12d Icmr d 199 GAET OFCA 1 ridad InformAtica en cada entidad, se hard un andlisis de la gestidn informitica, que debe abarcar: su orga- nizaci6n, flujo de la informaci6n, tecnologias de infor- maci6n disponibles, alcance de la actividad informatica dentro y fuera de la entidad, categoria de clasificaci6n de Ia informacidn que se process, determinaci6n de la informaci6n sensible para la actividad fundamental de la entidad y los controls establecidos; que brinden los elements indispensables para evaluar la vulnerabilidad del sistema y los principles riesgos a que est6 expuesto. SIECCION SEGUNDA Plan de Seguridad Informatica ARTICULO 7.-El Plan de Seguridad Informatica se institute como una exigencia para todas las entidades, en el cual deben reflejar las political, estnuotura de gestidn y el sistema de medidas, para la Seguridad In- formatica, teniendo en cuenta los resultados obtenidos en los anAlisis de riesgos y vulnerabilidad realizados. El mAximo dirigente de cada entidad garantizard, segin, corresponda a la actividad informitica que se desarrolle, que se elabore, ponga en vigor, cumpla y actualice pe- ri6dicamente. ARTICULO 8.-El Plan de Seguridad Informatica y su aplicaci6n serin objeto de aprobaci6n y control por parte de las distintas instancias de la propia entidad. SECTION TERCERA Plan de Contingencia para la Seguridad InformAtica ARTICULO 9.-El Plan de Contingencia para la Se- guridad InformAtica se institute como una exigencia para todas las entidades, con el fin de garantizar la continuidad de los process informaticos ante cualquier desastre que pueda ocurrir. ARTICULO 10.-El Plan de Contingencia para la Se- guridad InformAtica, contender las medidas que permi- tan, en caso de desastres, la evacuaci6n, preservaci6n y itraslado, de los medics y soportes destinados al pro- cesamiento, intercambio y conservaci6n de informaci6n clasifioada o sensible. Asi mismo, contemplard las me- didas pertinentes para la conservaci6n y custodia de los ficheros creados con fines de salvaguarda. ARTICULO 11.-El Plan de Contingencia y su apli- caci6n seran objeto de aprobaci6n y control por part de las distintas instancias de la propia entidad. CAPITULO II SEGURIDAD FISICA SECTION PRIMERA Requerimientos de protecec6n fisica en areas vitales ARTICULO 12.-Se consideran Areas vitales aquellas donde se process, interoambie, reproduzca y conserve informacidn clasificada a traves de las tecnologias de informaci6n, en dichas Areas se aplicaran las medidas de proteoci6n fisica siguientes: a) se ubicardn en locales de construcci6n s6lida, cuyas puertas y ventanas estdn provistas de cierres segu- ros y dispositivos de sellaje, preferiblemente en los niveles mas bajos de la edificaci6n; debiendo cum- :plir con los requerimientos bdsicos que reduzcan al minimo las probabilidades de captaci6n de las irradiaciones eleotromagn6ticas que los medios tec- nicos de camputaci6n y comunicaciones emiten; b) a los locales que tengan ventanas que se comuniquen con el exterior de la instalaci6n, se le aplicarin me- didas que eviten la visibilidad hacia el interior del nismo; y c) aplicar sistemas de deteoci6n y alarma en todes los lugares que Io requieran. ARTICULO 13.-La entrada o permainencia en las Areas vitales estarA en correspondencia con el nivel de access a la informaci6n clasificada que se le haya otorgado a las personas. En el caso del personal de servicios, man- tenimienito de equipos u otro que eventualmente precise permanecer en el area, lo hard siempre en presencia de las personas responsables y con la identificaci6n visible. ARTICULO 14.-Se aplicaran accesorios o medidas alternatives que permitan la creaci6n de una barrera fisica o tecnica de proteoci6n a las tecnologlas de in- formaci6n, que posibiliten el control de acceso a la in- formaci6n, al uso de las facilidades de intercambio no autorizadas, o impidan el uso de estos medios para co- meter acciones malintencionadas o delictivas. SECCION SEGUNDA Requerimientos de protecci6n fisica en areas reservadas ARTICULO 15.-Se consideran Areas reservadas aque- ilas donde la informaci6n que se process, intercambie, reproduzca y conserve a trav6s de las tecnologias de informaci6n sea sensible para la entidad y se aplicardn las normas de protecci6n establecidas de acuerdo a laI caracteristicas de cada lugar. ARTICULO 16.-La entrada o permanencia de las personas en las Areas reservadas debe ser controlada, requiri6ndose la autorizacidn expresa de la persona fa- cultada para ello. En el caso del personal de service, mantenimiento de equipos u otro que eventualmente precise permanecer en el area lo hard siempre en pro- sencia de las personas responsables. SECCION TERCERA Requerimientos de proteccl6n fisica a los soportes ARTICULO 17.-Todos los soportes que contengan in- formaci6n clasificada seran controlados y conservados en la oficina de control de la informacidn casificada o en el Area responsabilizada, segun lo establecido para su proteccidn y conservaci6n. ARTICULO ,18.-Los soportes pertenecientes a una en- tidad, cuando contengan informaci6n clasificada o sen- sible, seran controlados, debiendo reflejar los datos de control en los soportes removibles que lo pemnitain, ae- fializandolos de forma clara y visible, con Ia categoria de clasificaci6n de la informaci6n de mis alto valor contenida en los mismos. ARTICULO 19.-Para utilizar soportes de propiedad personal o de otra entidad, serd necesario contar con la autorizaci6n del jefe administrative del lugar, apli- candose los controls establecidos en los casos en que la informaci6n contenida en los mismos sea clasificada o sensible. ARTICULO 20.--Cuando el Jefe de la entidad autorice a que se procese o conserve informaci6n clasificada en soportes de otra entidad, los mismos seran controlados S719 GACETA OFFICIAL 12. de didiembre de 1996