Análisis de la Gaceta Oficial de la República de Cuba (GOC-2024-526-O88) y (GOC-2024-528-O89)

  • 19/09/2024
  • 94
Análisis de la Gaceta Oficial de la República de Cuba (GOC-2024-526-O88) y (GOC-2024-528-O89)

La División de Ciberseguridad, de conjunto con su Centro de Operaciones y CSIRT, pone en contexto la Gaceta Oficial de la República de Cuba, en su Edición Ordinaria, incorporadas oficialmente en el sitio web de http://www.gacetaoficial.gob.cu, el 13 de septiembre de 2024 con ISSN 1682 7511, GOC-2024-526-O88 y GOC-2024-528-O89.

 

SUMARIO 1

CONSEJO DE ESTADO

Decreto-Ley 78/2023 ''Sobre la seguridad y protección de la información clasificada y limitada'' (GOC-2024-525-O88)

CONSEJO DE MINISTROS

Decreto 104/2024 ''Reglamento de la seguridad y protección de la información

clasificada y limitada'' (GOC-2024-526-O88)

 

Resumen Técnico del Documento

1. Clasificación de Información: Los documentos con contenidos de diferentes categorías adoptan la de mayor nivel. La información clasificada se elabora utilizando Servicios de Protección Criptográfica (SPC) en equipos desconectados de redes globales.

2. Registro y Control: Todo documento clasificado debe ser registrado para control, incluyendo detalles como número de ejemplares, cantidad de páginas, y firmas de responsables en el proceso de impresión y entrega.

3. Esquemas de Seguridad: Se establecen medidas organizativas, físicas y tecnológicas para proteger la información clasificada, incluyendo autocontrol y señalización de tecnologías de información. La impresión y reproducción de documentos clasificados deben seguir procedimientos específicos para garantizar la seguridad.

Temas tratados en Reglamento de Seguridad y Protección de la Información Clasificada

  • Portadores de Información Clasificada: Personas autorizadas para acceder a información clasificada, controladas por la OPCIC.
  • Control y Registro: Se requiere un registro detallado de documentos clasificados, incluyendo destinatarios y fechas.
  • Desclasificación: Procede al finalizar el período de vigencia o por decisión del Consejo de Ministros.
  • Diagnóstico y Control: Se realizan acciones preventivas para verificar la seguridad de la información.
  • Actualización Normativa: Se deroga el Decreto-Ley 199 y se establece un nuevo marco regulatorio.

 

Referencias en la legislación presentada que identifica un cumplimiento con los principios de la Seguridad de la Información y la Gestión de Incidentes de Seguridad

  • Detección y Respuesta: El documento establece procedimientos claros para la detección de incidentes de ciberseguridad, incluyendo la activación de mecanismos técnicos y organizativos para responder a eventos nocivos, asegurando una reacción rápida y efectiva ante amenazas.
  • Supervisión y Capacitación: Se enfatiza la necesidad de contar con personal capacitado para la supervisión y gestión de incidentes, así como la actualización continua del grupo de trabajo en criptografía, lo que garantiza que el personal esté preparado para manejar situaciones críticas.
  • Registro y Trazabilidad: Se requiere el registro detallado de trazas generadas por equipos de seguridad y redes, lo que permite la caracterización e investigación de incidentes. Este enfoque asegura que se mantenga la integridad de la información y se facilite el análisis posterior de eventos de ciberseguridad.

 

Algunas preguntas importantes:

1. ¿Qué datos comprende la información clasificada y limitada?

2. ¿Qué medidas de seguridad se deben cumplir para la elaboración y conservación de la información clasificada y limitada?

3. ¿Qué obligaciones tienen las personas autorizadas para acceder a información clasificada?

4. ¿Cuáles son los requisitos para la habilitación del personal que responde por la seguridad de la información clasificada?

5. ¿Cuáles son los casos en los que procede la desclasificación de la información?

6. ¿Qué medidas se deben tomar ante infracciones graves en la seguridad de la información clasificada?

7. ¿Qué información debe contener el libro de registro de documentos clasificados?

 

SUMARIO 2

CONSEJO DE ESTADO

Decreto-Ley 79/2023 ''Sobre el desarrollo, la aplicación y uso de los dispositivos de protección criptográfica y servicios en la esfera de la criptografía en la República de Cuba'' (GOC-2024-527-O89)

CONSEJO DE MINISTROS

Decreto 106/2024 Reglamento del Decreto-Ley 79 ''Sobre el desarrollo, la aplicación y uso de los dispositivos de protección criptográfica y servicios en la esfera de la criptografía en la República de Cuba'', de 26 de octubre de 2023 (GOC-2024-528-O89)

 

Resumen Técnico del Documento sobre Criptografía

  • Organización y Dirección: Se establecen procesos para definir necesidades de nuevos documentos normativos y actualizar los existentes en el ámbito de la criptografía.
  • Clasificación y Diseminación: Se determina la confidencialidad y formas de difusión de documentos técnicos necesarios para la instalación y operación de criptodispositivos, considerando su impacto en la seguridad.
  • Dictámenes Técnicos: Propuestas de planes son presentadas al Ministro del Interior para su aprobación, y se verifica el cumplimiento de planes criptográficos en controles estatales.
  • Normas Técnicas: Se emiten normas para la clasificación técnica de criptodispositivos, asegurando su desarrollo y uso seguro en el país.
  • Evaluación de Seguridad: Se realizan estudios de vulnerabilidades y se evalúa el nivel de seguridad de los criptodispositivos antes de su implementación.

 

Resumen de Temas de Alta Relevancia

  • Sistema de Aseguramiento Integral: Se establece un marco organizativo que incluye un Órgano Especializado y órganos colegiados para coordinar políticas criptográficas y normalización.
  • Propuestas y Aprobaciones: Los dictámenes técnicos sobre planes criptográficos deben ser aprobados por el Ministro del Interior, asegurando que se alineen con las prioridades nacionales.
  • Control y Verificación: La Dirección de Criptografía es responsable de verificar la efectividad de los planes de seguridad y protección, así como de realizar auditorías a los sistemas criptográficos.
  • Capacitación y Desarrollo: Se enfatiza la necesidad de planes de capacitación técnica y actualización de programas docentes en criptografía para fortalecer el capital humano en el sector.
  • Investigación y Innovación: Se promueven proyectos de investigación científica y tecnológica en criptografía, alineados con las necesidades del país y su desarrollo.

 

Referencias en la legislación presentada que identifica un cumplimiento con los principios de la Seguridad de la Información y la Gestión de Incidentes de Seguridad

  • Establece la obligación de las autoridades competentes de verificar el cumplimiento de medidas de saneamiento y restablecimiento de la confianza en sistemas criptográficos tras un incidente.
  • Indica que, si se presume un hecho delictivo durante la investigación de un incidente, se debe formular la denuncia correspondiente, alineándose con principios de responsabilidad y transparencia.
  • Detalla que los gastos derivados del saneamiento de incidentes son exigibles a los responsables, promoviendo la rendición de cuentas.
  • Define los mecanismos de detección de incidentes, enfatizando la responsabilidad de los usuarios y proveedores de servicios en la gestión de la seguridad de la información.
  • Se mencionan normas que regulan la protección de datos y la gestión informativa, asegurando la confidencialidad e integridad de la información procesada.

 

Algunas preguntas importantes:

1. ¿Cuáles son las principales obligaciones impuestas a los prestadores de servicios criptográficos según la nueva legislación?

2. ¿Qué medidas se establecen para garantizar la confidencialidad e integridad de los datos procesados y almacenados?

3. ¿Cómo se gestionarán los incidentes de seguridad y qué protocolos se deben seguir para su reporte y resolución?

4. ¿Qué sanciones se prevén para las contravenciones en el uso de dispositivos de protección criptográfica?

5. ¿Qué papel desempeña el Ministerio del Interior en la supervisión y regulación de los servicios criptográficos?

6. ¿Cómo se asegura la capacitación y actualización del personal en el ámbito de la criptografía y la seguridad de la información?

7. ¿Qué mecanismos se implementarán para la evaluación y certificación de criptodispositivos en el país?

 

Se pone a disposición los Documentos relacionados con la Legislación Vigente en el sitio web del CSIRT

https://legaliscuba.org/normativa/decreto-ley-78-de-2023-de-consejo-de-estado

https://legaliscuba.org/normativa/decreto-106-de-2024-de-consejo-de-ministros-2