Decreto 452/009
Establécese que las Unidades Ejecutoras de los Incisos 02 al 15 deberán
adoptar en forma obligatoria una Política de Seguridad de la Información,
tomando como base la "Política de Seguridad de la Información para
Organismos de la Administración Pública".
(2.384*R)
MINISTERIO DEL INTERIOR
MINISTERIO DE RELACIONES EXTERIORES
MINISTERIO DE ECONOMIA Y FINANZAS
MINISTERIO DE DEFENSA NACIONAL
MINISTERIO DE EDUCACION Y CULTURA
MINISTERIO DE TRANSPORTE Y OBRAS PUBLICAS
MINISTERIO DE INDUSTRIA, ENERGIA Y MINERIA
MINISTERIO DE TRABAJO Y SEGURIDAD SOCIAL
MINISTERIO DE SALUD PUBLICA
MINISTERIO DE GANADERIA, AGRICULTURA Y PESCA
MINISTERIO DE TURISMO Y DEPORTE
MINISTERIO DE VIVIENDA, ORDENAMIENTO
TERRITORIAL Y MEDIO AMBIENTE
MINISTERIO DE DESARROLLO SOCIAL
Montevideo, 28 de Setiembre de 2009
VISTO: Lo dispuesto en el artículo 55 de la Ley No. 18.046, de 24 de
octubre de 2005, con la redacción dada por el artículo 118 de la Ley No.
18.172, de 31 de agosto de 2007, en materia de seguridad en el uso de las
tecnologías de la información y las comunicaciones en el Estado.
RESULTANDO: I) Que razones de juridicidad y conveniencia imponen estatuir
aquellos aspectos básicos y primarios de la reglamentación, que ordenen y
favorezcan su puesta en práctica.
II) Que el artículo 55 de la Ley No. 18.046, de 24 de octubre de 2005, con
la redacción dada por el artículo 118 de la Ley No. 18.172, de 31 de
agosto de 2007, le confiere a la Agencia para el Desarrollo del Gobierno
de Gestión Electrónica y la Sociedad de la Información y del Conocimiento
(AGESIC) las facultades legales de promover el establecimiento de
seguridades que hagan confiable el uso de las tecnologías de la
información concibiendo y desarrollando una política nacional en temas de
seguridad de la información, que permita la prevención, detección y
respuesta frente a incidentes que puedan afectar los activos críticos del
país.
III) Que el artículo 74 de la Ley No. 18.362, de 6 de octubre de 2008
faculta a la Agencia para el Desarrollo del Gobierno de Gestión
Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) a
apercibir directamente a los organismos que no cumplan con las normas y
estándares en tecnología de la información establecidas por la normativa
vigente, en lo que refiera a seguridad de los activos de la información y
políticas de acceso, entre otras.
IV) Que la Ley Nº 18.331 de Protección de Datos Personales y Acción de
Habeas Data, de 11 de agosto de 2008, dispone que el responsable o usuario
de la base de datos debe adoptar las medidas que resultaren necesarias
para garantizar la seguridad y confidencialidad de los datos personales.
CONSIDERANDO: I) Que se debe disponer medidas para garantizar la confianza
y seguridad de los sistemas y de la información en poder de los organismos
públicos.
II) Que con el fin de proteger los activos de información y minimizar el
impacto en los servicios causados por vulnerabilidades o incidentes de
seguridad se debe proveer una efectiva gestión de la seguridad.
ATENTO: a lo precedentemente expuesto y a lo preceptuado en las
disposiciones citadas y en el artículo 168 ordinal 4º de la Constitución.
EL PRESIDENTE DE LA REPUBLICA
-actuando en Consejo de Ministros-
DECRETA:
Las Unidades Ejecutoras de los Incisos 02 al 15 del Presupuesto Nacional,
deberán adoptar en forma obligatoria una Política de Seguridad de la
Información, tomando como base la "Política de Seguridad de la Información
para Organismos de la Administración Pública", que se incorpora al
presente Decreto en el Anexo I, con el propósito de impulsar un Sistema de
Gestión de Seguridad de la Información.
Se exhorta a los Gobiernos Departamentales, los Entes Autónomos, los
Servicios Descentralizados y, en general, a todos los órganos del Estado a
adoptar las disposiciones establecidas en el presente Decreto.
Comuníquese, publíquese, etc.
RODOLFO NIN NOVOA, Vicepresidente de la República en ejercicio de la
Presidencia; JORGE BRUNI; NELSON FERNANDEZ; ANDRES MASOLLER; GONZALO
FERNANDEZ; MARIA SIMON; VICTOR ROSSI; RAUL SENDIC; JULIO BARAIBAR; MARIA
JULIA MUÑOZ; ERENSTO AGAZZI; HECTOR LESCANO; CARLOS COLACCE; MARINA
ARISMENDI.
ANEXO I
Política de Seguridad de la Información para Organismos de la
Administración Pública
La Dirección del Organismo reconoce la importancia de identificar y
proteger los activos de información del Organismo. Para ello, evitará la
destrucción, divulgación, modificación y utilización no autorizada de toda
información, comprometiéndose a desarrollar, implantar, mantener y mejorar
continuamente un Sistema de Gestión de Seguridad de la Información.
La Dirección del Organismo declara el cumplimiento con la normativa y
legislación vigente en relación con aspectos de seguridad de la
información.
La Seguridad de la Información se caracteriza como la preservación de:
a) su confidencialidad, asegurando que sólo quienes estén autorizados
puedan acceder a la información;
b) su integridad, asegurando que la información y sus métodos de
proceso sean exactos y completos;
c) su disponibilidad, asegurando que los usuarios autorizados tengan
acceso a la información cuando lo requieran.
La seguridad de la información se consigue implantando un conjunto
adecuado de controles, tales como políticas, procedimientos, estructuras
organizativas, software e infraestructura. Estos controles deberán ser
establecidos para asegurar los objetivos de seguridad del Organismo.
El Organismo designará un Responsable de la Seguridad de la Información,
quien se encargará de la guía, implementación y el mantenimiento del
Sistema de Gestión de Seguridad de la Información.
La presente Política de Seguridad de la Información debe ser conocida y
cumplida por todo el personal del Organismo, independiente del cargo que
desempeñe y de su situación contractual.
Esta Política de Seguridad de la Información se integrará a la normativa
básica del Organismo, incluyendo su difusión previa, y la instrumentación
de las sanciones correspondientes por incumplimiento de la presente
política, así como de los documentos relacionados a ésta.
Es política del Organismo:
* Establecer objetivos anuales con relación a la Seguridad de la
Información.
* Desarrollar un proceso de evaluación y tratamiento de riesgos de
seguridad, y de acuerdo a su resultado implementar las acciones
correctivas y preventivas correspondientes, así como elaborar y actualizar
el plan de acción.
* Clasificar y proteger la información de acuerdo a la normativa
vigente y a los criterios de valoración en relación a la importancia que
posee para el Organismo.
* Cumplir con los requisitos del servicio, legales o reglamentarios y
las obligaciones contractuales de seguridad.
* Brindar concientización y formación en materia de seguridad de la
información a todo el personal.
* Contar con una política de gestión de incidentes de seguridad de la
información de acuerdo a los lineamientos establecidos por el CERTuy.
* Establecer que todo el personal es responsable de registrar y
reportar las violaciones a la seguridad, confirmadas o sospechadas de
acuerdo a los procedimientos correspondientes.
* Establecer los medios necesarios para garantizar la continuidad de
las operaciones del Organismo.