POLÍTICA CUMPLIMIENTO MINISTERIO DE OBRAS PÚBLICAS Fecha de Aprobación: 26 de septiembre 2013, en sesión de Comité de Seguridad de la Información
Control de Versiones Fecha de Creación Autor 01/04/2013 Subdivisión de Informática y Telecomunicacio nes 01/04/2013 Subdivisión de Informática y Telecomunicacio nes 01/04/2013 Subdivisión de Informática y Telecomunicacio nes Fecha de Revisado por Revisión 2-07-2013 Carlos Guzman Gino Curotto 2-08-2013 27-08-2013 M.P.Hermosilla G.Curotto. M-Mancilla. 28-08-2013 M.P.Hermosilla G.Curotto. Riola Polanco. Patricia Contreras Ximena Riquelme Fecha de Aprobado por Comentarios Aprobación -- -- Primera versión -- -- incluye observaciones enviadas por escrito al 27-08- 2013 26-09-2013 Comité de Seguridad de la Información MOP incluye observaciones levantadas en Reunión de Comité de Seguridad 28-08- 2013 Política de Cumplimiento Página 2 de 10
Índice 1. Introducción... 4 2. Objetivo... 4 3. Alcance... 4 4. Roles y Responsabilidades... 4 5. Política... 6 6. Difusión... 9 Política de Cumplimiento Página 3 de 10
1. Introducción El presente documento, se enmarca dentro de la Política General de Seguridad de la Información para el MOP, conforme al ORD N 3082 del 12 de Diciembre del 2011, y de las recomendaciones de seguridad dadas en el Decreto Supremo MINSEGPRES N 83 del 23 de Junio del 2004. En particular, este documento define el objetivo y alcance de la Política de Cumplimiento respecto de la seguridad de la información. 2. Objetivo El Objetivo de esta política es velar porque los sistemas de información desde su diseño e implementación, y luego, durante su explotación, operación, uso y administración cumplan con las regulaciones y disposiciones legales y contractuales en materia de seguridad de la información vigentes en el Estado de Chile. 3. Alcance Esta política aplica a todas las personas relacionadas con la ejecución de procesos que emplean sistemas y servicios basado en tecnologías de información en general, y en particular que se apoyen en la Plataforma Tecnológica del MOP. 4. Roles y Responsabilidades Para cumplir los objetivos de la presente Política, se establecen los siguientes roles y responsabilidades. 4.1 Oficial de Seguridad de la Información MOP Supervisa el cumplimiento de la presente política y de asesora en materia de seguridad de la información a las autoridades Ministeriales y a los integrantes del Comité de Seguridad de la Información. 4.2 Comité de Seguridad de la Información MOP EI Comité de Seguridad de la Información del MOP, tiene dentro de sus responsabilidades y funciones velar por la implantación del Sistema de Gestión de la Seguridad de la Información e impulsar, promover y revisar periódicamente la implementación de las políticas de seguridad de la información del MOP. Política de Cumplimiento Página 4 de 10
4.3 Jefes (as) de Direcciones y/o Servicios Son responsables de la aplicación de las políticas de seguridad de la información al Interior de cada Servicio, su difusión y su cumplimiento por parte de sus funcionarios. 4.4 Encargado (a) de Seguridad de la Información de los Servicios Supervisar y coordinar el cumplimiento de la presente política y de asesorar en materia de seguridad de la información a los Jefes de su Dirección y/o Servicio. 4.5 Jefe de Unidad de Seguridad de la Información (SDIT) a) Definir normas y procedimientos para garantizar el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual y a la conservación de registros. b) Verificar periódicamente que los sistemas de información cumplan la política, normas y procedimientos de seguridad establecidos. c) Supervisar y coordinar el cumplimiento de la presente Política y de asesorar en materia de seguridad de la información al Oficial de Seguridad de Información del MOP. 4.6 Usuarios(as) MOP Conocer, respetar y acatar permanentemente las políticas de seguridad de la información del MOP. 4.7 Unidad de Auditoría Ministerial y Auditoría Interna Servicios del MOP Responsable de practicar auditorias sobre el cumplimiento de las políticas, normas y procedimientos para la seguridad de la información del Ministerio de Obras Públicas. Política de Cumplimiento Página 5 de 10
5. Política 5.1. Identificación de la Legislación Aplicable Durante el proceso de diseño e implementación y explotación de sistemas de información, soporte o apoyo a los procesos de negocio de las distintas Direcciones, deben estar identificados todos los requisitos, legales y normativos contractuales respecto de la seguridad de la información. 5.2. Derechos de Propiedad Intelectual a) Se deberán implementar procedimientos apropiados para asegurar el cumplimiento de las normativas y leyes relativas a propiedad intelectual relativas al uso, copia o reproducción de productos de software licenciados o patentados. b) La adquisición de software por parte del MOP y sus Direcciones dependientes debe contar con la evaluación técnica y de licenciamiento de la Subdivisión de Informática y Telecomunicaciones (SDIT). c) La SDIT será responsable de implementar los controles de licenciamiento requeridos para cada producto de software que lo requiera. 5.3. Protección de los registros del MOP a) Se deberá garantizar la protección de los datos registrados por el MOP y el carácter reservado de estos, de acuerdo con los requerimientos legales y normativas vigentes, o por medio de cláusulas ad-hoc en Contratos de Provisión de Servicios o Convenios de Interoperación y/o Confidencialidad con terceros. b) Las Áreas o Unidades de las Direcciones dependientes del MOP, responsables de adquirir o contratar servicios o productos basados en tecnologías de información deben contar con la revisión y aprobación de Subdivisión de Informática y Telecomunicaciones. c) El uso de medios de almacenamiento electrónicos, deben considerar procedimientos para asegurar la capacidad de acceso a los datos (tanto de legibilidad de formato como de medios) durante todo el período de retención, a fin de salvaguardar los mismos contra eventuales pérdidas ocasionadas por futuros cambios tecnológicos. 5.4. Protección de los datos y privacidad de la información personal Política de Cumplimiento Página 6 de 10
a) Todos los Funcionarios(as) deben conocer y respetar las restricciones relativas al tratamiento de los datos e información a la cual tengan o conocimiento con motivo del ejercicio de sus funciones. b) La Subdivisión de Informática y Telecomunicaciones es quien gestiona los procesos de registro de Bases de Datos Personales ante los organismos pertinentes. Para ello solicitará anualmente a las Direcciones que le entreguen la información solicitada en la normativa vigente. c) Todos los datos de ciudadanos que por diversas razones han sido registrados por el MOP o sus Direcciones dependientes tienen carácter de reservados y están sujetos a las leyes y normativa vigentes de protección de la vida privada. d) El MOP o sus Direcciones dependientes deberán suscribir convenios de confidencialidad con terceros (públicos o privados) frente a cualquier proceso de intercambio o acceso a información considerada reservada, siempre que esto no vulnere la leyes de transparencia de la información pública. 5.5. Uso adecuado de los recursos de procesamiento Los recursos de procesamiento de información del MOP se suministran con un propósito determinado. Toda utilización de estos recursos con propósitos no autorizados o ajenos al destino para el cual fueron provistos, es considerada como uso inadecuado. 5.6. Regulación de uso de mecanismos criptográficos Al utilizar firmas digitales sobre documentos electrónicos, se deberá considerar lo dispuesto por la las normativas vigentes para documentos electrónico y firma electrónica. 5.7. Recolección de Evidencia a) En caso de requerirse evidencia a propósito de un incidente de seguridad, se debe recolectar, registrar y preservar para el proceso de análisis o investigación del incidente. b) Dentro de lo posible, al almacenar los documentos o archivos (sean en soporte papel o electrónico), que constituyen evidencia de un incidente de seguridad, debe registrarse: quien recolecto dicha evidencia, de dónde se obtuvo, cuándo se obtuvo y quién presenció el hallazgo de esta evidencia. Política de Cumplimiento Página 7 de 10
c) Si se deben sacar copias de la evidencia, debe mantenerse un registro de todas las copias sacadas y a quien se le ha entregado. d) El acceso a evidencia relacionada con incidentes de seguridad está restringido sólo a funcionarios que estén relacionados con su investigación, o su análisis post mortem. 5.8. Verificación de la compatibilidad técnica a) La Unidad de Seguridad de la Información verificará periódicamente que los sistemas de información cumplan con la política, normas y procedimientos de seguridad, validando que se han aplicado los controles de seguridad identificados en las políticas, normas o procedimientos que corresponda. b) En los casos que lo amerite, esta Unidad podrá contratar Servicios especializados para efectuar esta revisión. c) Cada revisión deberá ser registrada y dará lugar a un informe técnico que dará cuenta de estado de cumplimiento, brechas y recomendaciones y plazos para resolverlas. 5.9. Comunicaciones entre Estado y Ciudadanos El MOP ofrecerá sistemas de información y de servicios vía Internet accesibles y compatibles con los estándares vigentes y de amplio uso a nivel de organismos públicos y de la ciudadanía en general. 5.10. Desarrollo de Sitios WEB a) Para el desarrollo de sitios web se adoptarán las normas técnicas dispuestas para los organismos públicos del Estado Chileno. b) Las características técnicas que deben cumplir los sitios web del MOP deben asegurar la disponibilidad, accesibilidad y seguridad de la información, y el debido resguardo de personales. 5.11. Interoperabilidad a) El MOP adoptará la norma técnica para los órganos de la Administración del Estado sobre interoperabilidad de documentos electrónicos. Política de Cumplimiento Página 8 de 10
b) Se asegurará la interoperabilidad con otros organismos públicos, a través de mecanismos establecidos y basados en tecnologías que cumplen con estándares ampliamente usados y abiertos. c) Se deberá seguir los lineamientos técnicos establecidos en las normativas que corresponda respecto de los documentos electrónicos en cuanto a la codificación y definición de esquemas. 5.12. Mensajes electrónicos masivos no solicitados La SDIT debe implementar y mantener actualizada normativas y/o procedimientos que permitan velar por el uso adecuado del Servicio de Correo, e implementar los controles para evitar la entrada o salida de mensajes a ajenos al quehacer del MOP y Sus Direcciones dependientes, en particular debe eliminar o prevenir la proliferación de correo de tipo comercial o no deseado (spam). 5.13. Cumplimiento de las Políticas y las Normas de Seguridad y Cumplimiento Técnico La Unidad de Seguridad de la Información deberá implementar procesos de monitoreo de cumplimiento políticas, normas y procedimientos para para asegurar que se cumplan los objetivos de la Política General de la Seguridad. 6. Difusión La Subsecretaria de Obras Públicas será responsable de difundir esta Política de Cumplimiento a todos los funcionarios del MOP y Direcciones dependientes. Política de Cumplimiento Página 9 de 10
Glosario de Términos Activo de Información: Personas, sistemas de información, aplicaciones o herramientas de tipo software, bases de datos, equipos computacionales, dispositivos móviles, archivos físicos, documentos electrónicos o cualquier otro activo que por su naturaleza registre, procese, almacene o transmita información considerada relevante para los procesos de negocio del Ministerio de Obras Públicas o sus Servicios dependientes. Administración de Riesgos: Se entiende por administración de riesgos al proceso de identificación, control y minimización o eliminación, a un costo aceptable, de los riesgos de seguridad que podrían afectar a los activos información. Dueño o responsable de la Información: Es la persona que ha sido asignada como responsable de la integridad, confidencialidad y disponibilidad del activo de información. Evaluación de Riesgos: Se entiende por evaluación de riesgos a la evaluación de las amenazas y vulnerabilidades relativas a la información y a las instalaciones de procesamiento de la misma, la probabilidad de que ocurran y su potencial impacto en la operatoria del Organismo. Incidente de Seguridad: Un incidente de seguridad es uno o varios eventos de seguridad de la información, no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones de negocio y de afectar la disponibilidad, integridad o confidencialidad de los activos de información. Interoperabilidad: Capacidad de que la información provista por un sistema de software pueda ser utilizada por otro, independientemente de la plataforma en que funcione. En Chile se usa el estándar XML. Seguridad de los Activos de Información: Es proteger, resguardar y asegurar la disponibilidad, privacidad, confidencialidad e integridad de los activos de información y tecnologías para su procesamiento a efecto de garantizar la continuidad operacional de la institución. Spam: Correo electrónico no solicitado por su destinatario, habitualmente con ofertas o comerciales. Política de Cumplimiento Página 10 de 10