DEJA SIN EFECTO RESOLUCION EXENTA N° 40.378 (V. Y U.), 2015 Y APRUEBA POLITICA ESPECIFICA DE SEGURIDAD DE USO DE CONTROLES CRIPTOGRAFICOS, EN EL MARCO DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA EL MINISTERIO DE VIVIENDA Y URBANISMO. 21 DIC 2017 SANTIAGO, HOY SE RESOLVIO LO QUE siGUE 014481 RESOLUCION EXENTA N° a vIsTos: Lo dispuesto en el D.L N° 1305, de 1975, que reestructura y regionaliza el Ministerio de Vivienda y Urbanismo; en el D.S N° 83, de 2005, de MINSEGPRES, que aprueba norma técnica para los érganos de la administracién del Estado sobre la seguridad y confidencialidad de los documentos electrénicos; la norma chilena NCh-ISO 27001:2013, sobre Sistema de Gestién de Seguridad de la Informacién ~ requisitos; la Resolucién Exenta N° 13.453, (V. y U.), de 2017, que aprueba la Politica de Seguridad de la Informacién para el Ministerio de Vivienda y Urbanismo; la Resolucién N° 1600 de 2008, de la Contraloria General de la Reptblica, que fija normas sobre exencién del trémite de toma de razén; y CONSIDERANDO: @. Que se han dictado una serie de normas entre las que se encuentra el Decreto Supremo N° 83, de 2005, del Ministerio Secretaria General de la Presidencia, que aprueba norma’ técnica para los érganos de la administracién del Estado sobre seguridad y confidencialidad de los documentos electrénicos, y las Normas Chilenas NCh-ISO 27001:2013 que proporciona un marco de gestién de Seguridad de la Informacién utlizable por cualquier tipo de organizacién, publica o privada. b. Que, mediante la Resolucién Exenta N° 13.453, (V. y U.), de 2017, se ha aprobado una nueva politica general de seguridad de la informacién para el Ministerio de Vivienda y Urbanismo. €. Que resulta necesario establecer politicas especificas de seguridad de la informacién para materializar de una manera més efectiva la politica general anteriormente citada. d, La necesidad de actualizar la Politica Especifica de Seguridad de Uso de controles, criptogréficos aprobada por Resolucién Exenta 10.378, (V. y U.), de 2015, motivo por el cual dicto la siguiente: RESOLUCION: I. Deréguese la Politica Especifica de Seguridad de Uso de controles criptogréficos, aprobada por Resolucién Exenta 10.378, (V. y U.), de 2015. IL. Apruébese la Politica Especifica de Seguridad de la Informacién relativa al Uso de controles criptogréficos, la que se detalla a continuacién:fh “POLETICA ESPECIFICA DE SEGURIDAD DE USO DE CONTROLES CRIPTOGRAFICOS” OBJETIVO Esta politica define el uso de algoritmos de encriptacién y servicios de Proteccién de informacién a utilizar en MINVU. ALCANCE La presente Politica considerada como parte del Dominio de Criptografia, se aplica al uso de algoritmos de cifrado como herramientas de control, Proteccién de la confidencialidad, autenticidad o integridad de la informacién, asi como la debida documentacién y resguardo de éstos. Esta politica debe ser cumplida por todos los usuarios del Ministerio de Vivienda y Urbanismo, ya sean funcionarios de planta, contrata, honorarios, asesores, consultores, practicantes, y otros trabajadores, incluyendo las empresas que presten servicios al MINVU. Los Servicios de Vivienda y Urbanizacién y el Parque Metropolitano de Santiago, en uso de las facultades que le son propias podran acogerse a esta Politica, para lo cual deberan dictar un acto administrative mediante el que se manifiesta tal voluntad. DOCUMENTOS RELACIONADOS - Ley N°18.834, Estatuto Administrativo. ~ Ley N°18.575, de Bases Generales de la Administracién del Estado. - Ley N°19.223 sobre figuras penales relativas a la informatica. ~ Ley N°19.553, Concede asignacién de modernizacién y otros beneficios que indica. - Ley N°19.628, Ley sobre Proteccién de la Vida Privada. - Ley N®17.336, Propiedad Intelectual. - Ley N®19.799, Firma electrénica, 2002. ~ Ley N°19.880, Establece bases de los procedimientos administrativos que rigen los actos de los érganos de la administracién del estado. ~ Ley N°19.882, Regula nueva politica de personal a los funcionarios piblicos que indica, - Ley N°19.927, ley que modifica cédigos penales en materia de delitos sobre pornografia infant ~ Ley N°20.212, Modifica las leyes N° 19.553, N° 19.882, y otros cuerpos legales, con el objeto de incentivar el desempefio de funcionarios publicos. - Ley N°20.285, sobre Acceso a la Informacién Publica. - NCH 27001 y 27002. ~ DS N°77/2004, del MINISTERIO SECRETARIA GENERAL DE LA PRESIDENCIA, que aprueba Norma técnica sobre eficiencia de las comunicaciones electrénicas entre Organos de la administracién del estado y entre estos y los ciudadanos. ~ DS N°81/2004, del MINISTERIO SECRETARIA GENERAL DE LA PRESIDENCIA, que aprueba Norma técnica para los érganos de la administracién del estado sobre interoperabilidad de documentos electrénicos. ~ DS N°83/2005, del MINISTERIO SECRETARIA GENERAL DE LA PRESIDENCIA, que aprueba Norma técnica para los Organos de la Administracién del Estado sobre seguridad y confidencialidad de los documentos electrénicos ~ DS N°93/2006, del MINISTERIO SECRETARIA GENERAL DE LA PRESIDENCIA, que aprueba Norma Técnica para Minimizar la Recepcién de Mensajes Electrénicos no Deseados en las Casillas Electrénicas de los Organos de la Administracién del Estado y de sus Funcionarios, = DS N°100/2006, del MINISTERIO SECRETARIA GENERAL DE LA PRESIDENCIA aprueba norma técnica para el desarrollo de sitios web de los érganos de la administracién del estado ~ DS N°890/1975, del MINISTERIO DEL INTERIOR que fija texto actualizado yrefundido de la ley 12.927. - Jurisprudencia administrativa y judicial sobre uso de correos electrénicos. - Procedimiento Gestién de Incidentes de Seguridad de la Informacién = Politica de proteccién clave de cifrado de usuario final - Politica de Aceptacién de Firma Digital 4. ROLES Y RESPONSABILIDADES Encargado de Seguridad de la Informacion - Apoyar al Comité de Seguridad de la Informacién de la Institucién en la definicién de las medidas de proteccién necesarias. -Validar que las protecciones definidas cumplen con las necesidades de la Institucién y se encuentren ajustadas a Derecho. Secci6n Ingenieria y Explotacién de Sistemas - Divisién de Informatica ~ Autorizar formalmente los métodos de encriptacién a utilizar en las aplicaciones y sistemas tecnolégicos. - Generar e implementar los controles definidos en los procesos que afectan el control del uso de controles criptograficos. ~Asistir y administrar los procedimientos de configuracién de los controles criptograficos. ~ Administrar las claves criptogréficas. - Identificar las dreas de acuerdo con la tipificacién de seguridad del control de! uso de controles criptograficos. ~ Definir los controles necesarios para el control del uso de controles criptogréficos. - Monitorear la politica en cuestién. Personal de la Divisién Informatica = Utilizar solo algoritmos autorizados por la Institucién. Usuarios ~Cautelar el cumplimiento de las medidas control del uso de controles criptogréficos. - Reportar supuestas violaciones de seguridad en el uso de controles criptogréficos como un incidente de seguridad de la informacién, siguiendo el Procedimiento Gestién de Incidentes de Seguridad de la Informacién. 5. REGLAS DE LA POLITICA 5.1 Marco de referencia + Se debe cifrar toda informacién sensible, clasificada como de riesgo alto, que Pudiese quedar expuesta a usuarios no autorizados, en relacién a su privacidad € Integridad. + Se utllizaran controles criptogréficos para la proteccién de la confidencialidad, el cumplimiento de! principio de la no repudiacién y el control de la integridad de la informacién en los siguientes casos: proteccién de claves de acceso a sistemas, documento electrénico, datos y servicios; transmisién de informacién clasificada fuera del 4mbito del Servicio; resguardo de informacién, cuando asi surja de la evaluacién de riesgos realizada por el Propietario de la Informacién y el Encargado de Seguridad de la Informacién. + Las claves de los servicios criptograficos estén alineadas con Ia Politica de proteccién clave de cifrado de usuario final. 5.2 Acerca de la Confidencialidad + Se definen los algoritmos de cifrado que podran utilizarse al interior del MINVU, como aplicacién directa 0 como parte de la configuracién de otros productos de seguridad comerciales, tomando en cuenta el tipo y la calidad del algoritmo de cifrado utilizado y la longitud de las claves criptograficas. + Sélo se utilizan algoritmos de cifrado, definidos por esténdares internacionales. <, ss i,2 5.3. Acerca de la Integridad/Autenticidad - Para verificar la autenticidad o integridad de la informacién almacenada o transmitida sensible o critica el MINVU podré utilizar como mecanismo criptogréfico la firma digital basada en Certificados Digitales. - En el caso de aplicacién al Documento electrénico esta serd de cardcter de Firma Electrénica Avanzada y acorde al cumplimiento de la Ley 19799 con aplicacién a los Organismos del Estado. - El.uso del Servicio de Integridad/Autenticidad esté alineado con la Politica de Aceptacién de Fitma Digital. 5.4 Acerca del no repudio ~ El Minvu podré utilizar técnicas de cifrado y firma digital para resolver disputas asociadas al no repudio. + El uso del Servicio de no repudio estd alineado con la Politica de Aceptacién de Firma Digital. 5.5 Acerca de la Autenticacién + Se utilizarén técnicas criptograficas para autenticar a los usuarios o entidades externas que requieran hacer uso de los sistemas de informacién del MINVU. + Los funcionarios deben usar el sistema autorizado por MINVU para efecto de autenticacién. - Si_un jefe, supervisor 0 empleado presenta una denuncia falsa sobre un incumplimiento 0 un comportamiento cuestionable con la intencién de perjudicar a otra persona, el denunciante sera susceptible de una medida disciplinaria, conforme al Art. 62 N° 9 del DFL 1, del Ministerio Secretaria General de la Presidencia, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.575, Organica Constitucional de Bases Generales de la Administracién del Estado. - El Encargado de Seguridad de la informacién debe ser informado inmediatamente en caso que se reciba cualquier comunicado (por teléfono, correo postal o correo electrénico) de parte de una autoridad de proteccién de datos u otro ente regulador. DIFUSION la comunicacién y difusién de la presente politica specifica es responsabilidad de cada Encargado/a de Seguridad de la Informacién o en quien designe esta funcién, pudiendo utilizar para ello los canales de difusin establecidos, como Intranet, correo electrénico, Minvuletin, entre otros. Adicionalmente, las Politicas especificas se encuentran publicadas en la pagina web del MINVU en él banner Ministerio/Gestin Ministerial. REVISION La presente politica especifica debe ser revisada anualmente, o cuando cada Servicio lo requiera, para asegurar su continuidad e idoneidad, considerando los cambios que puedan producirse, tales como: enfoques a la gestién de seguridad, circunstancias de la Institucién, cambios legales, cambios al ambiente técnico, recomendaciones realizadas por autoridades pertinentes, tendencias relacionadas con amenazas y las vulnerabilidades, entre otras. Asimismo, cada Servicio debe evaluar el cumplimiento de la presente politica, a lo menos cada tres afios, mediante auditorias internas, externas y/o revisiones independientes,CONTROL DE VERSIONES we Version Agrobacién Motive de la revision OT: Diciembre Shi2 Versién inicial Diciembre ' F 02 coe Actualizacién de la politica Noviembre m mx ” 03 Oty Se actualizan “Considerando” y “Objetivo’ Elaborado port Leonardo Cavieres Cérdoba/ Encargado de Seguridad Informatica, Division de Informatica; Claudio Paredes Pizarro/ Encargado Seccién de Ingenieria y-Explotacién de Sistemas, Divisién de Informatica; Juan Pablo Rios/ Abogado, Divisién Juridica; Marcela Jara Cartes/ Encargada Seccién Gestion de Procesos Depto. Planificacién y Control de Gestién, Divisién Finanzas. Revisado’port Alexia Naranjo Loyola, Encargada de Seguridad de la Informacién; Yelka Ruiz Rocha/ Jefa Divisién de InformaticaIII.Establécese la obligacién del Encargado/a de Seguridad de la Informacién de la Subsecretaria de difundir la politica fijada por este instrumento y, en coordinacién con el Comité de Seguridad de la Informacién, de velar por su estricto cumplimiento. IV. Realicense por la Jefa de la Divisién de Informatica las acciones tendientes a su implementacién en materias de su competencia. V. La presente resolucién no irroga gastos para el presupuesto de este Ministerio. ANOTESE, NOTIFIQUESE, CUMPLASE Y ARCHIVESE. ANL/YRR/CPP/LEC Gabinete Ministra V. y U. Gabinete Subsecretario V. y U. SEREMI (15) MINISTERIO DE VIVIENOA ¥ URBANISMO Divisiones Nivel Central (7) Auditoria Interna Ministerial Contraloria Interna Ministerial Coordinador Nacional Programa Reconstruccién Programa Aldeas y Campamentos Sistema Integrado de Atencién a la Ciudadania (SIAC) Depto. Comunicaciones Comisién de Estudios Habitacionales y Urbanos (CEHU) Depto. Planificacién y Control de Gestién DIFIN Oficina de Partes