control del mismo durante la ejecucin del programa infectado. Vulnerabilidad: Punto o aspecto del sistema que es susceptible de ser atacado o de daar la seguridad del mismo. Representan las debilidades o aspectos falibles o atacables en el sistema informtico. Califica el nivel de riesgo de un sistema.

Ave. Independencia No.2 e/ 19 de Mayo y Aranguren, Ciudad de la Habana, Cuba. Telef. (537) 574076-80 Fax: (537) 881 2856 e-mail: ministro@mic.cu