VISTO: Lo dispuesto en el artículo 55 de la Ley No. 18.046, de 24 de
octubre de 2005, con la redacción dada por el artículo 118 de la Ley No.
18.172, de 31 de agosto de 2007, en materia de seguridad en el uso de las
tecnologías de la información y las comunicaciones en el Estado.
RESULTANDO: I) Que razones de juridicidad y conveniencia imponen estatuir
aquellos aspectos básicos y primarios de la reglamentación, que ordenen y
favorezcan su puesta en práctica.
II) Que el artículo 55 de la Ley No. 18.046, de 24 de octubre de 2005, con
la redacción dada por el artículo 118 de la Ley No. 18.172, de 31 de
agosto de 2007, le confiere a la Agencia para el Desarrollo del Gobierno
de Gestión Electrónica y la Sociedad de la Información y del Conocimiento
(AGESIC) las facultades legales de promover el establecimiento de
seguridades que hagan confiable el uso de las tecnologías de la
información concibiendo y desarrollando una política nacional en temas de
seguridad de la información, que permita la prevención, detección y
respuesta frente a incidentes que puedan afectar los activos críticos del
país.
III) Que el artículo 74 de la Ley No. 18.362, de 6 de octubre de 2008
faculta a la Agencia para el Desarrollo del Gobierno de Gestión
Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) a
apercibir directamente a los organismos que no cumplan con las normas y
estándares en tecnología de la información establecidas por la normativa
vigente, en lo que refiera a seguridad de los activos de la información y
políticas de acceso, entre otras.
IV) Que la Ley Nº 18.331 de Protección de Datos Personales y Acción de
Habeas Data, de 11 de agosto de 2008, dispone que el responsable o usuario
de la base de datos debe adoptar las medidas que resultaren necesarias
para garantizar la seguridad y confidencialidad de los datos personales.
CONSIDERANDO: I) Que se debe disponer medidas para garantizar la confianza
y seguridad de los sistemas y de la información en poder de los organismos
públicos.
II) Que con el fin de proteger los activos de información y minimizar el
impacto en los servicios causados por vulnerabilidades o incidentes de
seguridad se debe proveer una efectiva gestión de la seguridad.
ATENTO: a lo precedentemente expuesto y a lo preceptuado en las
disposiciones citadas y en el artículo 168 ordinal 4º de la Constitución.
EL PRESIDENTE DE LA REPUBLICA
-actuando en Consejo de Ministros-
DECRETA:
Las Unidades Ejecutoras de los Incisos 02 al 15 del Presupuesto Nacional,
deberán adoptar en forma obligatoria una Política de Seguridad de la
Información, tomando como base la "Política de Seguridad de la Información
para Organismos de la Administración Pública", que se incorpora al
presente Decreto en el Anexo I, con el propósito de impulsar un Sistema de
Gestión de Seguridad de la Información. (*)
Se exhorta a los Gobiernos Departamentales, los Entes Autónomos, los
Servicios Descentralizados y, en general, a todos los órganos del Estado a
adoptar las disposiciones establecidas en el presente Decreto.
RODOLFO NIN NOVOA - JORGE BRUNI - NELSON FERNANDEZ - ANDRES MASOLLER - GONZALO FERNANDEZ - MARIA SIMON - VICTOR ROSSI - RAUL SENDIC - JULIO BARAIBAR - MARIA JULIA MUÑOZ - ERNESTO AGAZZI - HECTOR LESCANO - CARLOS COLACCE - MARINA ARISMENDI