Políticas de Seguridad para personal de empresas ...€¦ · Políticas de Seguridad para personal...
Transcript of Políticas de Seguridad para personal de empresas ...€¦ · Políticas de Seguridad para personal...
Mediterráneo, 14 01010 Vitoria-Gasteiz Posta-kutxatila / Apartado: 809 01080 Vitoria-Gasteiz Tel. 945 01 73 00* Fax. 945 01 73 01 www.ejie.net
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
Referencia PS-PRV v3.2-A1
NO es necesario entregar el presente documento en la presentación de ofertas. Se incluye como referencia detallada de algunas de las medidas de seguridad
que se deben implementar para la provisión del servicio objeto de contratación. Lo entregará el adjudicatario una vez finalizado el proceso de contratación.
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
2 / 21
Este documento es propiedad de Eusko Jaurlaritzen Informatika Elkartea – Sociedad Informática del Gobierno Vasco, S.A. (EJIE) y su contenido es CONFIDENCIAL. Este documento no puede ser reproducido, en su totalidad o parcialmente, ni mostrado a otros, ni utilizado para otros propósitos que los que han originado su entrega, sin el previo permiso escrito de EJIE. En el caso de ser entregado en virtud de un contrato, su utilización estará limitada a lo expresamente autorizado en dicho contrato. EJIE no podrá ser considerada responsable de eventuales errores u omisiones en la edición del documento.
Versión Fecha Resumen de cambios Elaborado por: Aprobado por:
2.0 22/5/2014 Adecuación a la nueva plantilla J. J. Carrasco
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
3 / 21
Índice
1 Introducción ........................................................................................................................................... 4
1.1 Propósito.................................................................................................................................................................. 4
1.2 Ámbito de aplicación ............................................................................................................................................ 4
2 Seguimiento y control ........................................................................................................................... 5
3 Servicio objeto ....................................................................................................................................... 6
4 Infraestructura técnica .......................................................................................................................... 7
4.1 Infraestructura TIC del proveedor de servicio ............................................................................................. 7
4.2 Infraestructura TIC de EJIE ............................................................................................................................... 7
4.3 Otras consideraciones sobre la infraestructura TI ..................................................................................... 7
5 Seguridad física y del entorno ............................................................................................................. 8
5.1 Controles o salvaguardas obligatorios para la provisión ......................................................................... 8
5.2 Declaración de controles o salvaguardas existentes, (para el área desde donde se preste el servicio) ................................................................................................................................................................................ 12
5.3 Otras consideraciones sobre las salvaguardas existentes ................................................................... 17
6 Actualización .......................................................................................................................................18
7 ANEXO I Plano de instalaciones ........................................................................................................19
8 ANEXO II. Listado de documentación. ..............................................................................................20
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
4 / 21
1 Introducción
1.1 Propósito
Con el fin de gestionar los riesgos asociados a los Sistemas de Información de EUSKO JAURLARITZAREN INFORMATIKA ELKARTEA – SOCIEDAD INFORMÁTICA DEL GOBIERNO VASCO, S.A. (en adelante EJIE), se establece la “Política de Seguridad para personal de empresas proveedoras ”. En este documento se describen los requerimientos en relación a la seguridad de la información para todo el personal que trabaja para EJIE pero que pertenece a otras empresas proveedoras, y que en el desarrollo de sus funciones pueda tener acceso a la información, sistemas de información o recursos de EJIE en general.
Las empresas proveedoras tienen la obligación de difundir convenientemente a las personas que destinen en EJIE, así como de obtener su compromiso por escrito de que se comprometen a respetar dichas Políticas.
En función del lugar de la prestación del servicio, la propiedad de la infraestructura utilizada y la actividad a desarrollar, EJIE establece distintos requerimientos a cumplir por parte del proveedor. En el apartado 3 del documento “Política de Seguridad para personal de empresas proveedoras” se señalan de manera general las obligaciones específicas para este tipo de prestación.
La presente normativa tiene por objeto concretar la infraestructura utilizada para la prestación del servicio, indicar de manera detallada los controles obligatorios y otros elementos de los que se dota el proveedor para garantizar la seguridad física y del entorno.
1.2 Ámbito de aplicación
El ámbito de aplicación de este documento son todas las organizaciones que desarrollen actividades, en la forma de prestación de servicio en ubicaciones físicas ajenas a las de EJIE ya sea con infraestructura propia, de EJIE o de ambos.
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
5 / 21
2 Seguimiento y control
La presente normativa constituye elemento de referencia, junto con la “Políticas de Seguridad para personal de empresas proveedoras”, para los posteriores seguimientos y/o auditorías que EJIE establezca asociadas al servicio prestado.
La alteración injustificada y no consensuada entre EJIE y el proveedor de los elementos que aquí se describen podrán considerarse, en función de la criticidad del servicio prestado y/o su reiteración, elementos suficientes para la adopción de las medidas sancionadoras que se consideren pertinentes en relación a la empresa contratada, y que pueden llegar a la resolución de los contratos que tenga vigentes con dicha empresa.
Este documento, una vez cumplimentado, es propiedad de EJIE, y por lo tanto tienen carácter confidencial y únicamente está permitida su utilización y difusión con carácter interno a la empresa proveedora de servicio y por personal autorizado.
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
6 / 21
3 Servicio objeto
Descripción del servicio:
Breve descripción del objetivo del servicio y sus características específicas.
Ubicación desde la que se prestará el servicio:
Localización física desde la que se prestará el servicio
Roles y responsabilidades en el servicio:
Interlocutores del servicio y en la ubicación de prestación
Interlocuciones en EJIE:
Responsables del servicio en EJIE
Vigencia del servicio:
Fecha de inicio y fin estimada del servicio
Otra información sobre el servicio:
. Información a tener en cuenta sobre el servicio desde el punto de vista de seguridad de la información.
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
7 / 21
4 Infraestructura técnica
La infraestructura TIC utilizada para la prestación del servicio constituye un elemento a tener en cuenta de cara a considerar el riesgo que supone para los activos de EJIE. La implantación de controles de seguridad sobre los elementos que intervienen recaerá, salvo que se indique lo contrario en la relación contractual, en el propietario de dicho activo. La “Política de Seguridad para personal de empresas proveedoras” establece de manera genérica los controles a implementar en función del elemento de que se trate, dicha Política constituye norma de referencia para las posteriores revisiones y/o auditorías sobre los elementos indicados en el siguiente apartado “Infraestructura TIC del proveedor de servicio”. En función de la criticidad de los elementos inventariados para la prestación del servicio, estos se podrán identificar de manera agrupada sin tener que detallarlos, por ejemplo:
50 PC´s de operador marca XXX Mod. Optiluxe 160 Standard
4.1 Infraestructura TIC del proveedor de servicio
XXX reconoce la propiedad de los elementos identificados en este apartado y que afectan a la prestación de servicio que lleva a cabo desde la ubicación XXX . XXXX reconoce la responsabilidad en la gestión correcta de las medidas de control de seguridad sobre los activos de los que son propietarios.
Inventario de los elementos TIC utilizados para la prestación del servicio, propiedad y responsabilidad de XXX
Se puede adjuntar en anexo a este documento en formato editable.
4.2 Infraestructura TIC de EJIE
EJIE, S.A. reconoce la propiedad de los activos identificados en este apartado y que afectan a la prestación de servicio que lleva a cabo desde XXX por parte de XXX. EJIE, reconoce la responsabilidad en el mantenimiento de las medidas de control de seguridad sobre los activos de los que son propietarios.
Inventario de los elementos TIC utilizados para la prestación del servicio, propiedad y responsabilidad de EJIE
Se puede adjuntar en anexo a este documento
4.3 Otras consideraciones sobre la infraestructura TI
Indicar en este apartado consideraciones adicionales a las anteriormente señaladas en relación a la infraestructura TIC utilizada para la prestación del servicio.
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
8 / 21
5 Seguridad física y del entorno
Las salvaguardas listadas a continuación constituyen elementos que pueden evitar la materialización de las amenazas a las que los activos de EJIE y/o la organización proveedora están expuestos. Se identifican tanto los controles obligatorios como los adicionales, implementados en el ámbito de la prestación del servicio.
5.1 Controles o salvaguardas obligatorios para la provisión
La provisión de servicios en ubicaciones ajenas a las de EJIE exige, tal como se señala en el documento de “Política de Seguridad para personal de empresas proveedoras”, el cumplimiento de controles sobre seguridad física. A continuación se detallan dichos controles, de obligado cumplimiento:
(*)ID: Identificador del documento que desarrolla el control. De aplicación nuevamente en el Anexo II
DESCRIPCIÓN DEL CONTROL OBLIGATORIO ID (*)
Protección de las Instalaciones
Inventario de instalaciones
Identificación del responsable
Procedimientos existentes
Plan de emergencia
Plan de evacuación
Simulacros periódicos
Asignaciones específicas de responsabilidades en el plan de emergencia
Revisiones periódicas de los procedimientos existentes
Separación del área para la prestación del servicio del acceso público
Situar equipos sensibles en áreas separadas
Áreas para equipos informáticos
Separación de áreas gestionadas por otros
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
9 / 21
Separación del área para la prestación del servicio de dónde se llevan a cabo actividades
peligrosas (cuartos de basura, depósitos de combustible, etc.)
Separación de accesos para personas y vehículos
DESCRIPCIÓN DEL CONTROL OBLIGATORIO ID (*)
Separación de las áreas de carga / descarga del área para la prestación del servicio
Separación de las áreas de entrada y salida
Inspección del material entrante
Acceso a través de un área de recepción
Control de los accesos físicos (Requerido para el área desde donde se preste el servicio)
Control de los accesos específico
Procedimiento de control de accesos
Mecanismo de identificación
Verificación previa de las autorizaciones de acceso del personal
Registro de los accesos
Revisión periódica del registro de accesos
Se investiga cualquier sospecha o intento de acceso físico no autorizado
Revisión y mantenimiento periódicos del sistema de control de accesos
Control de las visitas
Autorizaciones previas para el acceso de visitas
Comprobación de la identidad de las visitas
Registro de entrada / salida (nombre, empresa, fecha y horas de entrada y salida, objeto del
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
10 / 21
acceso, y persona que recibe)
Escolta y monitorización de las actividades (visitas acompañadas)
Revisión periódica del registro de visitas
Pases o identificadores
Obligatorio empleo de un pase (ej. tarjeta) en el interior del recinto
Procedimiento para la emisión, control, registro, baja y cancelación de los pases
Se cierran y controlan periódicamente cuando están vacías
Control de llaves, combinaciones o dispositivos de seguridad
Las áreas de seguridad disponen de algún tipo de llave, combinación o dispositivo de
seguridad para acceder a las mismas
Solamente el personal autorizado puede usarlos
Se custodian de forma segura, incluidos los duplicados
DESCRIPCIÓN DEL CONTROL OBLIGATORIO ID (*)
Las llaves se cambian cuando se hayan comprometido o exista sospecha de ello
Las combinaciones se cambian o modifican cuando han sido comprometidas o exista
sospecha de ello
Las combinaciones se cambian o modifican cuando haya cambios de personal que haya
tenido acceso a las mismas
Protección del perímetro
Perímetro claramente definido con una valla, muro o similar
Construcción resistente
Puertas de acceso reforzadas
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
11 / 21
Protección de conductos y aberturas (falso techo, conductos de aire, etc.)
Sistema de detección de intrusión centralizado
Conectado con central receptora de alarmas fuera del horario laboral
Comprobación periódica
Revisión y mantenimiento periódicos
Sistema de Circuito Cerrado de TV (CCTV)
Protección frente a desastres
Protección frente a incendios
Identificación del personal de emergencia / intervención / evacuación
Instalación contra incendios de acuerdo a la normativa establecida
Plan de prevención de incendios (formación, concienciación, etc.)
Compartimentación / sectorización de áreas
Vías de evacuación
Pulsadores de alarma
Sistema automático de detección de incendios
Medios manuales de extinción de incendios (extintores portátiles, bocas de incendio, etc.)
Plan de mantenimiento y verificación de los dispositivos y los sistemas contra incendios
Revisión periódica de las áreas riesgo especial (cuarto de basuras, cuadros de alimentación,
etc.)
Revisión periódica de las instalaciones por los bomberos o personal especializado
Iluminación de emergencia
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
12 / 21
DESCRIPCIÓN DEL CONTROL OBLIGATORIO ID (*)
Señalización (planos de evacuación, de planta, etc.)
Condiciones de aproximación para las fuerzas de ayuda exterior
Procedimiento de emergencia
Formación del personal (obtención de información, respuesta a la amenaza, etc.)
5.2 Declaración de controles o salvaguardas existentes, (para el área desde donde se preste el servicio)
Además de los controles obligatorios del apartado anterior, la empresa proveedora podrá disponer de otros elementos de salvaguarda o control, en este apartado se deberán señalar estos controles. El listado no es excluyente pudiéndose incluir al final de este apartado otros elementos que se consideren como elementos de control o salvaguarda por parte del proveedor.
Nota: Marcar con una X sobre el SI, NO
( 1 ) Referido a la ubicación en la que se presta el servicio.
Control Existe ( 1 )
Normativa existente ( 1 )
Normas de conducta (prohibición de fumar, beber, comer, ...) SI NO
Prohibición de equipos de registro (fotografía, video, audio, etc.) salvo autorización
especial
SI NO
El personal sólo conoce la existencia de estas áreas, o de sus actividades, si lo necesita
para su trabajo
SI NO
Se evita el trabajo no supervisado SI NO
Procedimientos existentes ( 1 )
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
13 / 21
Plan de seguridad SI NO
Carga / descarga SI NO
Control de las áreas de carga / descarga SI NO
Sincronización de puertas de acceso (esclusas) SI NO
Entrega o recepción de material fuera de las horas de trabajo debidamente
justificadas y sujetas a procedimientos rigurosos de control
SI NO
Procedimiento para la identificación visible de las personas SI NO
Instalaciones discretas minimizando indicaciones sobre su propósito SI NO
Las áreas no se identifican en directorios telefónicos y vestíbulos SI NO
Control de los accesos físicos ( 1 )
Sistema manual de control de accesos
Sistema automático de control de accesos SI NO
Mecanismo de identificación SI NO
Basado en PIN o tarjeta SI NO
Basado en tarjeta y PIN SI NO
Basado en biometría SI NO
Basado en biometría y tarjeta SI NO
Otros ... SI NO
Registro (examen minucioso) a la entrada SI NO
aleatorios SI NO
sistemáticos SI NO
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
14 / 21
Registro (examen minucioso) a la salida SI NO
aleatorios SI NO
sistemáticos SI NO
Mecanismo anti pass-back (esclusas) SI NO
Alimentación redundante del sistema de control de accesos SI NO
Diferentes tipos de pases según la categoría del personal (personal propio, visitas,
etc.)
SI NO
Diseño difícil de falsificar SI NO
Incluyen fotografía de la persona a la que se emiten SI NO
Permiten reconocer visualmente el tipo de áreas a las que puede acceder su
portador (al personal de la organización)
SI NO
No contienen datos que permitan, en caso de pérdida, obtener información acerca de
su finalidad (simplemente contiene una dirección para su envío)
SI NO
Accesos cerrados fuera de las horas de trabajo SI NO
Registro de llaves SI NO
Registro de combinaciones de acceso SI NO
Identificación del responsable SI NO
Las combinaciones se cambian o modifican al menos cada seis meses SI NO
Auditoría periódica SI NO
Protección del perímetro ( 1 )
Barrera de alta seguridad: alta resistencia a la escalada y apertura de brechas SI NO
Barrera de seguridad: resistente a la escalada y apertura de brechas SI NO
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
15 / 21
Puertas de acceso blindadas SI NO
Puertas de acceso acorazadas SI NO
Mínimo número de entradas SI NO
Ventanas SI NO
Cristales opacos SI NO
Ventanas de fácil acceso con cristales blindados SI NO
Ventanas de fácil acceso con barrotes o rejas SI NO
Sistema de detección de intrusión SI NO
Instalación por empresa autorizada SI NO
Alimentación redundante del Sistema de detección de intrusión centralizado SI NO
Personal de atención SI NO
Atendido por personal de seguridad durante horario laboral SI NO
Permanentemente atendido por personal de seguridad SI NO
Retén de emergencias SI NO
infrarrojos SI NO
Vigilancia ( 1 )
Rondas aleatorias de vigilancia en el perímetro del recinto, fuera del horario laboral SI NO
Rondas aleatorias de vigilancia en el interior de los edificios, fuera del horario laboral SI NO
Vigilancia desde un centro de control en el que se centralizan todos los sistemas de
seguridad
SI NO
Existen instrucciones específicas para el personal de vigilancia SI NO
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
16 / 21
Subcontratación del personal de vigilancia según lo establecido en la normativa de
Seguridad Privada
SI NO
Iluminación de seguridad ( 1 )
Iluminación en las áreas interiores al perímetro del recinto SI NO
No existen zonas con poca visibilidad (oscuras) interiores al recinto SI NO
Iluminación del perímetro del recinto SI NO
Iluminación de las potenciales zonas de paso de un intruso SI NO
Iluminación activada por el sistema de detección de intrusos SI NO
Protección frente a desastres ( 1 )
Iluminación de emergencia cubre todas las áreas necesarias para garantizar la
continuidad del servicio
SI NO
Sistema automático de extinción de incendios (sprinkler, etc.) SI NO
Notificación automática a los servicios de ayuda exterior de cualquier activación del
sistema automático de detección de incendios
SI NO
Evacuación de humos SI NO
Plan de contingencias SI NO
Simulacros internos SI NO
Simulacros con las fuerzas de ayuda exterior SI NO
Protección frente a inundaciones SI NO
Procedimiento de emergencia SI NO
Pruebas y revisión del procedimiento SI NO
Diseño de la instalación garantizando ubicaciones sin canalizaciones cercanas de SI NO
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
17 / 21
agua
Llaves de paso que permitan el corte de suministro de agua SI NO
Sistema de detección SI NO
Sistema de evacuación de agua (canalizaciones, motobomba, etc.) SI NO
Otras protecciones frente a accidentes naturales e industriales SI NO
Seguros ( 1 )
Póliza de continente (edificios) SI NO
Póliza de contenido SI NO
5.3 Otras consideraciones sobre las salvaguardas existentes
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
18 / 21
6 Actualización
Debido a la propia evolución de la tecnología, las amenazas de seguridad y a las nuevas aportaciones legales en la materia, EJIE se reserva el derecho a modificar este documento cuando sea necesario. Los cambios realizados en este documento serán divulgados a todas las empresas proveedoras de servicios a las que les aplique utilizando los medios que se consideren pertinentes.
Cualquier modificación tanto en la infraestructura como en las salvaguardas, con respecto a la información proporcionada en este documento por parte de la empresa proveedora, deberá ser remitida a la mayor brevedad al Responsable de Seguridad de EJIE indicando en el apartado “Control de la documentación” la modificación realizada.
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
19 / 21
7 ANEXO I Plano de instalaciones
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
20 / 21
8 ANEXO II. Listado de documentación.
Listado y versión de los documentos indicados en los apartados anteriores.
ID (*) TITULO DEL DOCUMENTO VERSIÓN
Políticas de Seguridad para personal de empresas proveedoras – Anexo I Seguridad física y del entorno
21 / 21
(*) Identificador asignado al documento en el apartado 5