Back to top
La presente Base Normativa se encuentra en estado de revisión.
Los usuarios convienen en exonerar de responsabilidad a la Intendencia de Montevideo, División Asesoría Jurídica, Equipo Técnico de Actualización Normativa e Información Jurídica, por todo tipo de daño o perjuicio, directo o indirecto que eventualmente puedan sufrir especialmente los derivados de involuntarias inexactitudes, falta de información o datos imperfectos de cualquier naturaleza, contenidos en los archivos de dicha base.

Digesto Departamental
Relación Funcional
De la relación funcional
Reglamentaria
Del Sistema de Gestión de la Seguridad de la Información
De la política de seguridad fisica y del ambiente

Volumen III Relación Funcional

Libro III
De la relación funcional
Parte Reglamentaria
Título  Único
Nota:

Por Res.IM Nº 0441/23 de 19/01/2023 se aprobó un régimen de trabajo especial para el Servicio Central de Locomoción, que comienza a regir a partir del 1º de enero de 2023 y que extenderá su vigencia por el término de 1 (un) año.  Por Res.IM Nº 973/24 de 27/02/2024 se prorrogó la vigencia del citado régimen hasta el 31/12/2024.

Capítulo XVIII.3
Del Sistema de Gestión de la Seguridad de la Información
Sección III
De la política de seguridad fisica y del ambiente

Establecer la siguiente Política de Seguridad Física y del Ambiente de las áreas físicas donde el Departamento de Desarrollo Sostenible e Inteligente procese información o manipule equipamiento informático, con el objetivo de evitar accesos físicos no autorizados, daños e interferencias a las instalaciones y a la información:

a) Definir como áreas seguras aquellas instalaciones de procesamiento de la información crítica para la operativa de la Organización o que requieran un tratamiento particular para preservar su clasificación de secreta, reservada o confidencial. Esto incluye pero no está limitado a; centro de cómputos. sala de servidores, centros de producción o procesamiento informático;

b) Perímetro de seguridad física:
i. las paredes del perímetro de las áreas seguras deben ser de techo a piso y deberán tener solidez física,
ii. todas las puertas y ventanas del perímetro deberán estar protegidas contra accesos no autorizados,
iii. las áreas seguras deben ubicarse de forma de evitar el acceso público,

c) Controles de acceso físico:
i. el acceso a las áreas seguras se debe limitar a personas con razones válidas para su ingreso,
ii. las áreas seguras son áreas restringidas a las que no deben ingresar personal sin acceso supervisado,
iii. se deberá contar con un área de recepción atendida por personal a los efectos de controlar el acceso a las áreas seguras,
iv. las salidas de emergencia de incendio de las áreas seguras, deberán permanecer trancadas por dentro, evitando el ingreso, y despejadas, permitiendo la salida fácil en caso de evacuación.
v. se debe contar con información que identifique el centro de cómputos, las salas de servidores o cualquier otra área segura, que no debe estar disponible al público.

d) Control de acceso físico a salas de servidores:
i. las puertas de las salas de servidores deben contar con dispositivos de control de acceso mediante huella digital para autorizar el acceso,
ii. tiene autorizado el ingreso, las áreas de ADMINISTRACIÓN DE SISTEMAS , BASE DE DATOS, OPERACIONES, SEGURIDAD Y TELECOMUNICACIONES,
iii. se deberá mantener registros de acceso, en lo que se indique identificación de la persona, fecha y hora de entrada. Estos registros deberán mantenerse por un plazo mínimo de un año,
iv. el ingreso de personal de soporte de terceras partes será autorizado cuando sea requerido. Los mismos deberán estar acompañados por personal de las áreas autorizadas al ingreso. En caso que el trabajo a realizar justifique que los mismos ingresen en forma independiente, se le entregará una tarjeta de acceso individual. Para la entrega de la tarjeta de acceso, se deberá presentar un documento de identidad. Personal de Operaciones gestionará este tipo de acceso, registrando el nombre de la persona, empresa, persona que autorizó el ingreso, fecha y hora de entrega de la tarjeta, fecha y hora de devolución. La persona deberá firmar el registro al retirar la tarjeta y al momento de su devolución,
v. los derechos de acceso deben ser revisados y actualizados semestralmente y serán revocados cuando sea necesario,
vi. se deben utilizar sistemas de circuito cerrado de TV para monitorear el acceso a las salas de servidores y sus proximidades,
vii. las salas de servidores deben ser supervisadas 24 horas al día,
viii. las puertas de acceso deben contar con sistemas que aseguren su cierre automático y contar con alarma audible que permita avisar si la puerta permanece abierta por más de 30 (treinta) segundos.

e) Protección contra amenazas externas y del ambiente:
i. dentro de las salas de servidores y la sala de alimentación de energía, debe instalarse un sistema de detección y extinción de incendios. Dicho sistema deberá ser inspeccionado anualmente para garantizar su buen funcionamiento,
ii. se deberá coordinar con personal de Dirección Nacional de Bomberos los procedimientos en caso de incendio,
iii. no se deben almacenar materiales combustibles o peligrosos dentro de las salas de servidores ni en sus proximidades,
iv. se deben controlar las condiciones ambientales como temperatura y humedad, para verificar que no afecte el funcionamiento del equipamiento,
v. debe existir un mantenimiento regular del equipamiento de soporte (aire acondicionado, sistema de extinción de incendio, tableros eléctricos, UPS, etc),
vi. el equipamiento que se encuentra dentro de las salas debe estar conectado a una fuente de energía ininterrumpida (UPS) y las mismas deben ser conectadas a generadores que provean energía en caso de que elcorte sea prolongado. Las UPS deben proveer energía por un tiempo suficiente para el apagado normal de los equipos,
vii. el generador y las UPS deben inspeccionarse regularmente para asegurar la capacidad y funcionamiento,
viii. todo el equipamiento crítico deberá contar con dos fuentes de energía, alimentadas desde diferentes orígenes,
ix. se debe proveer de iluminación de emergencia,
x. se debe proveer servicios telefónicos para casos de comunicaciones de emergencia,
xi. previo a la instalación de nuevo equipamiento dentro de las salas de servidores, personal de operaciones deberá asegurar que existe capacidad en los racks, eléctrica yrefrigeración.

f) Trabajo en las áreas seguras:
i. se debe evitar el trabajo no supervisado en áreas seguras,
ii. no debe permitirse la presencia de equipos de fotografía, video, audio u otras formas de registro, a menos que la misma esté expresamente autorizada,
iii. no se debe comer ni beber en las salas de servidores.

g) Seguridad en el cableado:
i. dentro de las salas de servidores, las líneas de energía y telecomunicaciones deben tenderse en canalizaciones adecuadas, por debajo del piso falso,
ii. las líneas de energía deben estar separadas de los cables de comunicaciones para evitar interferencias,
iii. el equipamiento y el cableado debe estar claramente identificado para reducir al mínimo los errores,
iv. para los sistemas críticos se deberá utilizar cableado redundante,
v. se deben realizar inspecciones periódicas para evitar la conexión de dispositivos no autorizados,
vi. se deben colocar controles para evitar el acceso no autorizado a los gabinetes de equipamiento.

h) Mantenimiento del equipo:
i. todo el equipamiento crítico debe contar con mantenimiento,
ii. sólo personal de mantenimiento debidamente autorizado debe realizar reparaciones y mantenimiento en los equipos,
iii. se debe mantener registro de todos los fallos, reales o sospechosos y de los mantenimientos preventivos y correctivos,
iv. debe cumplirse con los requisitos impuestos por pólizas de seguro,
v. el equipamiento crítico de las salas de servidores deberá estar asegurado.

i) Alojamiento externo:
En caso de utilizar servicios contratados de alojamiento físico de equipamiento, el proveedor deberá cumplir con las condiciones detalladas anteriormente y deberá estar sujeto a los controles correspondientes.

j) Retiro de bienes:
i. el equipamiento, la información o el software no deben ser retirados de la Organización sin previa autorización,
ii. las personas habilitadas para autorizar el retiro son aquellas registradas por Servicios Internos.

k) Roles y responsabilidades:
i. el personal de las Gerencias de Tecnología de la Información y Tecnología para Ciudades Inteligentes es responsable de acompañar a todos los visitantes, vendedores, personal de soporte y otras personas no autorizadas, al ingreso a las áreas seguras,
ii. el personal de Operaciones es responsable por el acceso de personal no autorizado a las salas de servidores,
iii. el área de Seguridad Informática es responsable de asegurar su cumplimiento.

FuenteObservaciones
num. 1 y 4
Sustituye la Res. IMM Nº 65/10 de 04.01.2010
num. 1

Establecer que la Política de Seguridad Física y del Ambiente deberá ser revisada cuando ocurran cambios significativos (técnicos, normativo, negocio) o al menos cada tres años para evaluar su implantación y modificada cuando así se requiera, a efectos de eficaz cumplimiento de sus objetivos.

FuenteObservaciones
num. 1 y 5
Sustituye la Res. IMM Nº 65/10 de 04.01.2010
num. 2