REF: APRUEBANSE NUEVAS POLiTICAS DEL ‘SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION QUE SE INDICAN. nesotucron exentane 4604 SANTIAGO, 19 D/C 7019 Lo dispuesto en los articulos 5° N%s 1, 12, y 13 6el DAL. N® 2.465, da 1979; en ls D'S. N°s 356, de 1980 y 307, de 20:8, ambos del Ministerio de Justicia y Derechos Humanos; en los O.S, N°s 83 {de 2005, 93 de 2006 y 14 de 2014 todas, del Ministerio Secretaria General dela Presidencia, en la Norma Chilena NCH-1S0 27001:2013; en la Ley N°20.265; en el O.F.L. N® 29, cel Ministerio de. Hacienda, que fila texto refundido, coordinedo y sstematizado dela Ley N® 16.834, sobre Estatuto ‘Administrativo; a Resoluciin Exenta N® 2269, de 9 de julio de 2019, dela Direccién Nacional del ‘SENAME; el Memordndum N° 457, de 13 de diciembre de 2019, del Departomento de Pianificacion y_Contrl ce Gestién; en la Resdluciones N 7 y 8, de 2015, de la Conraoria General de ia publica ‘CONSTDERAND( 41°. Que, el Servicio Nacional de Menores es el erganismo del Estado que tiene por misién contribu ‘a protege y promover los derechos de ios nifios,nifiasy adolescantes que nan sido vulneraces fen el ejecicio de los mismos y a la insercion social de adolescantes que han infringigo le ley penal 2, Que, en cumplimiento de sus funciones proplas, el SENAME reconoce que la informacién es un recurso que, como el resto de ios actives, tiene valor para. la. Insttucién, debienco Consacuenciaimente ser protegida, La peréiga parcial de. informacién podria tener ‘consecuencias graves para la gestion, debiendo implementarse mecanismos para garentizar la ‘seguridad en el funcionamiente de equipes, catos y sistemas de soporte, 3. Que, el Decreto Supremo N© 83, de 2004, del Ministerio Secretaria General de la Presidencia, _2pr0b5 Norma Técnica para los Grganos’de la Administracén del Estado sobre Seguridad y Convidencialidad de los Documentos Electrénicos, Asimismo, la Norma Civlena Oficial NCA-ISO 127001:2013, proporciona un marco de gestion de Segunad de 12 Infarmacién utikzable en ‘ualauler tipo de organizacién, pple o privada, 4°. Que, través de lo Resolucin Exenta N° 2269, de 9 de julio de 2019, de la Direccibn Nacional del SENAWE, se design al Ereargado (Tula y Subrggante), de SegUrisod de fa Inforeci 235i como también a fos integrartes (Titulares y Subfogantes) del Comite de Segunidac de inormecion. 8°. Que, por Resolucién Exenta N° 3026, de 7 de dicienjbre de 2017, de la Direccién Nacional de! 'SENAME, se aprotaron las siguientes Polticas dl/Sistema de Gestién de Seguridad de la Informacion: = $GSI.P0.01 Politica General del Sistema de Gestién de Seguridad de a Infermacién = SGSIP0.02 Poitica de Escritorios y Pantallas Limpias, ‘SGSI.PO.03 Poifica de Gestién de Redes = SGSI.P0.05 Politica de Respaldo y Recuperacién de Informacién 'SGSI.PO.09 Poltica de Acceso y Perimetro de Seguridad Fisica SGSI.PO.10 Politica de Dispositves Movies y Medios Removibles SSGSI.PO.11 Politica Uso de Internet y Correo Electrénico 16°, Que, el acto administrativa singularzado en el considerande precedente fue moditicedo por I= Resolucién Exenta N° 3580, ce 28 de noviembre de 2038, del SENAME, en el sentido de Sustituir la General del Sistema de Gestion de Seguridad de fa Informacié, « iicorporar dos 2 nuevas poiticas a dicho Sistema: += SGSI.PO.01 Politica General de Sistema de Gestién de Seguridad de la Informacién “ SGSI. PO.12 Poltiea de Transferencia de Informacién y Acuerdos de Confisencialidad. 1= SGSIPO.13 Politica de Adquisicién, Desarcollo y Mantenimiento de Sistemas. 7°. Que, el Departamento de Plenificaciin y Control de Gestion, 2 través de su Memordncum N° 4457, de 13 de diciembre de 2019, soli proceder a le acuslizacén dal texto de las palitcas fexistentes ya incorporacion de Wes nuevas Poltices a Sistema de Gestion ce Seguridad de Ia Informaciin, como se sefiala & continuacion: - SGSI.PO.01 Politica General (Susttuctén) = SGSI-PO.02 Politica de Escritrios y Pantallas Limpias (Sustitucién) = SGSI.PO.03 Poltica de Gestién de Redes (Sustitucién) = SGSI.PO.05 Politica de Respaldo y Recuperacién de [nformacién (Sustitucién) = SGSI-PO.09 Politica de Control de Acceso y Perimetro de Seguridad Fisica (Susttucién) = SGST-PO.10 Politica de Dispositvos Wéviles, Medios Removibles (Sustitucién) = SGSI-PO. 11 Politica de Uso de Internet y Correo Eiectrénico (Sustitucén) =SGSi.PO.12 Politica de Transferencia’ de Informacién y Acuerdes de Confidencialiéad (sustituciéa) S'SGSI.PO.13 Police de Adguisicén, Oeearrollo y Mantenimiento de Sietemas (Sustitucén) = SGSI-PO. 14 Politica de Controles Criptogréticos (Nueva) = SGSI-PO.15 Politica de Continuidad Operativa (Nueva) = SGSI.PO 16 Poitia de Seguridad con Proveedores (Nueva) RESUELVO: 1° APRUEBANSE los texios de las Poiticas del Sistema de Gestién de Segurided de la Informacén, singularizadas en el consideranc séptimo del presente acto administratvo, slendo su texto el siguient t POLETICA GENERAL SISTEMA DE GESTION DE ‘SEGURIDAD DE LA INFORMACION ‘sqst.0.01 4. INTRODUCCION Servicio Nacional de Mencres (SENAME) es un organismo guoerramental centralizado y dependiente del Ministerio de Justica. Fue creado por el Decreto de Ley N° 2.465 del 10 de enero de 1973, que ja l texto de st Ley Organica, y fue publicado en el Diario Ofcel el 16 {do enero del mismo afte. El SENAME tiene camo objetivos estratégicosinsttucionales: ‘+ Resttur y/o reparar los dereches vulnerados de los nifos/as y adolescentes por medio e prestaciones de proteccién, + Reinsertar socialmente a adolescentes imputados y/o condenados/as contorme estandares defnides por la Ley 20.084. + Promaver los derechos y prevenir la vuineraclén de los mismos pare alfos/as y adolescentes. + Supervisa ia atencién de los nifos/as y adolescentes atendidos en la oferta del Servicio como a su vez el uso efciente de las recursos, a fin de mejorer fa calidad de las Drestaciones dando cumplmiento a los estandares establecidos por el Servicio en oncordancia con mandatos legales aprobados por el Estado de Chile. ‘+ Retualzar continuamente la oferta dedicada a a atencién de nos, nifies y adolescentes ‘winerados/as en sus derechos ya rehabiltacién de adolescentes que han infingido la ley, a fin de adecvarlas a las poltcas nacionales e internacionales sobre la materia y mandatos legeles aprobados por el Estado de Chile y en conformidad a esténdares de algae. El SENAME reconace que la informacién es un recurso que, como el resto ce los actives, tiene valor para la Institucén y, por consiguiente, debe ser debidemente protegide. La pérdida parcial de informacién podria tener consecuencias graves para la gestion y, por ende, se eben implementar las falvaguardes edecuadas para garantizar que los equipos, datos y los Sistemas que los soportan, sean seguros. Por esta’ razén, se establace esta Politica del Sistema de Gestién de Seguridad de la Informacin, el cual tiene como objetive proteger los actives de Informacién de una amplia 2POLITICA DE CONTROLES CRIPTOGRAFICOS SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION SGSI.PO.14REF: Politica de controles criptogréficos SGSIPO.14 N* Revisién: 09] Sistema de Gestién de Seguridad de a informacin Pagina 2 des Informacién del Documento REV 00 Elaborado por Revisado por: ‘Aprobado por: Cristian Castillo Silva Nombre | Encnioaas Sutera ce Gestion | vote Depanamento Susana Tonda Mitri de Seguridad de la Informacion | Pianoacien y Control de D ell i a=] Fecha 5 bic,Jaaie TORS &, “wy a a Control de Versione’ Nombre Fecha Dpto. een eer eea Encargado Sistema de Gestion de Seguridad de la 0 © fee oe an Gece Informacion ovied | Craton Casio Sivas py, ate Departamento Panfeacn yCanl ce Gaston Registro de Modificaciones () ‘evision nee Descripcién de la modificacién / Aprobé iat | Bt Reonal Emisor A as (Pagina o seccién afectada) oe? epee DIRECGION 0 FS.DIc. 1] DEPLAE mmision NACIONAL Servicio Nacional de Menores 2019ee Politica de controles criptograficos REF: : ; SGSILPO.14 Sistema de Gestién de Seguridad de la Informacién [N° Revision 00| 1 INTRODUCCION.. 2 POLITICA. 21 USO DE CONTROLES CRIPTOGRAFICOS .. 22 GESTION DE CLAVES CRIPTOGRAFICAS 3 ALCANCE 4 OBJETIVO. 5 RESPONSABILIDADES..... 6 REVISION, VALIDACION Y DIFUSION 7 CUMPLIMIENTOS 8 — SANCIONES 9 TERMINOS Y DEFINICIONES. ‘TABLA DE CONTENIDOS. Servicio Nacional de Menores 20194 Politica de controles criptograficos REF: SGSIPO.14 Sistema de Gestién de Seguridad de la informacién N° Revision 00) Pagina 4 de 8 INTRODUCCION La presente politica se genera con el fin de garantizar la confidencialidad e integridad de los documentos designados como sensibles. El Servicio Nacional de Menores debe utilizar sistemas y técnicas criptograficas para la proteccién de la informacién. El sistema do informacion debe implementar mecanismos de proteccién de informacién que cumplan con la reglamentacién, politicas, estandares, guias aplicables, asi como: + Proporcionar una proteccién adeouada a los equipos utllizado para generar, almacenar y archivar claves, considerandolo critico 0 de alto riesgo. + Proteger las claves secretas y privadas evitando sean copiadas 0 modificadas sin autorizacién POLITICA 24 USO DE CONTROLES CRIPTOGRAFICOS + En primera instancia se deberd identificar a la(s) persona(s) responsable(s) de implementar la politica, asi como de su debida administracién y la gestion de claves. * Se debe realizar una evaluacién de riesgos, cuyo resultado permitiré identificar el nivel de cifrado requerido para la informacién que se maneje, segin su clasificacién. Esta evaluacién estar reflejada en la Matriz de Riesgos. + Se utiizardn controles criptogréticos para la proteccién de la confidencialidad, el cumplimiento del principio de la no repudiacién y el control de la integridad de la informacién en los siguientes casos: proteccion de claves de acceso a sistemas, documento electrénico, datos y servicios; transmision de informacién clasificada fuera del ambito del servicio; resguardo de informacién, cuando asi surja de la evaluacién de riesgos realizada por el propietario de la informacién y el encargado de seguridad de la informacion. + Se definen los algoritmos de cifrado que podrén utiizarse al interior del SENAME, como aplicacién directa 0 como parte de la configuracién de otros productos de seguridad comerciales, tomando en cuenta el tipo y la calidad del algoritmo de cifrado utlizado y la longitud de las claves criptograficas + S6lo se utlizan algoritmos de cifrado, definidos por esténdares internacionales. * Se utilizaran técnicas criptograficas para autenticar a los usuarios o entidades externas que requieran hacer uso de los sistemas de informacién del SENAME. ‘+ Se utilizarén mecanismos criptogréficos para el establecimiento de canales seguros para comunicaciones, tales como SSL/TLS (HTTPS) incluyendo el uso y gestién de llaves y certificados digitales. ‘+ Toda informacién contenida o transportada a través de medios méviles 0 extraibles deberd contar con un cédigo de proteccién, segiin el nivel de clasificacién que tengan los datos inoluidos, con el fin de resguardar los antecedentes registrados en dichos medios. + Los funcionarios deben usar el sistema autorizado por el SENAME para efecto de autenticacion. 2.2 GESTION DE CLAVES CRIPTOGRAFICAS + El encargado de seguridad de la informacion deberd precisar el equipo que se u la generacién, almacenamiento y archivo de las claves de encriptacién. Servicio Nacional de Menores 2019Politica de controles criptograficos Sistema de Gestion de Seguridad de la Informacién Pagina 5 de 8 + Los responsables de generacién de claves criptogréficas serdn los Unicos encargados de generar, difundir y archivar los oddigos de acceso para archivos y equipos encriptados. Toda solicitud 0 requerimiento de encriptacién deberd ser realizado al encargado de administracién de claves. + La administraci6n de claves criptograficas es responsabilidad dnica del Subdepartamento de Informatica, * Cada clave criptogréfica deberé tener un ciclo de vida, el cual dependera del nivel de ‘complejidad de la misma y la clasificacién de la informacién 0 equipo que se desea proteger, pudiendo tener un periodo de expiracién de horas o dias. Se definirdn las fechas de activacién y desactivacién para cada clave generada. + Todas las claves criptograficas deberan estar protegidas contra modificacién, divulgacién y destruccién. Dichas acciones podran ser realizadas Gnicamente por los administradores de claves. ‘+ El SENAME se encargara de abastecer los recursos necesarios para garantizar la proteccién y seguridad del equipo utilizado para generar, almacenar y archivar las claves criptogréficas, ‘tomando en consideracién los respaldos correspondientes y resguardando el acceso a estos. 3 ALCANCE El alcance de la presente politica seré aplicable a los activos de informacién, activos fisicos, activos de servicio de TI y activos humanos asociados al proceso de Desarrollo de la Oferta de lineas de accién establecidas en la ley N°20.032, realizados en la Direcci6n Nacional del Servicio Nacional de Menores, ubicada en Huérfanos 587, Santiago. Se aplica a los funcionarios (planta, contrato, honorarios) de la Direccién Nacional Servicio, proveedores y trabajadores externos, que pertenezcan al proceso de “Desarrollo de la Oferta’, y los sistemas controlados serdn los siguientes: * Active Directory + SENAINFO 4 OBJETIVO Esta politica define el uso de algoritmos de eneriptacién y servicios de protecoién de informacién a utilizar en el Servicio Nacional de Menores 5 _RESPONSABILIDADES © DIRECTOR(A) NACIONAL En su calidad de tal, tiene la responsabilidad de revisar y aprobar esta Politica dentro de su rea de competencia, debiendo procurar ademas que se asignen suficientes recursos humanos, materiales y financieros para implementarla. La alta direccién debe establecer claramente el enfoque de la Politica en linea con los objetivos institucionales y demostrar su apoyo y su compromiso con la seguridad de la informacién, promoviendo la mejora continua a través de la emisién y actualizacién de esta Politica de Controles Criptogréficos en la Institucién y asi asegurar que el SGSI logre sus resultados esperados. ‘SUBDEPARTAMENTO DE INFORMATICA © Autorizar formalmente los métodos de encriptacién a utilizar en las aplicaciones y sistemas tecnol6gicos. Servicio Nacional de Menores 2019Politica de controles eriptograficos REF: SGSI.PO.14 Sistema de Gestién de Seguridad de la Informacién N° Revision 00 Pagina 6 de 8 © Asistir y administrar los procedimientos de configuracién de los controles criptogréticos. © Administrar las claves criptogréticas + ENCARGADO DE SEGURIDAD DE LA INFORMACION Tendré la responsabilidad de coordinar las actividades relacionadas a la gestién de la Politica de Seguridad de la Informacién dentro del SENAME, a través de la ejecucién de las siguientes funciones: 1. Coordinar las actividades del Comité de Seguridad de la Informacién. 2. Coordinar la debida respuesta y priorizacién al tratamiento de incidentes y riesgos vinculados a los activos de informacién de los procesos institucionales y sus objetivos de negocio. 8, Monitorear el avance general de la implementacién de las estrategias de control y tratamiento de riesgos asociados a seguridad de la informacién y ciberseguridad 4, Mantener coordinacién con otros departamentos de la Institucién para apoyar los objetivos de la seguridad de la informacién. 5. Mantener la aplicabilidad de este documento acorde a las practicas operacionales del SENAME, por lo que es responsable de generar las modificaciones necesarias para que éste siempre actualizado. Junto con lo anterior, es responsable de gestionar la publicacién y dar a ‘conocer nuevas versiones del documento. * COMITE DE SEGURIDAD DE LA INFORMACION EI Comité de Seguridad de la Informacién del SENAME, tiene dentro de sus responsabilidades y funciones velar por la implementacién del Sistema de Gestién de la Seguridad de la Informacién @ impulsar, promover y revisar periédicamente la implementacién de las politicas de seguridad de la informacién. * PERSONAL DE SENAME Y/O USUARIOS PERTENECIENTES AL PROCESO DE DESARROLLO DE LA OFERTA Tendran la responsabilidad de cumplir con lo formalizado en este documento y cautelar el cumplimiento de las medidas control del uso de controles criptograficos 6 REVISION, VALIDACION Y DIFUSION EI Comité de Seguridad de la Informacién de la Institucién revisaré al menos una vez al afio la presente Politica, para efectos de mantenerla actualizada. Asimismo, efectuara toda modificacién que sea necesaria en funcién de posibles cambios que puedan afectar su definicién, como, por ejemplo, cambios tecnoldgicos, variacién de los costos de los controles, impacto de los incidentes de seguridad, cambios legislativos, entre otros. La responsabilidad de la validacién y aprobacién de la Politica de Controles Criptogréficos al interior del SENAME es del (la) Director(a) Nacional del Servicio, quien se apoyara para estos propésitos en las Jefaturas. Junto con lo anterior se incluirén orientaciones generales del sistema, su importancia y acceso a la informacion y canales de contacto, tanto como en la charla de inducoién a nuevos funcionarios y en el contenido del Manual de Induccién institucional, ambas actividades desarrolladas por el Area de Induccién y Evaluacién de Desempefio de la Unidad de Desarrollo Organizacional de SENAME. Servi Nacional de Menores 2019Politica de controles criptograficos REF: ‘ SGSLPO.14 Sistema de Gestién de Seguridad de la Informacién [N° Revision 00| Pagina 7 de 8 EI Subdepartamento de Informatica o la Unidad de Comunicaciones del SENAME, apoyarén en la difusién de las politicas y procedimientos utilizando las herramientas y plataformas que estime conveniente para tal efecto. Los funcionarios, personal externo y proveedores de servicios, tendran acceso a esta Politica en su Ultima versién via Intranet y Pagina Web del servicio, en formato digital. 7 CUMPLIMIENTOS La presente Politica entra en vigencia una vez oficializada por el (la) Director(a) Nacional del SENAME. Las Jefaturas de los distintos departamentos pertenecientes al Desarrollo de la Oferta serén responsables de difundirlas a su personal a cargo. Para el caso del personal que se contrate con posterioridad a la fecha de publicacién, se le debera comunicar acerca de la existencia de la politica, para conocimiento y acceso a la misma, 8 SANCIONES Cualquier contlicto con las leyes y normativas asociadas a seguridad de la informacion debe ser informado inmediatamente al encargado de seguridad del SGSI. EI incumplimiento de la Politica de Controles Criptograficos (SGSI.PO.14) podré tener como resultado la aplicacién de diversas sanciones en el ambito administrativo, civil y/o penal, conforme a la magnitud y caracteristica del aspecto no cumplido o vulnerado. 9 TERMINOS Y DEFINICIONES Alos efectos de este document, se aplican las siguientes defi jones: * Cifrado: Que esta escrito con letras, simbolos o ntimeros que solo pueden comprenderse i se dispone de la clave (lave criptogratica) necesaria para descifrarlos. : Es un procedimiento que utiliza un algoritmo de cifrado con cierta clave (clave de cifrado) que transforma la informacién, sin atender a su estructura linguistica 0 significado, de tal forma que sea incomprensible o, al menos, dificil de comprender a toda persona que no tenga la clave secreta ‘© Confidencialidad: Proteccién de la informacién sensible ante divulgacién no autorizada. idad: Preservacién de un activo de informacién y acceso a personas asu uso. n: Se refiere a toda comunicacién o representacién de conosimiento como datos, en cualquier forma, con inclusién de formas textuales, numéricas, gréficas, cartograficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro. + Integridad: Exactitud, configuracién y calidad de un activo de informacién. + Llaves criptograficas: Son cédigos (algoritmos) que se generan de forma automética y se guarda en un directorio especial durante Ia instalacién. Habitualmente, esia informacién es una secuencia de niimeros o letras mediante la cual, en criptografia, se especifica la transformacién del texto plano en texto cifrado, 0 viceversa. Servicio Nacional de Menores 2019Politica de controles criptograficos REF: SGSI.PO.14 lad de la Informacion N° Revision 00 Pagina 8 de 8 Sistema de Gestién de Seg * Seguridad de Ia Informacién: Conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnolégicos que permiten resguardar y proteger la informacién, buscando mantener la confidencialidad, la disponibilidad e integridad de la misma, Servicio Nacional de Menores 2019