Presidencia de la Nación

SUBSECRETARIA DE TECNOLOGIAS INFORMATICAS


Subsecretaría de Tecnologías Informáticas

SISTEMAS DE INFORMACION

Disposición 1/99

Apruébanse el 'Reglamento de Operación del ArCERT', el que establece los requisitos y condiciones de operación de la Coordinación de Emergencia en Redes Teleinformáticas - ArCERT, y las Políticas de Seguridad del mismo.

Bs. As., 16/11/99

VISTO, lo dispuesto por el Decreto Nº 856 del 22 de julio de 1998, y por la Resolución de la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS Nº 81 del 14 de julio de 1999, y

CONSIDERANDO:

Que el notable avance en el desarrollo de redes teleinformáticas en el sector público ha dejado al descubierto un incremento de la problemática vinculada al resguardo de los datos y servicios ofrecidos.

Que a fin de dotar a la Administración Pública Nacional de un servicio de respuesta frente a eventos de seguridad que pudieren afectar a sus redes, mediante la Resolución Nº 81/99 la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS, ha creado en el ámbito de la SUBSECRETARIA DE TECNOLOGIAS INFORMATICAS la Coordinación de Emergencia en Redes Teleinformáticas - ArCERT.

Que la Coordinación de Emergencia en Redes Teleinformáticas - ArCERT ha presentado una propuesta de Reglamento de funcionamiento a la SUBSECRETARIA DE TECNOLOGIAS INFORMATICAS, integrada por el 'Reglamento de Operación del ArCERT' y por las 'Políticas de Seguridad del ArCERT'.

Que el SUBSECRETARIO DE TECNOLOGIAS INFORMATICAS de la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS se encuentra facultado para dictar la presente en virtud de lo dispuesto por el artículo 10 de la Resolución SFP Nº 81/99.

Por ello,

EL SUBSECRETARIO DE TECNOLOGIAS INFORMATICAS DE LA SECRETARIA DE LA FUNCION PUBLICA DE LA JEFATURA DE GABINETE DE MINISTROS

DISPONE:

Artículo 1º — Apruébase el 'Reglamento de Operación del ArCERT' que obra como Anexo I de la presente, el que establece los requisitos y condiciones de operación de la Coordinación de Emergencia en Redes Teleinformáticas - ArCERT.

Art. 2º — Apruébanse las 'Políticas de Seguridad del ArCERT' que obran como Anexo II de la presente.

Art. 3º — Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Alejandro G. Val.

ANEXO I

ARCERT

REGLAMENTO DE OPERACION

Coordinación de Emergencias en Redes Teleinformáticas de la Administración Pública Argentina

Indice

ArCERT. Introducción.

1. Objetivos, Funciones y Alcance.

1.1. Objetivos

1.2. Funciones

1.3. Servicios

1.4. Alcance

2. Actividades

2.1. Investigación

2.2. Divulgación

2.3. Capacitación

3. Responsabilidades

4. Integración del ArCERT

4.1. Secretaría de la Función Pública

4.2. Comité Asesor

4.3. Organigrama del ArCERT.

5. Usuarios

6. Información acerca de ArCERT

6.1. Sede

6.2. Horario de atención

6.3. Medios de contacto con ArCERT

7. Bases de Datos

8. Procedimientos

8.1. P1. Consultas a Base de Información

8.1.1. Descripción del Procedimiento

8.1.2. Flujograma

8.2. P2. Síntesis de Reporte

8.2.1. Descripción del Procedimiento

8.2.2. Flujograma

8.3.P3. Asociación a ArCERT

8.3.1. Requerimientos de Certificado Digital

8.3.2. Descripción del Procedimiento

8.3.3. Flujograma

8.4.P4. Reporte de Eventos

8.4.1. Formas de interactuar con ArCERT

8.4.2. Descripción del Procedimiento

8.4.3. Flujograma

8.4.4. Formulario de Reporte de Incidente

8.4.5. Formulario de Respuesta

8.4.6. Formulario de Información Adicional

9. Control y Auditoría

9.1. Control Interno

9.2. Auditoría externa

9.2.1 Resultados

9.2.2 Periodicidad de las Auditorías

10. GLOSARIO

ANEXOS

Anexo 1- a) P1. Consultas a Base de Información

Anexo 1- b) P2. Síntesis de Reporte

Anexo 1- c) P3. Asociación a ArCERT

Anexo 1- d) P4. Reporte de Eventos

ArCERT. Introducción.

En los últimos años, la interconectividad entre las redes ha ido aumentando en complejidad y ya hoy para ellas no existen las fronteras.

Tal crecimiento ha sido posible en gran medida por la posibilidad de la conextón a Internet. Pero también ha dejado al descubierto grandes problemas en cuanto al resguardo de la seguridad de los datos y servicios ofrecidos.

Es prácticamente imposible para una persona que está a cargo de una red mantenerse al día de los últimos avances en materia de seguridad en los sistemas de información. Es por eso que en los países más avanzados del mundo, desde hace tiempo se han creado grupos de especialistas que tienen a su cargo la investigación, actualización de información y capacitación del personal a cargo de los sistemas de información.

También tienen por propósito servir de repositorio de la información referente a eventos en los cuales esté involucrada la seguridad en las redes, a fin de ser un punto de referencia ante incidentes de tal tipo.

Sin duda alguna, la principal misión de estos grupos es la de asistir a sus socios cuando se presentan problemas de seguridad, brindado líneas de acción a seguir para subsanar los inconvenientes.

Por ello son conocidos mundialmente como CERT (acrónimo de 'Computer Emergency Response Team', en español: 'Equipo de Respuesta ante Emergencias en Computadoras').

Ante esta realidad la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS, en base al Decreto Nº 856/98 y mediante la Resolución SFP Nº 81/99, ha decidido crear un Equipo de Respuesta ante incidentes en redes que cumpla con las tareas antes mencionadas, llevando por nombre ArCERT (acrónimo de Coordinación de Emergencias en Redes Teleinformáticas de la Administración Pública Argentina).

1. Objetivos, Funciones y Alcance.

1.1. Objetivos

ArCERT tiene como objetivo principal coordinar y colaborar en los esfuerzos orientados a elevar los umbrales de seguridad en los recursos y en los sistemas de información en el ámbito de la Administración Pública Nacional. Para esto se establecerá una estrategia de coordinación, asesoramiento y capacitación hacia los organismos públicos en la gestión de la problemática de seguridad.

1.2. Funciones

Son funciones del ArCERT:

a) Proveer un servicio especializado de asesoramiento en seguridad de redes.

b) Promover la coordinación entre los organismos de la Administración Pública Nacional para prevenir, detectar, manejar y recuperar incidentes de seguridad.

c) Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administración Pública Nacional y facilitar el intercambio de información para afrontarlos.

d) Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas, técnicas de protección y defensa.

1.3. Servicios

ArCERT dispondrá de equipos de diferente tecnología a fin de montar un laboratorio donde se puedan probar las distintas versiones de software, replicar incidentes, etc.

Brindará asistencia en días laborables, en un horario que inicialmente será de 9.00 a 17.00 horas.

ArCERT estará en contacto con los demás equipos de seguridad existentes en el mundo, y con las organizaciones que agrupan a los equipos de seguridad, como por ejemplo el FIRST (Forum of Incident Response and Security Teams), organizacion que nuclea a CERT’s de todo el mundo, actúa como repositorio de información y centro de intercambio de experiencias, con sede en los Estados Unidos.

ArCERT mantendrá un WEB site, con links hacia las diversas herramientas defensivas, reportes de incidentes, contando además con la posibilidad de que los usuarios puedan bajar herramientas y programas, estarán los formularios de consulta y búsqueda y todo aquello que se considere de interés en materia de seguridad.

1.4. Alcance

ArCERT dará respuesta a incidentes de seguridad en sistemas de información que reporten los organismos de la Administración Pública Nacional.

Esta función es eminentemente técnica. No se investigará el origen de los ataques ni sus responsables. Corresponde a las autoridades responsables de cada organismo efectuar las denuncias y eventualmente iniciar los procesos de investigación.

ArCERT mantendrá en todo momento la confidencialidad de la información respecto del incidente y también resguardará la identidad de la organización afectada. La función del ArCERT es la de colaborar y contribuir a una mayor seguridad en las redes, debiendo descartarse cualquier interpretación errónea que le atribuya funciones de auditoría y/o control. Los daños, perjuicios y pérdidas debidos a un incidente, siguen siendo responsabilidad pura y exclusiva de la organización que administra la red que se ha visto afectada así como también los métodos, procedimientos y equipamiento que hacen a las tareas de prevención, control y resguardo de los sistemas de información.

2. Actividades

2.1 . Investigación

El personal de ArCERT evaluará en forma permanente los avisos y nuevos eventos de seguridad, nuevas técnicas y nuevos productos en la materia. Los incidentes reportados demandarán tareas de investigación de antecedentes, patches de sistemas operativos, y demás ítems relacionados.

2.2. Divulgación

Los incidentes y sus soluciones, bajo la forma de 'advisors', serán publicados en la web del ArCERT, como vista de la base de datos. Esta base tendrá diferentes perfiles de accesos según la categoría de los usuarios. ArCERT además, de considerarlo necesario, publicará folletos e instructivos del ámbito de su incumbencia.

2.3. Capacitación

Sin duda una de las herramientas con que se cuenta para proteger la seguridad de los sistemas informáticos es la adecuada capacitación del personal que administra los sistemas y redes.

La dinámica de la red global, ia aparición de continuos problemas en los sistemas operativos, y la actividad de hackers que explotan estas debilidades, obliga no sólo a cursos teóricos sobre seguridad en redes, sino también a seminarios de actualización acerca de problemas frecuentes en seguridad.

En tal sentido, ArCERT prevé la realización de dos tipos de actividades de capacitación:

a) Cursos teórico-prácticos de seguridad en redes, desde una óptica general, donde se vean los más frecuentes tipos de ataques, se capacite a los administradores en cómo contrarrestarlos, y se ayude a implementar políticas generales de seguridad en los organismos.

b) Seminarios de actualización periódicos, de corta duración, en los cuales se trate la problemática particular de determinados tipos de ataques frecuentes en la red, abordando temas con un alto grado de especificidad.

3. Responsabilidades

ArCERT tiene las siguientes responsabilidades:

a) Difundir información útil para incrementar los niveles de seguridad de las redes de la Administración Pública Nacional.

b) Brindar una respuesta rápida y eficaz, en la medida de sus posibilidades, a los reportes de seguridad que reporten sus usuarios.

c) Asegurar la absoluta confidencialidad de la información y comunicación con los usuarios.

d) Optimizar la calidad y disponibilidad de sus recursos tendientes a mejorar los servicios.

4. Integración del ArCERT

4.1. Secretaría de la Función Pública

La función esencial de ArCERT consiste en promover la coordinación entre las unidades de administración de redes del Sector Público Nacional, para la prevención, detección, manejo y recopilación de incidentes de seguridad, asesorando sobre herramientas y técnicas de protección/defensa y profundizando la difusión y capacitación en la materia.

Teniendo en cuenta que los pilares del ArCERT serán la capacitación, la difusión y el soporte en temas relativos a la protección de las redes, la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS constituye la sede natural para su implementación, en virtud de las competencias asignadas por los Decretos Nº 660/96 y Nº 856/98, en los cuales se le asigna la función de ser el organismo rector en materia de tecnologías, promoviendo la integración, compatibilidad e interoperabilidad de las mismas.

Dado que la SECRETARIA DE LA FUNCION PUBLICA concentra información específica en el tema, se encuentra en condiciones de establecer el desarrollo alcanzado por el Sector Público en tecnologías informáticas.

4.2. Comité Asesor

El Comité Asesor estará integrado por profesionales y/o investigadores de distinguida trayectoria en el ambiente de tecnología de redes teleinformáticas, sistemas de información y seguridad informática. El ArCERT convocará a sus miembros, siendo su principal función aportar ideas en lo que respecta a aspectos técnicos de seguridad en redes, contribuyendo a un fructífero intercambio de experiencias.

La función de este Comité será asesorar al ArCERT, no teniendo responsabilidad en decisiones ejecutivas del mismo.

Estará integrado por profesionales del ámbito gubernamental, académico y privado, y serán designados por el titular de la SUBSECRETARIA DE TECNOLOGIAS INFORMATICAS de la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS.

No se establecerán límites para su integración, aunque se entiende provechoso un mínimo de cinco miembros.

Sus miembros firmarán un acuerdo de confidencialidad y ejercerán sus funciones Ad Honórem.

El Comité Asesor funcionará según un Reglamento propio, el que deberá ser elaborado y acordado por sus miembros y elevado para su aprobación ante la SUBSECRETARIA DE TECNOLOGIAS INFORMATICAS de la SECRETARIA DE LA FUNCION PUBLICA.

4.3. Organigrama del ArCERT.

5. Usuarios

Según la categoría de usuario, el ArCERT brindará acceso a repositorios de información diferentes y a respuestas diferentes:

a) Usuarios Plenos: Tienen derecho a reportar incidentes y a obtener las respuestas correspondientes por parte del ArCERT. Dentro de esta categoría entran los representantes de las redes teleinformáticas de la Administración Pública Nacional Centralizada y Descentralizada.

b) Usuarios Simples: corresponde a los representantes de los Entes Autárquicos, Organismos Provinciales y Municipales y de entidades vinculadas con la problemática de seguridad. Tienen derecho de acceso a la Base de Información Privada.

c) Usuarios Generales: puede acceder a esta categoría el público en general. Tienen derecho de acceso a la Base de Información Pública.

6. Información acerca de ArCERT

6.1 . Sede

El ArCERT funciona en dependencias de la SECRETARIA DE LA FUNCION PUBLICA, cuenta con oficinas de trabajo y atención al público y con un laboratorio en donde se realizarán ensayos, experiencias y/o emulaciones de los problemas de seguridad reportados o detectados, a fin de lograr una rápida respuesta ante un reporte emitido por algún usuario.

6.2. Horario de atención

El ArCERT tiene un horario de atención coincidente con los horarios de trabajo de la Administración Pública Nacional, de 09:00 horas a 17:30 horas, pudiéndose extender en casos de problemas críticos.

6.3. Medios de contacto con ArCERT

Puede contactarse con el ArCERT por las siguientes vías:

a) Teléfono: usando el teléfono directo del ArCERT

b) Facsímil: utilizando el fax directo del ArCERT

c) E-mail: por medio del e-mail a la cuenta de correo del ArCERT

d) Formulario WEB: por medio de los formularios de contacto que aparecerán en su página WEB. En este sitio, se podrán establecer sesiones seguras, a fin de verificar, en primera instancia, la identidad de quién está ingresando y, en segundo lugar, de asegurar la veracidad de los datos que están circulando.

En el caso de E-Mail y Formularios Web los requerimientos de identidad y confidencialidad expresados anteriormente se implementarán a través de la Autoridad Certificante de la SECRETARIA FUNCIÓN PUBLICA.

7. Bases de Datos

El ArCERT almacenará los datos correspondientes a la gestión de eventos y a material de investigación sobre temas vinculados. Las bases de datos privadas y públicas estarán almacenadas en motores que soporten accesibilidad remota, control de accesos y validación de usuarios. Se aplicarán procedimientos ad hoc para proteger y resguardar los datos respectivos.

8. Procedimientos

8.1. P1. Consultas a Base de Información

8.1.1. Descripción del Procedimiento

Este proceso contempla dos tipos de consulta:

1 ) a la tabla pública: tiene acceso cualquier persona.

2) a la tabla privada: sólo tienen acceso los usuarios simples y plenos del ArCERT.

El acceso se realiza a través del sitio WEB. Si el que accede no es usuario, sólo podrá realizar consultas a la tabla pública, siguiendo los pasos que se indican a continuación:

Al acceder a este sitio se realiza un registro de acceso en la tabla de Logs. Seguido, se le presenta al usuario un formulario de consulta, con el cual, una vez completado y enviado, se realiza una búsqueda y se le comunican los resultados.

Si el que accede es usuario simple o pleno del ArCERT, primero se establece una comunicación segura. Luego se realiza el registro del acceso en una tabla, autenticando luego al usuario. Si esta autenticación es valida, se setea el perfil del usuario, enviando luego un formulario. Una vez completado y enviado, sirve para realizar la búsqueda, presentándole los resultados.

Seguido, se le da la opción de continuar buscando, y ante la respuesta afirmativa, se vuelve a realizar el proceso de formulario-búsqueda-presentación.

Si la respuesta es negativa, se cierra la sesión segura.

8.1.2. Flujograma

El flujograma obra como Anexo I - a)

8.2. P2. Síntesis de Reporte

8.2.1. Descripción del Procedimiento

1) Recopilación de toda la información referente al evento producido (reporte, comunicaciones e información adicional).

2) Síntesis del evento, realizando una explicación pormenorizada de los hechos producidos, así como de las líneas de acción propuestas.

3) Se despersonaliza el documento creado, retirando toda la información sensible e identificatoria del suceso.

4) Se tabula el evento y se lo registra en la Tabla de Eventos.

8.2.2. Flujograma

El flujograma obra como Anexo I - b)

8.3.P3. Asociación a ArCERT

8.3.1. Requerimientos de Certificado Digital

Los usuarios plenos deberán gestionar y obtener, previo a la presentación de la solicitud de asociación, un Certificado de Clave Pública de Agente Público ante la Autoridad Certificante de la SECRETARIA DE LA FUNCION PUBLICA.

8.3.2. Descripción del Procedimiento

Es requisito previo indispensable para asociarse, el haber obtenido un certificado de clave pública de empleado público otorgado por la Autoridad Certificante de la SECRETARIA DE LA FUNCION PUBLICA.

Una vez en posesión de este certificado, llenará los datos en un formulario de 'Solicitud para Asociarse a ArCERT', enviando este último junto con una 'Nota de Autorización para asociarse a ArCERT' por los canales administrativos normales (Mesa de Entradas de la SECRETARIA DE LA FUNCION PUBLICA, Diagonal Norte 511, C.P. 1013, Buenos Aires) dirigida al ArCERT.

Ambos formularios se pueden bajar del sitio WEB de ArCERT.

El ArCERT evaluará el pedido y si la solicitud es aprobada, el interesado es contactado e informado de ello. En ArCERT, se genera alta de usuario.

Si de la evaluación del pedido, resultara que el solicitante no posee los requisitos adecuados, se le informa de ello vía e-mail, procediendo luego a dar de baja la solicitud.

8.3.3. Flujograma

El flujograma figura como Anexo I - c)

8.4.P4. Reporte de Eventos

8.4.1. Formas de interactuar con ArCERT

Los formularios para interactuar con ArCERT, podrán ser enviados de cuatro formas diferentes:

• por e-mail

• por fax

• por teléfono

• por formulario de página WEB

Sólo los usuarios plenos o simples de ArCERT podrán remitir formularios, tanto de reporte como de información adicional, debido a que estos formularios deberán estar firmados digitalmente, proporcionada ésta por la Autoridad Certificante y autorizados por ArCERT.

ArCERT indefectiblemente responderá los reportes generados por los usuarios plenos, en cambio, es prerrogativa de ArCERT responder reportes originados por usuarios simples.

Descripción de cada una de las formas:

Por e-mail:

Una vez recibido el e-mail, el cual deberá estar firmado digitalmente (caso contrario será rechazado) se evalúa si es un reporte de incidente o información adicional al reporte de incidente. En caso de ser un reporte, se completa el reporte en el ArCERT con los datos brindados.

Por fax:

Recibido un fax, de reporte, se constata el UserID otorgado por el ArCERT, y si es válido, se procede como en el caso anterior, constatando si es un reporte o información adicional; si es un reporte, se completa el formulario en el sistema del ArCERT, con los datos brindados. En caso contrario (el UserID que tiene no es válido), el fax se descarta.

Por teléfono:

Establecida una comunicación en la cual se quiere efectuar un reporte, ArCERT solicita el UserId del llamante. Si se obtiene por respuesta un UserID válido, se procede a tomar los datos, para determinar, a posteriori, si es un reporte o información adicional.

Si se determina que es un reporte, se procede a completar el formulario del sistema del ArCERT, caso contrario (en que el UserID con que se contesta no es válido), la llamada se descarta.

Por formulario de página WEB:

Recibido el formulario obtenido desde la página WEB, lo primero a verificar es la firma digital que trae, a fin de corroborar la veracidad del formulario, si la firma digital que tiene no es válida, se descarta inmediatamente.

8.4.2. Descripción del Procedimiento

Una vez en posesión del formulario de datos, se evalúa si es reporte o información adicional. En el primer caso, se lo pasa al sistema del ArCERT, caso contrario (no es válida la firma digital), se descarta el mismo.

Si en cualquiera de los cuatro casos anteriores los datos representan información adicional, se la incorpora al reporte que corresponda, registrando el ingreso de esa documentación en la tabla de seguimiento.

Obtenidos reportes válidos, de cualquiera de los cuatro canales posibles, se los registra, se le asigna un ReportID (único para cada reporte) y se confirma la recepción del informe.

Seguido, se procede a evaluarlo, determinando si se trata de un nuevo reporte, o bien, ya es un problema conocido.

Luego de la evaluación, se responde al usuario, según el caso, registrando la respuesta.

En caso de ser necesaria más información, se le solicitará al originador por medio del Formulario de respuesta, y, éste deberá realizar el nuevo informe utilizando para ello el Formulario de Información Adicional. Toda la información adicional que se obtenga, tendrá el ReportID otorgado al reporte original.

Una vez finalizado el incidente, se procede a clasificarlo, sintetizarlo y despersonalizarlo, y luego se registra en la tabla de eventos.

Si se determina en la clasificación que el evento amerita un alerta hacia los usuarios, se lo genera en forma inmediata.

La interacción con el ArCERT se efectuará mediante tres clases de formularios:

1) Formulario de reporte de incidente

2) Formulario de respuesta

3) Formulario de información adicional

Estos formularios son accesibles en la página Web del ArCERT.

Serán modificados o actualizados por ArCERT según el estado del arte.

8.4.3. Flujograma

El flujograma obra como Anexo I - d)

8.4.4.Formulario de Reporte de Incidente

La finalidad de este formulario es recopilar la máxima información referente a cualquier incidente de seguridad. La información es opcional, pero, cuantas más respuestas conozca el ArCERT, mejor asistencia se podrá ofrecer. Completar el formulario evitará pérdidas innecesarias de tiempo en caso de que ArCERT necesite más información sobre el incidente. Muchas veces, el simple hecho de contestar el formulario, va a ayudar en la propia resolución del incidente.

Toda información recibida será considerada confidencial, a no ser que ArCERT reciba una autorización explícita por parte del informante para divulgarla total o parcialmente.

8.4.5. Formulario de Respuesta

La finalidad de este formulario es dar respuesta desde el ArCERT hacia los usuarios en relación al incidente reportado.

8.4.6. Formulario de Información Adicional

La finalidad de este formulario es recopilar información adicional referente al incidente de seguridad reportado.

9. Control y Auditoría

Con la información disponible en las bases de datos de ArCERT, se podrá realizar un efectivo control de los incidentes, el seguimiento de los mismos, y luego auditar la información disponible.

ArCERT dispondrá de casi toda la información soportada en forma digital, minimizando el uso de formularios e información sobre papel, a fin de facilitar la auditoría de los diversos procesos.

9.1. Control Interno

El control de los procedimientos que hacen al funcionamiento de ArCERT se lleva a cabo según lo descripto en la 'Política de Seguridad' de ArCERT, específicamente en los puntos 1.6.7 y siguientes.

9.2. Auditoría externa

La auditoría externa se llevará a cabo por una entidad o institución externa al ámbito donde se desenvuelve ArCERT. Esta entidad será designada por el Subsecretario de Tecnologías Informáticas.

La entidad o institución que realice la auditoría, deberá firmar un acuerdo de confidencialidad. ArCERT brindará todos los documentos que le sean requeridos así como los datos necesarios para llevarla a cabo.

9.2.1 Resultados

Los resultados de la auditoría serán elevados al Subsecretario de Tecnologías Informáticas, dentro de los 10 (diez) días de finalizada, en forma de documento impreso, constando en el mismo, un resumen de lo realizado, un detalle pormenorizado de lo que se ha hallado y una evaluación del accionar de ArCERT. Una vez que el Subsecretario haya tomado conocimiento del documento, se realizará una copia digital del mismo, la que se almacenará en un medio que no permita la sobreescritura, indicando claramente la fecha de realización de la misma y depositándola luego en el lugar donde se almacenan las copias de seguridad; la copia impresa deberá ser destruida. Se almacenarán las copias por un lapso de 5 (cinco) años, pasado este lapso, se procederá a destruir las copias de manera definitiva.

9.2.2 Periodicidad de las Auditorías

Se realizará al menos 1 (una) auditoría por año, siendo el Subsecretario de Tecnologías Informáticas el que determine las fechas en las cuales se llevarán a cabo.

10. GLOSARIO

Usuario: persona física debidamente acreditada ante el ArCERT.

Incidente: situación que compromete la seguridad de una red de computadoras.

Reporte de Incidente: información brindada por un usuario al ArCERT de lo que sospecha un problema de seguridad en su red.

Tabla de Reportes: Tabla que contiene todos los reportes llegados al ArCERT

Tabla de Seguimiento: Tabla en la cual se almacenan los registros del intercambio de información realizada entre ArCERT y el usuario que reporta un evento.

Tabla de Logs: Tabla en la cual se registran los accesos realizados a un determinado site.

Tabla de Eventos Privada: Tabla que contiene la síntesis de los eventos de seguridad y a la que sólo tienen acceso los usuarios plenos y simples del ArCERT

Tabla de Eventos Pública: Tabla que contiene información de interés público, y a la que tienen acceso todos los usuarios del ArCERT.

Perfil de Usuario: Derechos que tiene un usuario a realizar determinado tipo de acciones dentro de un sistema de información.

Formulario Reporte: Formulario que hace llegar el usuario al ArCERT cuando sospecha, o tiene un problema de seguridad en su red.

Formulario de Información Adicional: Formulario que es enviado al ArCERT con información adicional acerca de un evento de seguridad.

Formulario de Solicitud de Certificado: Formulario que debe enviar el interesado para ingresar como usuario del ArCERT.

Nota de Autorización para Usuario: Nota que debe enviar el superior de la persona que desea constituirse en usuario del ArCERT, con el fin de avalar el pedido realizado.

CA-SFP: Autoridad Certificante, Secretaría de la Función Pública, es la encargada de emitir los certificados de firma digital.

Comité Asesor: Comité conformado por personas reconocidas en el medio como referentes sobre el tema de seguridad en redes.

ArCERT: Coordinación de Emergencia en Redes Teleinformáticas de la Administración Pública Argentina, tiene por finalidad investigar y brindar asesoramiento a sus usuarios en temas referentes a la seguridad en redes de computadoras.

Firma Digital: método que permite determinar la veracidad de la información brindada por alguien.

Según el Decreto Nº 427/98 es el resultado de una transformación de un documento digital empleando un criptograma asimétrico y un digesto seguro, de forma tal que una persona que posea el documento digital inicial y la clave pública del firmante pueda determinar con certeza:

1) Si la transformación se llevó a cabo utilizando la clave privada que corresponde a la clave pública del firmante.

2) Si el documento digital ha sido modificado desde que se efectuó la transformación.

La conjunción de los dos requisitos anteriores garantiza su no repudio y su integridad.

ReportlD: número de identificación que obtiene todo reporte que ingresa al ArCERT.

Libro de novedades: mecanismo de archivo digital en el que se asientan las actuaciones realizadas por ArCERT.

ANEXO II

Política de Seguridad del ArCERT

POLITICA DE SEGURIDAD DEL ARCERT

1.1. Servicios

1.2. Descripción de cada uno de los servicios

1.3. Clasificación de los servicios

1.4. Análisis de criticidad, políticas y procedimientos

1.5. Procedimientos

1.5.1. Procedimiento de elección de password

1.5.2. Procedimiento de cambio de password

1.5.3. Procedimiento de copia de respaldo

1.5.4. Procedimiento de password de encriptación

1.5.5. Procedimiento de mantenimiento de copias de respaldo

1.5.6. Procedimiento de destrucción de copia de respaldo

1.5.7. Procedimiento de accesibilidad

1.5.8. Procedimiento para verificar el acceso al sitio administrativo

1.5.9. Procedimiento de filtrado

1.5.10 Procedimiento de firmado de páginas

1.5.11 Procedimiento de actualización sitio WEB

1.5.12 Procedimiento de Funcionamiento del servicio

1.5.13 Procedimiento de Funcionamiento de las distintas listas de correo

1.5.14 Procedimiento de Funcionamiento de línea telefónica

1.5.15 Procedimiento de Funcionamiento de facsímil

1.5.16 Procedimiento de Poco papel de facsímil

1.5.17 Alimentación de Energía

1.5.18 Procedimiento de informe de mal funcionamiento de la UPS

1.5.19 Procedimiento de Servicios activos

1.5.20 Procedimiento de Recuperación ante contingencia

1.5.21 Procedimiento de Chequeo de logs

1.5.22 Procedimiento de Chequeo de Integridad

1.5.23 Procedimiento de Instalación de actualizaciones

1.5.24 Procedimiento de Funcionamiento del servicio de Transferencia de Archivos

1.5.25 Procedimiento de Cuentas habilitadas

1.5.26 Procedimiento de Almacenamiento de Documentos

1.5.27 Procedimiento de Revisión y actualización de documentos

1.5.28 Procedimiento de Seguridad Física del lugar

1.5.29 Procedimiento de Protección contra incendio

1.5.30 Procedimiento para la confección del listado de las personas autorizadas a acceder al recinto donde se almacenan las copias de respaldo.

Introducción

Esta política de seguridad comprende los criterios, procedimientos y responsabilidades a aplicarse sobre los recursos lógicos y físicos con los que cuenta el ArCERT.

1.1. Servicios

Los servicios de ArCERT son:

- Sitio WEB público

- Sitio WEB privado

- Sitio WEB de administración

- Servidor de e-mail

- Servidor de listas de e-mail

- Servicio de Transferencia de Archivos

- Servicio de Terminal remota

- Base de conocimiento pública

- Base de conocimiento privada

- Documentación variada sobre seguridad

- Datos de los usuarios del ArCERT

- Atención telefónica/fax

- Documentación impresa.

1.2. Descripción de cada uno de los servicios

Sitio WEB público: a este sitio tiene acceso el público en general.

Sitio WEB privado: este sitio sólo puede ser accedido por los Usuarios registrados ante ArCERT. Los Usuarios plenos podrán además ver sus reportes y realizar el seguimiento de los mismos.

Sitio WEB de administración: este sitio sólo puede ser accedido desde las oficinas de ArCERT con fines administrativos.

Servidor de e-mail: este servicio es para el envío-recepción de correo electrónico.

Servidor de listas de e-mail: este servicio es para permitir el uso de listas de correo electrónico.

Servicio de Transferencia de Archivos: este servicio tiene la finalidad de permitir realizar operaciones con archivos en los servidores y sólo puede ser accedido desde las oficinas de ArCERT.

Servicio de Terminal remota: este servicio permite la conexión remota con los servidores, y sólo puede ser realizado desde las oficinas de ArCERT.

Base de conocimiento pública: en esta base de conocimiento se encuentra información referente a temas de seguridad que tiene carácter público.

Base de conocimiento privada: en esta base de conocimiento se encuentra información sobre los eventos de seguridad reportados a ArCERT.

Documentación variada sobre seguridad: Información varia sobre temas de seguridad.

Datos de los usuarios del ArCERT: información sobre datos correspondientes a los usuarios del ArCERT

Atención telefónica/fax: Servicio por el cual son atendidos los usuarios. Dentro del horario de atención, se realiza por medio del teléfono. Fuera del horario de atención, el servicio es de recepción de facsímil.

1.3. Clasificación de los servicios

La clasificación se realiza en base a la accesibilidad del recurso, siendo ésta del tipo pública, de Usuarios registrados (privada) o de los operadores de ArCERT

1.4. Análisis de criticidad, políticas y procedimientos

En el módelo de tabla que sigue a continuación, se volcarán todos los datos que resulten del análisis de todos los recursos y sus respectivos niveles de criticidad, tanto lógicos como físicos, definiendo posteriormente los procedimientos acordes para protegerlos.

Los niveles de Riesgo y de Importancia se evalúan entre 1 y 10, correspondiendo a 10 el mayor nivel de Riesgo o Importancia.

Tabla de Análisis de Criticidad

Recurso

Riesgo

Importancia

Criticidad (R*i)

Nivel de Criticidad

Política

Procedimientos

Frecuencia

Responsable

Elementos de Auditoría

Permisos del Responsable

 

 

 

 

 

 

 

 

 

 

 

Esta tabla podrá ser modificada por el ArCERT de acuerdo al estado del arte.

1.5. Procedimientos

La ejecución de cualquier procedimiento, da origen al registro correspondiente en el 'Libro de Novedades'

1.5.1.Procedimiento de elección de password

Las palabras claves, deberán tener, al menos 6 (seis) caracteres alfanuméricos, con signos de puntuación intermedios, teniendo los siguientes recaudos al elegir la palabra:

- No usar los nombres propios (en sentido reverso, todo con mayúsculas o minúsculas, con caracteres intercalados, nombre repetido).

- No usar nombres de sus parientes cercanos (esposa, esposo, hijos, abuelos, tíos)

- No usar cualquier información que pueda ser fácilmente obtenible (ej: número de chapapatente del automóvil, fecha de nacimiento propia o de parientes cercanos, números telefónicos, marca del automóvil propio o de la esposa, calle en la que vive, etc.)

- No usar todos los caracteres alfabéticos o numéricos.

- No usar palabras que puedan estar incluidas en un diccionario, tanto del español como de lengua extranjera.

1.5.2. Procedimiento de cambio de password

Se debe realizar primero el Procedimiento de elección de password, luego se realiza el cambio de password con el comando que corresponda, acto seguido, se realiza una copia de seguridad de los archivos involucrados en el cambio de password, siguiendo el procedimiento de Procedimiento de copia de respaldo. Luego escribe el nuevo password en un papel junto con la fecha en que se realiza el cambio, se ensobra y se deposita ante la autoridad competente, al hacer esto, se retira el sobre con el contenido del password que ha caducado y sin abrirlo se procede a destruirlo.

1.5.3. Procedimiento de copia de respaldo

Todas las copias de respaldo que se realicen en ArCERT deberán estar encriptadas, para la elección del password de encriptación, se seguirá el Procedimiento de password de encriptación y serán copias de respaldo totales, no incrementales, una vez realizada la copia, se seguirá el Procedimiento de mantenimiento de copias de respaldo, y luego el Procedimiento de destrucción de copia de respaldo.

1.5.4. Procedimiento de password de encriptación

Cada vez que se realice una copia de respaldo, se establecerá una nueva password de encriptación de los datos, siendo esta elección regido por el Procedimiento de elección de password. Una vez establecida, será escrita junto con la fecha, ensobrada y guardada por la autoridad competente.

1.5.5. Procedimiento de mantenimiento de copias de respaldo

Se mantendrán 2 (dos) copias de respaldo anteriores a la última realizada. La últimas 3 (tres) copias realizadas deberán mantenerse fuera del recinto donde se encuentran los servidores. También se mantendrán de la misma manera las passwords de encriptación con que se han realizado las copias de respaldo. El recinto donde se almacenen, deberá encontrarse fuera del edificio en que se encuentran los servidores de ArCERT, dicho recinto, tendrá que ser ignífugo y, contar con seguridad, de tal manera de sólo permitir el acceso a él a las personas que figuren en un listado hecho a tal efecto y que esté en poder del personal de seguridad.

1.5.6. Procedimiento de destrucción de copia de respaldo

La copia de respaldo y el sobre que contiene el password que se utilizó para encriptar los datos que deben ser desechados debido a una nueva copia de respaldo, deberán ser totalmente destruidos o asegurar la imposibilidad de acceder a los datos contenidos en ella.

1.5.7. Procedimiento de accesibilidad

Se realizará un intento de accesibilidad al servicio denotado, pudiendo los resultados variar según el tipo de prueba que se realice, así, los resultados pueden ser:

a) prueba de acceso al sitio público: el acceso debe ser posible a cualquier usuario que quiera acceder. No debe haber ninguna restricción.

b) prueba de acceso al sitio privado: el acceso debe ser posible a aquellos usuarios registrados en ArCERT, a todo otro intento, se le debe negar el acceso.

c) prueba de acceso a un sitio administrativo: este sitio sólo debe ser accedido por el personal de ArCERT y desde las oficinas de ArCERT, negando el acceso cuando no se cumpla alguna de las dos condiciones citadas anteriormente.

1.5.8. Procedimiento para verificar el acceso al sitio administrativo

Periódicamente se hará una doble simulación de acceder al sitio, en un primer caso, con un usuario válido y en un segundo caso, con un usuario inválido. La respuesta del sitio deberá ser dejar ingresar al primer usuario y negarle el acceso al segundo usuario. Si se detectara algún mal funcionamiento, se labrará un acta en el Libro de Novedades con todos los detalles de lo sucedido, y acto seguido se procederá a subsanar el problema.

1.5.9. Procedimiento de filtrado

Se verificará el filtrado de todos los paquetes de información a los servidores que tengan alguna de las siguientes características:

• Paquetes ICMP

• Paquetes UDP cuyo puerto fuente o puerto destino sea distinto a 53 (DNS)

• Paquetes TCP con pedidos de inicio de conexión a los servidores cuyo port destino sea distinto a los siguientes: SMTP, HTTP, HTTP SEGURO

Se verificará el filtrado de todos los paquetes de información hacia las workstation de ArCERT que tengan alguna de las siguientes características:

• Paquetes ICMP

• Paquetes UDP cuyo puerto fuente o puerto destino sea distinto a 53 (DNS)

• Paquetes TCP con pedidos de inicio de conexión.

Los datos respectivos a cada equipo serán volcados en la siguiente tabla.

Máquina

Servicio

Port

Hacia el exterior

Uso interno

 

 

 

 

 

1.5.10. Procedimiento de firmado de páginas

Toda página en los sitios WEB estará firmada digitalmente con el certificado de clave privada del servidor web correspondiente, a fin de garantizar la autenticidad de su contenido. En caso de ser necesario, las páginas en cuestión serán firmadas según lineamientos que recomiende el FIRST.

1.5.11. Procedimiento de actualización sitio WEB

Toda vez que se deba actualizar un sitio WEB, primero se aplicará el Procedimiento para el firmado de páginas, actualizando luego el sitio. A continuación se cambiará la 'fecha de última actualización' en la home page, y finalmente se llevará a cabo una copia de respaldo del sitio, siguiendo el Procedimiento de copias de respaldo.

1.5.12. Procedimiento de Funcionamiento del servicio

Enviando un e-mail a una cuenta de prueba y luego leyendo este mail desde un cliente se asegura el funcionamiento del servicio.

1.5.13. Procedimiento de Funcionamiento de las distintas listas de correo

Enviando un e-mail a cada una de las listas y corroborando que el mensaje ha llegado al menos a un destino.

1.5.14. Procedimiento de Funcionamiento de línea telefónica

Periódicamente se tomará línea y se comprobará la existencia de tono de marcado. En el caso de no existir dicho tono, se realizará el reclamo pertinente a la empresa de telecomunicaciones o al responsable de telecomunicaciones del organismo.

1.5.15. Procedimiento de Funcionamiento de facísimil

Se comprobará en primera instancia la presencia de tono de discado siguiendo el Procedimiento de Funcionamiento de línea telefónica, una vez comprobado este punto, se realiza una copia de cualquier documento en el facísimil, comprobando que la misma sea correcta, en caso de detectarse la aparición de una línea roja en el margen derecho de la copia, se debe seguir el Procedimiento de Poco papel de facísimil.

1.5.16. Procedimiento de Poco papel de facísimil

Al detectarse poco papel en la máquina de facísimil, se procede a realizar un requerimiento de papel de fax, siendo entregado al responsable para su diligenciamiento, realizando una entrada en el Libro de Novedades la cual será firmada por el receptor del requerimiento de papel.

1.5.17. Alimentación de Energía

Se simulará una disrupción de la energía eléctrica de la red, se cronometrará que el dispositivo permanezca funcionando 15 minutos, debiéndose, si ello es factible, apagarse automáticamente pasado este tiempo. Ante cualquier desviación a este tiempo o indicación por parte de la UPS de mal funcionamiento, se procederá a realizar el Procedimiento de informe de mal funcionamiento de la UPS.

1.5.18. Procedimiento de informe de mal funcionamiento de la UPS

Se realizará un informe de lo detectado, mencionando las posibles soluciones al problema. Este informe será copiado en el Libro de Novedades, el informe será presentado al responsable para su diligenciamiento, quien procederá a acusar recibo del mismo firmando la copia realizada en el Libro de Novedades.

1.5.19. Procedimiento de Servicios activos

Utilizando una herramienta para escaneo de puertos TCP se chequearán puertos activos en los servidores, siendo los únicos permitidos aquellos que se encuentran expresamente definidos en las tablas correspondientes a cada equipo definidas en el Procedimiento de filtrado. Este procedimiento se repetirá, como mínimo, una vez por semana.

1.5.20. Procedimiento de Recuperación ante contingencia

Se realizará una recuperación de los datos respaldados, restauración que se realizará en un lugar provisorio, a fin de constatar la correcta realización de las copias realizadas y del correcto funcionamiento del mecanismo de respaldo. Este procedimiento se repetirá, como mínimo, dos veces al año.

1.5.21. Procedimiento de Chequeo de logs

Todos los accesos a los servidores serán logueados para su posterior análisis. Los logs a revisar son:

/var/adm/messages

/var/adm/sulog

/var/adm/wtmp

/var/adm/utmp

/var/log/syslog

/var/log/tcpd

/usr/local/apache/logs/*

Se usará una herramienta específica para realizar el chequeo de los logs. Cualquier anormalidad será registrada en el Libro de Novedades y luego será investigada, dejándose constancia del resultado.

1.5.22. Procedimiento de Chequeo de Integridad

Se realizará un chequeo de integridad tendiente a verificar que no ha habido ninguna modificación no programada de archivos de configuración, binarios, etc. Para ello, se utilizará el programa específico cuyo binario y base de datos de chequeo se encontrarán almacenados en un dispositivo no conectado a los servidores. Este procedimiento se repetirá, como mínimo, una vez por semana.

1.5.23. Procedimiento de Instalación de actualizaciones

Detectada la aparición de nuevas actualizaciones para el software que se está usando, se procederá a su instalación. Luego, se realiza el Procedimiento de Chequeo de Integridad a fin de regenerar la base de chequeos de integridad para así reflejar los cambios realizados y acto seguido se realizará el Procedimiento de copia de respaldo.

1.5.24. Procedimiento de Funcionamiento del servicio de Transferencia de Archivos

Se realizará una prueba de trasmitir un archivo hacia el servidor y luego recibir un archivo desde el servidor. Este procedimiento se repetirá, como mínimo, una vez por semana.

1.5.25. Procedimiento de Cuentas habilitadas

En los equipos que están tabulados en un nivel de criticidad alto, definido previamente en la Tabla de Análisis de Criticidad, se restringirán las cuentas de acceso sólo a las necesarias para su administración y operación.

1.5.26. Procedimiento de Almacenamiento de Documentos

Toda la documentación impresa de ArCERT estará almacenada en un lugar seguro bajo llave, dentro del ámbito de ArCERT. Los miembros del ArCERT tendrán una copia de la llave, y otra copia de la misma será entregada a la autoridad bajo sobre cerrado.

1.5.27. Procedimiento de Revisión y actualización de documentos

Una vez realizada la modificación y su correspondiente copia, se procederá a destruir la versión anterior y guardar en su lugar la nueva.

1.5.28. Procedimiento de Seguridad Física del lugar

El acceso al lugar estará restringido, debiendo estar la llave de acceso al mismo depositada en un sobre ante autoridad pertinente, quedando registrado ante la misma los datos de las personas que posean una copia de la llave. Terminada la relación laboral, dichas personas se encuentran obligadas a devolver su copia. Queda Expresamente prohibido realizar copias sin la debida autorización de la autoridad. Toda copia podrá sólo ser efectuada con permiso de la misma, dejándose constancia de tal acto. Las tareas de limpieza serán realizadas con la presencia de uno de los integrantes del ArCERT o personal expresamente autorizado.

1.5.29. Procedimiento de Protección contra incendio

Se deberá contar con una adecuada protección contra los incendios, debiendo ser los extinguidores para computadores del tipo HALOGENADOS, los demás, del tipo ABC. Una vez al año, se renovará la carga de todos los extinguidores, y se controlará cada seis meses. Dicho control será efectuado por el personal de seguridad del edificio, debiendo quedar una copia de la aprobación en las oficinas de ArCERT.

1.5.30. Procedimiento para la confección del listado de las personas autorizadas a acceder al recinto donde se almacenan las copias de respaldo.

Este listado estará confeccionado en papel membretado, fácilmente identificable (de ser posible no de color blanco), conteniendo una breve explicación de cuál es su finalidad, con la expresa mención de que sólo se permita el acceso al lugar indicado de aquellas personas que figuran en la lista, previa presentación del documento de identidad, contendrá además la fecha de confección del presente y los datos de las personas autorizadas a acceder (nombre, apellido, número y tipo de documento). Estará rubricada por el Subsecretario de Tecnologías Informáticas. Cada vez que se confeccione un nuevo listado, se asentará la confección del mismo en el Libro de Novedades reflejando los datos contenidos en el mismo. Una vez confeccionado el nuevo listado, se lo llevará al personal de seguridad del recinto donde se almacenen las copias de respaldo, destruyendo en primer lugar el listado ya caduco y acto seguido se hace entrega del nuevo listado.

Scroll hacia arriba