VISTO, e! Ofielo N JUS/OGI, de fecha 18 de mayo de 2006 de la Oficina General de Informatica;

Transcripción

1 - - r. ',./ n n e a -- /-::-:::~-" l (r«~j;) :s:1??!,.,,' 1 VSTO, e! Ofielo N JUS/OG, de fecha 18 de mayo de 2006 de la Oficina General de nformatica; Que. mediante Resoluci6n Jefatural W NE se aprobo la Directiva N' NE1/SJ "Recomendaciones tecnicas para la seguridad e integridad de la informaci6n que se procesa en la Administracion PUblica"; Que. la Oficin8 General de nformatica del Mipisterio de Justicia ha elaborado el proyecto de Directiva "Normas nternas para e Seguridad de la nformaci6n Digital del Ministerio de Justicia", en el que se establecen las norm as y procedimientos que S8 deben tener en cuenta para la seguridad de la informaci6n del Ministerio de Justicia.!as mismas que permitiran un mejor uso. prnecci6n y conservaci6n de 18 inforrnaci6n: Con la opinion favorable de la Oficina (;enerai cie Economia y Desarrollo mediante el nforme N /0GED-ORE Y con las VlsaClones de las Oficinas Generales deeconomia y Desarrollo, nformatica y Asesoria,Juridica. De conformidad a 10 dispuesto en el articulo 10 del Decreto Ley N 25993, Ley Organica del Sector Justicia. y en el articulo 13 del Reglamento de Org,\qi:~aci6n y Funciones del Ministerio de Justicia, aprobado par Decreto Supremo N" O~S-2001-JUS; Articulo Unico.- Aprobar la Directiva N'" JUS/OG "Normas nternas para la Seguridad de la nformacion Digital del Ministerio de Justicia", que en anexo forma parte de la presente Resoluci6n. DAnA~VAAfJ. caldenln GAllO S lcretarla o.mtral Minlsterlo de Justlcl8

2 NORMAS NTERNAS PARA LA SEGURDAD DE LA NFORMACON DGTAL DEL MNSTERO DE J USTCA Contar con un documento expreso, de cumplimiento obligatorio para el personal del MNJUS, en el cual se determinen las Normas nternas para la Seguridad de la nformacion Digital del Ministerio de Justicia, a fin de tener control para salvaguardar la informacion institucional. - D.S. NO JUS, Reglamento de organizacion y Funciones del Ministerio de Justicia. - R.J. N NE, que aprueba la Directiva N NE/SJ, "Recomendaciones Tecnicas para la Seguridad e ntegridad de la nformacion que se procesa en la Administracion Publica". - R.J. NO NE, que aprueba la Directiva N NE/SJ, "Recomendaciones Tecnicas para la Organizacion y Gestion de los Servicios nformaticos para la Administracion Publica". - R.J. N NE, que aprueba la Directiva N NE/SJ, "Normas Tecnicas para el Almacenamiento y Respaldo de la nformacion que se procesa en las Entidades del Estado". - Directiva N JUS/OG, "Normas y Procedimientos para instalar, reubicar, trasladar, sustituir piezas y repotenciar equipos de computo en el Ministerio de Justicia". - Directiva N JUS/OG, "Normas y Procedimientos para el uso del Correo Electronico del Ministerio de Justicia". Determinar la seguridad de la informacion digital mediante la aplicacion de normas y procedimientos a fin de proteger los datos electronicos que utiliza el usuario en el Ministerio de Justicia '0""'9-. '1 tj~.lb.. La presente Directiva es de aplicacion obligatoria para todo el personal en general que /1". ol'~f> abore en el Ministerio de Justicia: nombrado, contratado bajo cualquier modalidad, secigrista, ' :!. practicante, entre otros., \ } ~) ",)~~. if #;. '. ~ rcf(m ~~.d~_:9 (je~,o\~/

3 [;;t-~\ ~ ~ > <toft ~v Corresponde a la Oficina General de nformatica formular las acciones para mejorar la eficiencia en el aspecto de la seguridad de los recursos informaticos de la Entidad, asi como los procedimientos y procesos relacionados. Corresponde a los Jefes de cada Unidad Organica el solicitar las altas y bajas de las cuentas de usuarios del personal a su cargo para el acceso a los recursos del sistema de red, indicando en detalle el alcance de 10solicitado como son el uso del correo electronico, nternet, sistemas de informacion, entre otros. Cada usuario es responsable de mantener la cof'ficp,cialidad necesaria de la informacion almacenada en el sistema de red (areas de trabajo "M", "N", "0", etc); as! como de la informacion que se encuentra almacenada localmente en la computadora asignada. Se prohfbe facilitar informacion a terceras personas ajenas a la organizacion, a traves de documentos impresos, medios magneticos, opticos, electronicos, digitales, etc., asi como el acceso alas computadoras personales, sin autorizacion de la Jefatura de la Unidad Organica competente. 1.1 La utilizacion de las "cuentas de usuarios", compuesta por una identificacion de usuario y clave secreta constituyen mecanismos de seguridad logica relacionados con la proteccion de la informacion contenida en :OS rec! ;r:;os dg sistema de red y 6n las computadoras. 1.2 A traves de solicitudes de "cuenta de usuario" se establecen restricciones a los recursos del sistema de red, entre ellos el acceso a los archivos, sistemas de informacion, correo electronico, nternet, entre otros a fin de evitar que personas no autorizadas puedan violar la confidencialidad de la informacion 0 realizar actos no deseados que eviten la continuidad del Servicio de los Sistemas. 1.3 Los usuarios de la red iocal del ivl,,\jjus deberan tener en consideracion los siguientes lineamientos que deberan aplicar en el manejo de las "cuentas de usuario": a) Las "cuentas de usuario" son de uso exclusivo y confidencial, no debiendo ser comunicadas a otras personas. Todas las transacciones registradas con la "cuentas de usuario": seran de su exclusiva responsabilidad. b) E usuario debera evitar abandonar su computador dejando activa su sesion de trabajo con su "cuenta de usuario", es ob:;~"'i"r;~. J! r:~ su sesion. De ser necesario debera apagar el equipo. c) Cuando un funcionario 0 servidor con acceso a los recursos de red se ausente por motivo de vacaciones, enfermedad 0 permiso por tiempo mayor a 3 dias, la Jefatura correspondiente 0 la persona que esta delegue, debera comunicar este hecho inmediatamente a la Oficina General de nformatica, mediante un correo electr6nico a admin@minjus.gob.pe, para realizar el bloqueo de su cuenta de usuario, la que sera restituida a su retorno, previa comunicacion por parte del jefe de la unidad organica competente. d) Para el caso de las altas y bajas de una "cuenta de usuario", la Jefatura correspondiente debera solicitar oficialmente a la OG, con la finalidad de desactivar 0 activar la cuenta respectiva en el sistema de red de la institucion.

4 ."'.~,o0, -0", g ~. <tool'; ~~ Oficina General de nformatica 1..4 Los usuarios de la Red Local del MNJUS deberan tomar en cuenta las siguientes consideraciones para el manejo de clave de accesos: a) E cambio de clave se sugiere realizarlo cada fin de mes 0 las veces que considere conveniente, siendo responsable de mantener su confidencialidad" b) La longitud minima de clave de acceso no debera ser menor a 5 ni mayor a 10 caracteres alfanumericos, c) A escoger una clave de acceso, el usuario debera evitar asociaciones obvias, como nombres de familiares y/o mascotas, numeros telef6nicos, numero de ON, fechas importantes, numero de c6digo de empleado, PN de tarjeta de credito, marca de su auto, direcci6n, etc., sea en orden directo (directo) 0 inverso (osrevni). e) E sistema de red bloqueara automaticamente las "cuentas de usuarios" que tienen 3 intentos fallidos consecutivos (tanto para el ingreso a la red como al correo electr6nico), Para volverlas a activar se debera esperar un tiempo de 5 minutos luego del cual el sistema la reactivara automaticamente. 2. SOBRE LA NFORMACON CONTENDAS EN EL SSTEMA DE RED, EQUPOS DE COMPUTO Y DSPOSTVOS EXTERNOS E usuario debera almacenar la informaci6n sensible en ios servidores de la red protegiendo asi sus documentos de trabajo (confidencial e importante). Para ello los discos de red asignados a su funci6n son: carpeta personal = disco "M" carpeta de trabajo de grupo/area = discos "J" 0 "N" 0 "0", segun corresponda Los usuarios no deben borrar/mover 0 alterar la informaci6n contenida en las carpetas de trabajo de grupo ("J","N","O", etc.) salvo que se coordine con ei Jefe de la unidad organica. Cualquier hecho que provoque la no disponibilidad de la informacion sera responsabilidad unicamente del usuario y del Jefe de la Unidad Organica, que solicit6 el acceso para dicho usuario Cada Jefe de la Unidad Organica debera informar al nuevo integrante de su unidad sobre la forma de trabajo en sus unidades de trabajo de grupo/area E usuario de un computador de escritorio 0 portatil es responsable de la custodia, disponibilidad y confidencialidad de la informaci6n almacenada en el disco duro del equipo que e ha side asignado Queda prohibido sacar informacion de la nstituci6n, contenida en los equipos de computo 0 en la red fuera de la Entidad, en cualquier tipo de medio, sin autorizaci6n de su Jefatura, bajo responsabilidad; su incumplimiento sera considerado falta grave, siendo sujeto a sanci6n 0 dependiendo el caso, como delito informatico.

5 '1-\0 Or..r (t"\ A!: R V Oficinll General de nformliticil Solo con fines de administracion y soporte al usuario, se comparten ciertas carpetas del disco duro. Esta funcion es de competencia unica y exciusiva de la OG. Esta prohibido que cualquier carpeta sea compartida por los propios usuarios Cada usuario debera apagar su computador luego de culminar la jornada laboral. Lo mismo debera realizar cuando se ausente de la institucion Todo computador portatil que requiera ingresar y que no sea de la institucion debera ser registrado por personal de seguridad y revisado por la OG, a fin de descartar cualquier infeccion de virus informatico y presencia de program as que atenten contra la seguridad de la informacion Queda prohibido el uso de dispositivos extern os (opticos, digitales magneticos, electronicos, etc.) que permitan la copia total 0 parcial de la informacion perteneciente a la nstitucion, los cuales son: quemadores de CO's/ OVO's memoria USB, Palm, Pocket Pc, etc. Solo se podran utilizar en casos excepcionales debidamente justificados y autorizado por el jefe de la unidad organica, estos podran ser utilizados bajo responsabilidad del soiicitante y del autorizador. Solo la Oficina General de nformatica, por la naturaleza de su trabajo podra contar y utilizar dichos dispositivos E uso de dispositivos externos (memorias USB, discos, palm, pocket pc, pda, etc) sin autorizacion y que contengan informacion de la institucion sera considerado como falta y de acuerdo a la circunstancia como delito informatico Esta prohibido que un us\.jar;oacceda a la inforroiaci6r contenida en unid<::de::;de almacenamiento (medios magnetico, electronicos, opticos, digltales, etc) que no e hayan side asignadas ni autorizados por el jefe de la unidad organica Cada usuario es responsable por la custodia y la confidencialidad necesaria de la informacion almacenada en medios magneticos, opticos, electronicos, etc. que e haya side asignado y autorizado. Oebera dar cuenta a su jefe inmediato de cualquier extravio, dang 0 sustraccion Es responsabilidad del usuario eiinllnar la ntormaclon del medlo magnetlco, optico, electronico, etc., clasificada como Confidencial, cuando esta ya no sea necesaria En el caso del uso de los dispositivos externos (memorias USB, discos, palm, pocket pc, pda, otros) no autorizados, la Oficina General de nformatica tendra la facultad de solicitar dicho dispositivo para su revision y de ser el caso retenerlo, luego debera informar a la jefatura correspondiente sobre su contenido y las circunstancias en la que fue hallado. #~,'" (l~04~,'~ ~,'~ 3.1 E correo electronico es una herramienta de intercambio de informacion, que permite a los usuarios enviar y recibir cualquier tipo de informacion electronica a traves de la red local y/o nternet. 3.2 Los lineamientos del buen uso y control del correo electronico fueron especificados '0 n la directiva Nro, JUS/OG, Normas y Procedimientos para el uso del Correo,..,. " ~ectronico del Ministerio de Justicia \ <i../'j~(~.f 'Z(,~;~f'C'onGeS'\o', ~~d _~t;.""p

6 1. La aplicacion de las sanciones al incumplimiento de las disposiciones establecidas en la presente directiva sera de acuerdo alas normas vigentes sobre la materia. 2. E propietario de la "cuenta de usuario" es el unico responsable del mal uso de esta y sera sujeto a la aplicacion de la sancion detallada en el numeral anterior. 1. Siendo la Oficina General de nformatica la encargada de elaborar procedimientos relacionados a la Tecnologia de nformacion, sera responsable de proponer la actualizacion de la presente Directiva y de emitir todas aquellas disposiciones necesarias para regular su cumplimiento. 2. La Oficina General de nformatica se encargara de difundir las directivas creadas enviando via documento oficial a todas las Jefaturas de las Unidades Organicas. 3. Todas la Unidades Organicas seran responsables de hacerlas de conocimiento oficial a su personal, bajo responsabilidad. 4. La Oficina General de nformatica sera la encargada de evaluar el cumplimiento de la presente Directiva como parte de su labor. 1- CUENTA DE USUARO: identificacion otorgada a un usuario para el acceso a una computadora, y a los servicios de la red de la institucion. 2- DELTO NFORMATCO: Toda aquella accion que involucra el mal uso de la informacion por parte del personal de la Entidad, para obtener algun tipo de favor 0 beneficia propio, esta accion aparte de ser sancionada por los reglamentos de la institucion tambien podra ser sancionada por el ente judicial competente como delito segun 10 establecido por la ley. 3- MEDOS MAGNETCOS: Dispositivos que permlten el almacenamiento de programas e informacion fuera de los discos duros de la PC, entre los que se encuentran los diskettes.cintas, etc 4- MEDOS OPTCOS: Disposltlvos de almacenamlento que utilizan la tecnologia laser para guardar archivos (program as e informacion). Dentro de ellos se encuentran los CD'S, DVD'S, etc, 5- MEMORA USB: Dispositivo pequerio, externo y de gran capacidad, lamado tambien lavero usb 0 memory key; se conecta a la PC a traves de un puerto y actua como un disco duro fisico adicional. 6- PALABRA CLAVE PASSWORD CONTRASENA): codigo utilizado para identificar a un usuario autorizado; normalmente pravisto por el sistema operative 0 por un Sistema de Gestion de Base de Datos. Las contraserias sirven como medida de seguridad contra <:>1 acceso no autorizado a los datos debido a que la computadora solo puede verificar la legitimidad de la contraseria y no la del usuario. 7- PALM POCKET PC 6 PDA: Dispositivos portatiles pequerios con capacidad de ejecutar pequerias aplicaciones y con la potencialidad de poder conectarse a una red y/o alas PCS via puertos usb, puerto de red y transmitir informacion via rayos infrarrojos 10-USUARO: Cualquier persona que utiliza una computadora. Por 10 general se refiere alas personas que no pertenecen al equipo tecnico y que utilizan un equipo de computo. Hacen uso de los discos duras de las pc's, de los servidores de la red, de las impresoras, correo electronico e nternet.