DEJA SIN EFECTO RESOLUCION EXENTA
N° 40.378 (V. Y U.), 2015 Y APRUEBA
POLITICA ESPECIFICA DE SEGURIDAD DE
USO DE CONTROLES CRIPTOGRAFICOS,
EN EL MARCO DEL SISTEMA DE GESTION
DE SEGURIDAD DE LA INFORMACION
PARA EL MINISTERIO DE VIVIENDA Y
URBANISMO.
21 DIC 2017
SANTIAGO, HOY SE RESOLVIO LO QUE siGUE
014481
RESOLUCION EXENTA N° a
vIsTos:
Lo dispuesto en el D.L N° 1305, de 1975, que reestructura y regionaliza el Ministerio de
Vivienda y Urbanismo; en el D.S N° 83, de 2005, de MINSEGPRES, que aprueba norma
técnica para los érganos de la administracién del Estado sobre la seguridad y
confidencialidad de los documentos electrénicos; la norma chilena NCh-ISO
27001:2013, sobre Sistema de Gestién de Seguridad de la Informacién ~ requisitos; la
Resolucién Exenta N° 13.453, (V. y U.), de 2017, que aprueba la Politica de Seguridad
de la Informacién para el Ministerio de Vivienda y Urbanismo; la Resolucién N° 1600 de
2008, de la Contraloria General de la Reptblica, que fija normas sobre exencién del
trémite de toma de razén; y
CONSIDERANDO:
@. Que se han dictado una serie de normas entre las que se encuentra el Decreto
Supremo N° 83, de 2005, del Ministerio Secretaria General de la Presidencia, que
aprueba norma’ técnica para los érganos de la administracién del Estado sobre
seguridad y confidencialidad de los documentos electrénicos, y las Normas Chilenas
NCh-ISO 27001:2013 que proporciona un marco de gestién de Seguridad de la
Informacién utlizable por cualquier tipo de organizacién, publica o privada.
b. Que, mediante la Resolucién Exenta N° 13.453, (V. y U.), de 2017, se ha aprobado
una nueva politica general de seguridad de la informacién para el Ministerio de
Vivienda y Urbanismo.
€. Que resulta necesario establecer politicas especificas de seguridad de la informacién
para materializar de una manera més efectiva la politica general anteriormente
citada.
d, La necesidad de actualizar la Politica Especifica de Seguridad de Uso de controles,
criptogréficos aprobada por Resolucién Exenta 10.378, (V. y U.), de 2015, motivo por
el cual dicto la siguiente:
RESOLUCION:
I. Deréguese la Politica Especifica de Seguridad de Uso de controles criptogréficos,
aprobada por Resolucién Exenta 10.378, (V. y U.), de 2015.
IL.
Apruébese la Politica Especifica de Seguridad de la Informacién relativa al Uso de
controles criptogréficos, la que se detalla a continuacién:fh
“POLETICA ESPECIFICA DE SEGURIDAD DE USO DE CONTROLES
CRIPTOGRAFICOS”
OBJETIVO
Esta politica define el uso de algoritmos de encriptacién y servicios de
Proteccién de informacién a utilizar en MINVU.
ALCANCE
La presente Politica considerada como parte del Dominio de Criptografia, se
aplica al uso de algoritmos de cifrado como herramientas de control,
Proteccién de la confidencialidad, autenticidad o integridad de la informacién,
asi como la debida documentacién y resguardo de éstos.
Esta politica debe ser cumplida por todos los usuarios del Ministerio de
Vivienda y Urbanismo, ya sean funcionarios de planta, contrata, honorarios,
asesores, consultores, practicantes, y otros trabajadores, incluyendo las
empresas que presten servicios al MINVU.
Los Servicios de Vivienda y Urbanizacién y el Parque Metropolitano de
Santiago, en uso de las facultades que le son propias podran acogerse a esta
Politica, para lo cual deberan dictar un acto administrative mediante el que se
manifiesta tal voluntad.
DOCUMENTOS RELACIONADOS
- Ley N°18.834, Estatuto Administrativo.
~ Ley N°18.575, de Bases Generales de la Administracién del Estado.
- Ley N°19.223 sobre figuras penales relativas a la informatica.
~ Ley N°19.553, Concede asignacién de modernizacién y otros beneficios que
indica.
- Ley N°19.628, Ley sobre Proteccién de la Vida Privada.
- Ley N®17.336, Propiedad Intelectual.
- Ley N®19.799, Firma electrénica, 2002.
~ Ley N°19.880, Establece bases de los procedimientos administrativos que rigen
los actos de los érganos de la administracién del estado.
~ Ley N°19.882, Regula nueva politica de personal a los funcionarios piblicos que
indica,
- Ley N°19.927, ley que modifica cédigos penales en materia de delitos sobre
pornografia infant
~ Ley N°20.212, Modifica las leyes N° 19.553, N° 19.882, y otros cuerpos legales,
con el objeto de incentivar el desempefio de funcionarios publicos.
- Ley N°20.285, sobre Acceso a la Informacién Publica.
- NCH 27001 y 27002.
~ DS N°77/2004, del MINISTERIO SECRETARIA GENERAL DE LA PRESIDENCIA, que
aprueba Norma técnica sobre eficiencia de las comunicaciones electrénicas entre
Organos de la administracién del estado y entre estos y los ciudadanos.
~ DS N°81/2004, del MINISTERIO SECRETARIA GENERAL DE LA PRESIDENCIA, que
aprueba Norma técnica para los érganos de la administracién del estado sobre
interoperabilidad de documentos electrénicos.
~ DS N°83/2005, del MINISTERIO SECRETARIA GENERAL DE LA PRESIDENCIA, que
aprueba Norma técnica para los Organos de la Administracién del Estado sobre
seguridad y confidencialidad de los documentos electrénicos
~ DS N°93/2006, del MINISTERIO SECRETARIA GENERAL DE LA PRESIDENCIA, que
aprueba Norma Técnica para Minimizar la Recepcién de Mensajes Electrénicos no
Deseados en las Casillas Electrénicas de los Organos de la Administracién del
Estado y de sus Funcionarios,
= DS N°100/2006, del MINISTERIO SECRETARIA GENERAL DE LA PRESIDENCIA
aprueba norma técnica para el desarrollo de sitios web de los érganos de la
administracién del estado
~ DS N°890/1975, del MINISTERIO DEL INTERIOR que fija texto actualizado yrefundido de la ley 12.927.
- Jurisprudencia administrativa y judicial sobre uso de correos electrénicos.
- Procedimiento Gestién de Incidentes de Seguridad de la Informacién
= Politica de proteccién clave de cifrado de usuario final
- Politica de Aceptacién de Firma Digital
4. ROLES Y RESPONSABILIDADES
Encargado de Seguridad de la Informacion
- Apoyar al Comité de Seguridad de la Informacién de la Institucién en la definicién
de las medidas de proteccién necesarias.
-Validar que las protecciones definidas cumplen con las necesidades de la
Institucién y se encuentren ajustadas a Derecho.
Secci6n Ingenieria y Explotacién de Sistemas - Divisién de
Informatica
~ Autorizar formalmente los métodos de encriptacién a utilizar en las aplicaciones y
sistemas tecnolégicos.
- Generar e implementar los controles definidos en los procesos que afectan el
control del uso de controles criptograficos.
~Asistir y administrar los procedimientos de configuracién de los controles
criptograficos.
~ Administrar las claves criptogréficas.
- Identificar las dreas de acuerdo con la tipificacién de seguridad del control de! uso
de controles criptograficos.
~ Definir los controles necesarios para el control del uso de controles criptogréficos.
- Monitorear la politica en cuestién.
Personal de la Divisién Informatica
= Utilizar solo algoritmos autorizados por la Institucién.
Usuarios
~Cautelar el cumplimiento de las medidas control del uso de controles
criptogréficos.
- Reportar supuestas violaciones de seguridad en el uso de controles criptogréficos
como un incidente de seguridad de la informacién, siguiendo el Procedimiento
Gestién de Incidentes de Seguridad de la Informacién.
5. REGLAS DE LA POLITICA
5.1 Marco de referencia
+ Se debe cifrar toda informacién sensible, clasificada como de riesgo alto, que
Pudiese quedar expuesta a usuarios no autorizados, en relacién a su privacidad
€ Integridad.
+ Se utllizaran controles criptogréficos para la proteccién de la confidencialidad,
el cumplimiento de! principio de la no repudiacién y el control de la integridad
de la informacién en los siguientes casos: proteccién de claves de acceso a
sistemas, documento electrénico, datos y servicios; transmisién de informacién
clasificada fuera del 4mbito del Servicio; resguardo de informacién, cuando asi
surja de la evaluacién de riesgos realizada por el Propietario de la Informacién
y el Encargado de Seguridad de la Informacién.
+ Las claves de los servicios criptograficos estén alineadas con Ia Politica de
proteccién clave de cifrado de usuario final.
5.2 Acerca de la Confidencialidad
+ Se definen los algoritmos de cifrado que podran utilizarse al interior del MINVU,
como aplicacién directa 0 como parte de la configuracién de otros productos de
seguridad comerciales, tomando en cuenta el tipo y la calidad del algoritmo de
cifrado utilizado y la longitud de las claves criptograficas.
+ Sélo se utilizan algoritmos de cifrado, definidos por esténdares internacionales. <,
ss
i,2
5.3. Acerca de la Integridad/Autenticidad
- Para verificar la autenticidad o integridad de la informacién almacenada o
transmitida sensible o critica el MINVU podré utilizar como mecanismo
criptogréfico la firma digital basada en Certificados Digitales.
- En el caso de aplicacién al Documento electrénico esta serd de cardcter de
Firma Electrénica Avanzada y acorde al cumplimiento de la Ley 19799 con
aplicacién a los Organismos del Estado.
- El.uso del Servicio de Integridad/Autenticidad esté alineado con la Politica de
Aceptacién de Fitma Digital.
5.4 Acerca del no repudio
~ El Minvu podré utilizar técnicas de cifrado y firma digital para resolver disputas
asociadas al no repudio.
+ El uso del Servicio de no repudio estd alineado con la Politica de Aceptacién de
Firma Digital.
5.5 Acerca de la Autenticacién
+ Se utilizarén técnicas criptograficas para autenticar a los usuarios o entidades
externas que requieran hacer uso de los sistemas de informacién del MINVU.
+ Los funcionarios deben usar el sistema autorizado por MINVU para efecto de
autenticacién.
- Si_un jefe, supervisor 0 empleado presenta una denuncia falsa sobre un
incumplimiento 0 un comportamiento cuestionable con la intencién de
perjudicar a otra persona, el denunciante sera susceptible de una medida
disciplinaria, conforme al Art. 62 N° 9 del DFL 1, del Ministerio Secretaria
General de la Presidencia, que fija el texto refundido, coordinado y
sistematizado de la ley N° 18.575, Organica Constitucional de Bases Generales
de la Administracién del Estado.
- El Encargado de Seguridad de la informacién debe ser informado
inmediatamente en caso que se reciba cualquier comunicado (por teléfono,
correo postal o correo electrénico) de parte de una autoridad de proteccién de
datos u otro ente regulador.
DIFUSION
la comunicacién y difusién de la presente politica specifica es
responsabilidad de cada Encargado/a de Seguridad de la Informacién o en
quien designe esta funcién, pudiendo utilizar para ello los canales de difusin
establecidos, como Intranet, correo electrénico, Minvuletin, entre otros.
Adicionalmente, las Politicas especificas se encuentran publicadas en la
pagina web del MINVU en él banner Ministerio/Gestin Ministerial.
REVISION
La presente politica especifica debe ser revisada anualmente, o cuando cada
Servicio lo requiera, para asegurar su continuidad e idoneidad, considerando
los cambios que puedan producirse, tales como: enfoques a la gestién de
seguridad, circunstancias de la Institucién, cambios legales, cambios al
ambiente técnico, recomendaciones realizadas por autoridades pertinentes,
tendencias relacionadas con amenazas y las vulnerabilidades, entre otras.
Asimismo, cada Servicio debe evaluar el cumplimiento de la presente politica,
a lo menos cada tres afios, mediante auditorias internas, externas y/o
revisiones independientes,CONTROL DE VERSIONES
we
Version Agrobacién Motive de la revision
OT: Diciembre
Shi2 Versién inicial
Diciembre ' F
02 coe Actualizacién de la politica
Noviembre m mx ”
03 Oty Se actualizan “Considerando” y “Objetivo’
Elaborado port
Leonardo Cavieres Cérdoba/ Encargado de Seguridad Informatica, Division
de Informatica; Claudio Paredes Pizarro/ Encargado Seccién de Ingenieria
y-Explotacién de Sistemas, Divisién de Informatica; Juan Pablo Rios/
Abogado, Divisién Juridica; Marcela Jara Cartes/ Encargada Seccién Gestion
de Procesos Depto. Planificacién y Control de Gestién, Divisién Finanzas.
Revisado’port
Alexia Naranjo Loyola, Encargada de Seguridad de la Informacién; Yelka
Ruiz Rocha/ Jefa Divisién de InformaticaIII.Establécese la obligacién del Encargado/a de Seguridad de la Informacién de
la Subsecretaria de difundir la politica fijada por este instrumento y, en
coordinacién con el Comité de Seguridad de la Informacién, de velar por su
estricto cumplimiento.
IV. Realicense por la Jefa de la Divisién de Informatica las acciones tendientes a
su implementacién en materias de su competencia.
V. La presente resolucién no irroga gastos para el presupuesto de este
Ministerio.
ANOTESE, NOTIFIQUESE, CUMPLASE Y ARCHIVESE.
ANL/YRR/CPP/LEC
Gabinete Ministra V. y U.
Gabinete Subsecretario V. y U.
SEREMI (15) MINISTERIO DE VIVIENOA ¥ URBANISMO
Divisiones Nivel Central (7)
Auditoria Interna Ministerial
Contraloria Interna Ministerial
Coordinador Nacional Programa Reconstruccién
Programa Aldeas y Campamentos
Sistema Integrado de Atencién a la Ciudadania (SIAC)
Depto. Comunicaciones
Comisién de Estudios Habitacionales y Urbanos (CEHU)
Depto. Planificacién y Control de Gestién DIFIN
Oficina de Partes