Tipo Norma Fecha Publicacin Fecha Promulgacin Organismo Ttulo

Tipo Version Inicio Vigencia Id Norma URL

:Decreto 83 :12-01-2005 :03-06-2004 :MINISTERIO SECRETARIA GENERAL DE LA PRESIDENCIA :APRUEBA NORMA TECNICA PARA LOS ORGANOS DE LA ADMINISTRACION DEL ESTADO SOBRE SEGURIDAD Y CONFIDENCIALIDAD DE LOS DOCUMENTOS ELECTRONICOS :Unica De : 12-01-2005 :12-01-2005 :234598 :http://www.leychile.cl/N?i=234598&f=2005-01-12&p=

APRUEBA NORMA TECNICA PARA LOS ORGANOS DE LA ADMINISTRACION DEL ESTADO SOBRE SEGURIDAD Y CONFIDENCIALIDAD DE LOS DOCUMENTOS ELECTRONICOS Nm 83.- Santiago, 3 de junio de 2004.- Vistos: Lo dispuesto en el artculo 32 N 8 de la Constitucin Poltica de la Repblica; el artculo 3 letra a) del DFL N 7.912, de 1927; la ley N 19.799, sobre documentos electrnicos, firma electrnica y la certificacin de dicha firma; el decreto supremo N 181, de 2002, del Ministerio de Economa, Fomento y Reconstruccin; y lo dispuesto en la resolucin N 520, de 1996, que fija el texto refundido, coordinado y sistematizado de la resolucin N 55, de 1992, ambas de la Contralora General de la Repblica. Considerando: 1.- Que, el artculo 47 del DS. N 181 de 2002, del Ministerio de Economa, Fomento y Reconstruccin, Reglamento de la ley N 19.799 sobre documentos electrnicos, firma electrnica y servicios de certificacin de dicha firma, en adelante el Reglamento, cre el Comit de Normas para el Documento Electrnico. 2.- Que, el Comit, en su agenda de trabajo fijada en sesin de fecha 8 de enero de 2003, estableci la determinacin de una norma tcnica para la seguridad y confidencialidad del documento electrnico y los repositorios en que se almacenan, como una de sus tareas inmediatas. 3.- Que, para el desarrollo de la referida tarea, la Secretara Tcnica del Comit cre un grupo de trabajo sobre seguridad y confidencialidad del documento electrnico, en el que participaron representantes de los miembros del Comit de Normas para el Documento Electrnico, del Ministerio del Interior, de la Contralora General de la Repblica, del Instituto Nacional de Normalizacin, del Servicio de Impuestos Internos, del Servicio Nacional de Aduanas, de la Armada de Chile, del Banco Central de Chile, del Banco Estado, de Microsoft, de Orion 2000, de Neosecure, de Sinacofi, y de American Telecommunication, y que fue asesorado tcnicamente por la Universidad de Chile a travs de CLCERT. 4.- Que el trabajo se realiz de conformidad con la poltica gubernamental orientada a la incorporacin de las Tecnologas de la Informacin y Comunicaciones en los rganos de la Administracin del Estado, para mejorar los servicios e informacin ofrecidos a los ciudadanos y la eficiencia y la eficacia de la gestin pblica, e incrementar sustantivamente la transparencia del sector pblico y la participacin de los ciudadanos. D e c r e t o: Artculo primero.- Aprubase la siguiente norma tcnica sobre seguridad y confidencialidad del documento electrnico para los rganos de la Administracin del Estado. ''NORMA TECNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRONICO''

TITULO I Ambito de aplicacin Artculo 1.- La presente norma tcnica establece las caractersticas mnimas obligatorias de seguridad y confidencialidad que deben cumplir los documentos

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

electrnicos de los rganos de la Administracin del Estado, y las dems cuya aplicacin se recomienda para los mismos fines. Las exigencias y recomendaciones previstas en esta norma, tienen por finalidad garantizar estndares mnimos de seguridad en el uso, almacenamiento, acceso y distribucin del documento electrnico; facilitar la relacin electrnica entre los rganos de la Administracin del Estado y entre stos y la ciudadana y el sector privado en general; y salvaguardar el uso del documento electrnico de manera segura, confiable y en pleno respeto a la normativa vigente sobre confidencialidad de la informacin intercambiada. Artculo 2.- Las disposiciones de la presente norma tcnica se aplicarn a los documentos electrnicos que se generen, intercambien, transporten y almacenen en o entre los diferentes organismos de la Administracin del Estado y en las relaciones de stos con los particulares, cuando stas tengan lugar utilizando tcnicas y medios electrnicos. Artculo 3.- Para los efectos de esta norma, los documentos electrnicos constituyen un activo para la entidad que los genera y obtiene. La informacin que contienen es resultado de una accin determinada y sustenta la toma de decisiones por parte de quien la administra y accede a ella. Artculo 4.- Esta norma se cumplir en dos etapas, de conformidad con los siguientes niveles: Nivel 1. Nivel bsico de seguridad para el documento electrnico. Nivel 2. Nivel avanzado de seguridad para el documento electrnico. TITULO II Definiciones Artculo 5.- Para los propsitos de esta norma, se entender por: a) Autenticacin: proceso de confirmacin de la identidad del usuario que gener un documento electrnico y/o que utiliza un sistema informtico. b) Confidencialidad: aseguramiento de que el documento electrnico sea conocido slo por quienes estn autorizados para ello. c) Contenido del documento electrnico: informacin, ideas y conceptos que un documento expresa. d) Continuidad del negocio: continuidad de las operaciones de la institucin. e) Disponibilidad: aseguramiento de que los usuarios autorizados tengan acceso oportuno al documento electrnico y sus mtodos de procesamiento. f) Documento electrnico: toda representacin de un hecho, imagen o idea que sea creada, enviada, comunicada o recibida por medios electrnicos y almacenada de un modo idneo para permitir su uso posterior. g) Documentos pblicos: aquellos documentos que no son ni reservados ni secretos y cuyo conocimiento no est circunscrito. h) Documentos reservados: aquellos documentos cuyo conocimiento est circunscrito al mbito de la respectiva unidad del rgano a que sean remitidos, en virtud de una ley o de una norma administrativa dictada en conformidad a ella, que les confiere tal carcter. i) Documentos secretos: los documentos que tienen tal carcter de conformidad al artculo 13 de la Ley Orgnica Constitucional de Bases Generales de la Administracin del Estado y su Reglamento. j) Ejecutivo: autoridad dentro de la institucin. k) Identificador formal de autenticacin: mecanismo tecnolgico que permite que una persona acredite su identidad utilizando tcnicas y medios electrnicos. l) Incidentes de seguridad: situacin adversa que amenaza o pone en riesgo un sistema informtico. m) Informacin: contenido de un documento electrnico. n) Integridad: salvaguardia de la exactitud y totalidad de la informacin y de los mtodos de procesamiento del documento electrnico, as como de las modificaciones realizadas por entes debidamente autorizados. o) Negocio: funcin o servicio prestado por la organizacin. p) Poltica de seguridad: conjunto de normas o buenas prcticas, declaradas y aplicadas por una organizacin, cuyo objetivo es disminuir el nivel de riesgo en la

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

realizacin de un conjunto de actividades de inters, o bien garantizar la realizacin peridica y sistemtica de este conjunto. q) Repositorio: estructura electrnica donde se almacenan documentos electrnicos. r) Riesgos: amenazas de impactar y vulnerar la seguridad del documento electrnico y su posibilidad de ocurrencia. s) Sistema informtico: conjunto de uno o ms computadores, software asociado, perifricos, terminales, usuarios, procesos fsicos, medios de transferencia de informacin y otros, que forman un todo autnomo capaz de realizar procesamiento de informacin y/o transferencia de informacin. t) Usuario: entidad o individuo que utiliza un sistema informtico. TITULO III De la seguridad del documento electrnico en general

Artculo 6.- La seguridad del documento electrnico se logra garantizando los siguientes atributos esenciales del documento: a) b) c) d) Confidencialidad; Integridad; Factibilidad de autenticacin, y Disponibilidad.

Artculo 7.- Los atributos esenciales que aportan seguridad al documento electrnico se obtienen y sostienen mediante la ejecucin permanente de las siguientes acciones: a) Desarrollar y documentar polticas de seguridad de uso, almacenamiento, acceso y distribucin del documento electrnico y de los sistemas informticos utilizados en su procesamiento; b) Disear y documentar los procesos y procedimientos para poner en prctica las polticas de seguridad; c) Implementar los procesos y procedimientos sealados precedentemente; d) Monitorear el cumplimiento de los procedimientos establecidos y revisarlos de manera de evitar incidentes de seguridad; e) Concientizar, capacitar y educar a los usuarios para operar los sistemas informticos de acuerdo a las exigencias establecidas; f) Definir y documentar los roles y responsabilidad de las entidades e individuos involucrados en cada una de las letras anteriores. Artculo 8.- Los rganos de la Administracin regidos por esta norma debern aplicar sus disposiciones para garantizar los atributos esenciales que confieren seguridad al documento electrnico, definidos en el artculo 6. No obstante, la consecucin y mantencin de tales atributos por parte de cada rgano de la Administracin del Estado estarn sujetas a la consideracin de factores de riesgo y factores de costo/beneficio. Estos ltimos podrn invocarse mediante una resolucin fundada del jefe de servicio correspondiente, basada en un estudio de anlisis de riesgo y/o costo/beneficio. TITULO IV Del nivel bsico de seguridad del documento electrnico

Prrafo 1 Normas generales

Artculo 9.- Durante la primera etapa de aplicacin de esta norma, los rganos de la Administracin del Estado desarrollarn las polticas, procedimientos, acciones y medidas tendientes a obtencin del Nivel Bsico de Seguridad de los

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

documentos electrnicos que se establecen en este Ttulo. Artculo 10.- El Nivel Bsico de Seguridad para el documento electrnico tiene por objeto: a) Garantizar condiciones mnimas de seguridad y confidencialidad en los documentos electrnicos que se generan, envan, reciben, procesan y almacenan entre los rganos de la Administracin del Estado; b) Facilitar la adopcin de requerimientos de seguridad ms estrictos por parte de aquellos organismos y en aquellos tpicos que se estimen necesarios, y c) Facilitar el Nivel avanzado de seguridad para el documento electrnico, en aquellos organismos cuyo desarrollo institucional lo requiera. Prrafo 2 Poltica de seguridad

Artculo 11.- Deber establecerse una poltica que fije las directrices generales que orienten la materia de seguridad dentro de cada institucin, que refleje claramente el compromiso, apoyo e inters en el fomento y desarrollo de una cultura de seguridad institucional. La poltica de seguridad deber incluir, como mnimo, lo siguiente: a) Una definicin de seguridad del documento electrnico, sus objetivos globales, alcance e importancia. b) La difusin de sus contenidos al interior de la organizacin. c) Su reevaluacin en forma peridica, a lo menos cada 3 aos. Las polticas de seguridad debern documentarse y explicitar la periodicidad con que su cumplimiento ser revisado. Prrafo 3 Seguridad organizacional

Artculo 12.- En cada organismo regido por esta norma deber existir un encargado de seguridad, que actuar como asesor del Jefe de Servicio correspondiente en las materias relativas a seguridad de los documentos electrnicos. Las funciones especficas que desempee internamente el encargado de seguridad sern establecidas en la resolucin que lo designe. En todo caso, deber tener, a lo menos, las siguientes funciones: a) Tener a su cargo el desarrollo inicial de las polticas de seguridad al interior de su organizacin y el control de su implementacin, y velar por su correcta aplicacin. b) Coordinar la respuesta a incidentes computacionales. c) Establecer puntos de enlace con encargados de seguridad de otros organismos pblicos y especialistas externos que le permitan estar al tanto de las tendencias, normas y mtodos de seguridad pertinentes. Prrafo 4

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

Clasificacin, control y etiquetado de bienes

Artculo 13.- Los documentos electrnicos y sistemas informticos debern clasificarse y etiquetarse para indicar la necesidad, prioridad y grado de proteccin. La clasificacin de un sistema informtico debe corresponder a la clasificacin ms estricta aplicable al documento electrnico que almacene o procese, de conformidad con el decreto supremo 26 de 2001, del Ministerio Secretara General de la Presidencia. A cada sistema informtico, deber asignrsele un responsable quien velar por su debida clasificacin y etiquetado. Artculo 14.- Todo documento electrnico deber ser asignado, explcita o implcitamente, a un responsable. En este ltimo caso, el encargado de seguridad deber proponer quin ser responsable por omisin, sea asignando tal responsabilidad al usuario que lo crea, sea atribuyndosela al responsable por el sistema informtico que lo gener, u otra modalidad. Artculo 15.- Para cada clasificacin, el encargado de seguridad deber proponer los procedimientos de manipulacin requeridos para cubrir las siguientes actividades de procesamiento de un documento electrnico: a) Copiado; b) Almacenamiento; c) Transmisin por correo electrnico y sistemas protocolarizados de transmisin de datos digitales; d) Destruccin. Artculo 16.- La salida desde un sistema de un documento electrnico que est clasificado como reservado o secreto, deber tener una etiqueta apropiada de clasificacin en la salida. Para estos efectos, deber considerarse, entre otros, los informes impresos, pantallas de computador, medios magnticos (cintas, discos, CDs, cassettes), mensajes electrnicos y transferencia de archivos. Prrafo 5 Seguridad fsica y del ambiente

Artculo 17.- Los equipos debern protegerse fsicamente de las amenazas de riesgos del ambiente externo, prdida o dao, incluyendo las instalaciones de apoyo tales como el suministro elctrico y la infraestructura de cables. En particular, la ubicacin del equipamiento de la institucin deber minimizar el acceso innecesario a las reas de trabajo y disminuir las posibilidades de amenazas de humo y fuego, humedad y agua, inestabilidad en el suministro elctrico, hurto y robo. Artculo 18.- Para los efectos del artculo anterior, cada rgano deber impartir y publicitar instrucciones relativas a los siguientes aspectos del ambiente externo: a) Consumo de alimentos, bebidas y tabaco en las cercanas de sistemas informticos. b) Condiciones climatolgicas y ambientales que pueden afectar sistemas informticos o entornos cercanos. c) Promocin de una prctica de escritorio limpio. Artculo 19.- Respecto de los documentos electrnicos de la organizacin clasificados como reservados o secretos, se aplicarn las siguientes normas de

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

seguridad ambiental: a) Debern almacenarse en reas seguras, protegidos por un permetro de seguridad definido, con barreras apropiadas de resguardo y controles de entrada. Estos debern estar fsicamente protegidos del acceso no autorizado, dao e interferencia. La proteccin provista deber guardar relacin con los riesgos identificados. b) Debern disponerse de manera que se minimicen las posibilidades de percances y descuidos durante su empleo. Prrafo 6 Seguridad del personal

Artculo 20.- El Jefe de Servicio deber impartir instrucciones para la seguridad de los documentos electrnicos y los sistemas informticos, respecto de las siguientes materias: a) Uso de sistemas informticos, con nfasis en prohibicin de instalacin de software no autorizado, documentos y archivos guardados en el computador. b) Uso de la red interna, uso de Internet, uso del correo electrnico, acceso a servicios pblicos, recursos compartidos, servicios de mensajera y comunicacin remota, y otros. c) Generacin, transmisin, recepcin, procesamiento y almacenamiento de documentos electrnicos. d) Procedimientos para reportar incidentes de seguridad. Artculo 21.- Las responsabilidades de seguridad aplicables al personal debern ser explicitadas en la etapa de seleccin e incluirse expresamente en los decretos o resoluciones de nombramiento o en las contrataciones respectivas. Prrafo 7 Gestin de las operaciones y las comunicaciones

Artculo 22.- En todos los organismos sujetos a la presente norma, debern explicitarse y difundirse los siguientes antecedentes e informacin: a) Los contactos de apoyo ante dificultades tcnicas u operacionales inesperadas de sistemas informticos; b) Las exigencias relativas al cumplimiento con las licencias de software y la prohibicin del uso de software no autorizado; c) Las buenas prcticas para protegerse de los riesgos asociados a la obtencin de archivos y software a travs de las redes de telecomunicaciones, o por otros medios, indicando qu medidas de proteccin se debern aplicar. Artculo 23.- Para los efectos de reducir el riesgo de negligencia o mal uso deliberado de los sistemas, debern aplicarse polticas de segregacin de funciones. Asimismo, debern documentarse los procedimientos de operacin de sistemas informticos e incorporarse mecanismos peridicos de auditoras de la integridad de los registros de datos almacenados en documentos electrnicos. Artculo 24.- En los rganos regidos por la presente norma, debern realizarse copias de respaldo de la informacin y las aplicaciones crticas para la misin de la institucin en forma peridica, en conformidad con las siguientes

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

reglas: a) La periodicidad con que se realizarn los respaldos de los computadores personales de la institucin que estn asignados a usuarios, deber explicitarse y no podr ser menor a 1 respaldo anual; b) La periodicidad con que se realizarn los respaldos de los sistemas informticos y los equipos no contemplados en el punto anterior, utilizados en el procesamiento o almacenamiento de documentos electrnicos, deber explicitarse y no podr ser menor a 1 respaldo mensual; c) Deber garantizarse la disponibilidad de infraestructura adecuada de respaldo, para asegurar que stos estn disponibles incluso despus de un desastre o la falla de un dispositivo. Las configuraciones de respaldo para los sistemas individuales debern ser probadas con regularidad, a lo menos cada 2 aos, para asegurar que ellas satisfacen los requisitos estipulados en los planes de continuidad institucionales; d) Deber almacenarse en una ubicacin remota, un nivel mnimo de informacin de respaldo, junto con registros exactos y completos de las copias de respaldo y los procedimientos documentados de restablecimiento. Esta instalacin deber estar emplazada a una distancia tal que escape de cualquier dao producto de un desastre en el sitio principal. En mbitos crticos para la institucin, se debern almacenar al menos tres generaciones o ciclos de informacin de respaldo; e) Los respaldos debern cumplir con un nivel apropiado de proteccin fsica de los medios, consistente con las prcticas aplicadas en el sitio principal. Los controles asociados a los dispositivos del sitio de produccin debern extenderse para abarcar el sitio de respaldo. f) Debern consignarse plazos de retencin de los respaldos de la institucin, as como cualquier necesidad de realizacin de respaldos que estn permanentemente guardados, y g) Debern utilizarse medios y condiciones fsicas de almacenamiento que garanticen una vida til concordante con los plazos definidos en el punto precedente. Artculo 25.- Las instituciones regidas por la presente norma debern impartir instrucciones respecto al uso seguro del correo electrnico. Esas instrucciones debern incluir al menos: a) Una advertencia sobre la vulnerabilidad del correo electrnico a modificaciones o accesos no autorizados; b) Una advertencia sobre los peligros asociados a la apertura de archivos adjuntos y/o a la ejecucin de programas que se reciban va correo electrnico; c) La responsabilidad de no divulgar contraseas de acceso al correo electrnico; d) Una advertencia sobre la inconveniencia de almacenar contraseas de acceso al correo electrnico en el mismo computador desde el cual se accede el correo electrnico; e) Indicaciones sobre la eleccin de contraseas seguras de acceso al correo electrnico; f) Una recomendacin sobre la conveniencia de que los usuarios tengan cuentas de correo electrnico distintas para efectos de su uso personal; g) Un instructivo de cundo no usar el correo electrnico; h) Una prevencin sobre la necesidad de comprobar el origen, despacho, entrega y aceptacin mediante firma electrnica, e i) Una precisin de las responsabilidades que corresponden a los usuarios en caso de comprometer a la institucin, por ejemplo, con el envo de correos electrnicos difamatorios, uso para hostigamiento o acoso, compras no autorizadas, etc. Artculo 26.- Los organismos sujetos a la presente norma, en la medida de sus posibilidades, debern: a) Instalar un antivirus que proteja frente a la posibilidad de obtener va correo electrnico software malicioso; b) Proveer mecanismos que mediante el uso de tcnicas de cifrado, permitan proteger la confidencialidad e integridad de los documentos electrnicos; c) Evitar el uso de cuentas de correo grupales; d) Disponer controles adicionales para la verificacin de mensajes que no se pueden autenticar; e) Verificar que todos los equipos informticos y medios digitales que sean usados en el almacenamiento y/o procesamiento de documentos electrnicos, de ser posible, sean reformateados previo a ser dados de baja. Prrafo 8 Control de acceso

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

Artculo 27.- El empleo de identificador formal de autenticacin constituye un mecanismo bsico para el uso de firma electrnica. Los identificadores son un esquema de validacin de la identidad del usuario para acceder a un sistema informtico. Un identificador temporal es aquel que se asigna a un usuario la primera vez que accede a un sistema, y que debe ser cambiado por ste en su primer acceso. Artculo 28.- La asignacin de los identificadores se deber controlar mediante un proceso formal de gestin, en que el jefe directo del usuario peticionario ser el responsable de la respectiva solicitud. Para los efectos del referido control, en cada institucin se impartirn instrucciones sobre la forma de asignacin de identificadores que se aplicar. Dichas instrucciones debern incluir a lo menos, lo siguiente: a) La obligacin de mantener en forma confidencial de los identificadores que se asignen; b) La obligacin de no registrar los identificadores en papel; c) La prohibicin de almacenar identificadores en un computador de manera desprotegida; d) El deber de no compartir los identificadores de usuarios individuales; e) El mandato de no incluir el identificador en cualquier proceso de inicio de sesin automatizado, por ejemplo, almacenado en una macro; f) La indicacin de cambiar los identificadores cuando hayan indicios de un posible compromiso del identificador o del sistema; g) La recomendacin de elegir identificadores que tengan una longitud mnima de ocho caracteres; sean fciles de recordar; contengan letras, maysculas, dgitos, y caracteres de puntuacin; no estn basados en cosas obvias o de fcil deduccin a partir de datos relacionados con la persona, por ejemplo, nombres, nmeros telefnicos, cdula de identidad, fecha de nacimiento; estn libres de caracteres idnticos consecutivos o grupos completamente numricos o alfabticos; y no sean palabras de diccionario o nombres comunes; h) La indicacin de cambiar los identificadores a intervalos regulares. Las contraseas de accesos privilegiados se debern cambiar ms frecuentemente que los identificadores normales; i) Normas para evitar el reciclaje de identificadores viejos, y j) La indicacin de cambiar el identificador temporal al iniciar la primera sesin. Los sistemas informticos debern configurarse de manera que los usuarios se vean compelidos a cumplir con las obligaciones detalladas en los puntos anteriores. Artculo 29.- Se deber entregar a los usuarios identificadores temporales de una manera segura. Especficamente, se deber evitar el uso de terceras partes o mensajes de correo electrnico no protegido (texto en claro) para comunicar el identificador. Los usuarios debern dar un acuso recibo de recepcin del identificador. Artculo 30.- En caso que los usuarios necesiten acceder a mltiples servicios o plataformas y sea necesario que mantengan mltiples identificadores, debern ser notificados de que stos deben ser distintos. Asimismo, se incentivar y facilitar el uso de certificados de firma electrnica. Artculo 31.- Para reducir el riesgo de acceso no autorizado a documentos electrnicos o sistemas informticos, se deber promover buenas prcticas, como las de pantalla limpia. En particular, se incentivar a los usuarios o configurar los sistemas de manera que se d cumplimiento a los siguientes estndares: a) Cerrar las sesiones activas en el computador cuando se finaliza la labor, a menos que stas se puedan asegurar mediante un sistema apropiado de control de acceso, por ejemplo, con protector de pantalla con una contrasea protegida; b) Cerrar las sesiones de los computadores principales cuando la sesin finaliza, lo que no significa, necesariamente, apagar el terminal o los equipos, y c) Asegurar los terminales o equipos frente al uso no autorizado, mediante una contrasea de traba o de un control equivalente, por ejemplo, una contrasea de acceso cuando no se use. Artculo 32.- Se deber controlar el acceso a los servicios de red internos y

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

externos mediante el uso de identificadores o certificados digitales. Para tal efecto, los rganos de la Administracin del Estado sujetos a la presente normativa debern ajustarse a las siguientes exigencias: a) Restringir la instalacin de equipamiento personal que dificulte el control de acceso a documentos electrnicos y sistemas informticos, de manera acorde a las polticas de seguridad de la institucin, y b) Mantener un catastro del equipamiento que permita la reproduccin, distribucin o transmisin masiva de informacin, y de las personas con privilegios de acceso a ellos. Artculo 33.- Las instituciones regidas por la presente norma impartirn instrucciones relativas al uso de redes y servicios en red que, al menos, especifiquen lo siguiente: a) Las redes y servicios de red a las que el acceso est permitido; b) Los procedimientos de autorizacin para determinar quin tiene permitido acceder a las distintas redes y servicios de red, y c) Los controles de gestin y procedimientos para proteger el acceso a las conexiones de la red y servicios de red. Prrafo 9 Desarrollo y mantenimiento de sistemas

Artculo 34.- Aquellos organismos que requieran precaver que la seguridad est incorporada en los sistemas en la etapa de diseo, se entendern como organismos complejos y para tal efecto, debern adoptar las indicaciones contenidas en la seccin correspondiente del Ttulo V de esta norma, sobre ''Nivel Avanzado de Seguridad para el Documento Electrnico''. Prrafo 10 Gestin de la continuidad del negocio

Artculo 35.- El encargado de seguridad deber formular un plan de contingencia para asegurar la continuidad de operaciones crticas para la institucin. Este plan deber, como mnimo, disponer la efectiva gestin de las relaciones pblicas, la eficiente coordinacin con las autoridades apropiadas, como polica, bomberos, autoridades directivas, etc., y mecanismos eficaces para convocar a quienes sean los responsables de los documentos electrnicos y sistemas informticos afectados. TITULO V Del nivel avanzado de seguridad del documento electrnico

Artculo 36.- Durante la segunda etapa de aplicacin de esta norma, los rganos de la Administracin del Estado debern desarrollar las polticas, procedimientos, acciones y medidas tendientes a obtencin del Nivel Avanzado de Seguridad de los documentos electrnicos que se establecen en este Ttulo. Artculo 37.- El Nivel Avanzado de seguridad para el documento electrnico exige el cumplimiento de las

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

exigencias y condiciones reguladas en el Ttulo IV para el Nivel Bsico de seguridad, y las previstas en la Norma NCh2777, que se entiende parte integrante del presente decreto, con los ajustes que se establecen en este artculo. a) Poltica de Seguridad:

Se aplicarn las disposiciones contenidas en el captulo 3 de la norma NCh2777, con la siguiente adecuacin: Las instituciones debern tener las polticas de seguridad descritas en la seccin 3.1 para los repositorios de documentos electrnicos. En particular, estas polticas debern contener lo siguiente: i. Indicaciones respecto de los sistemas informticos, con nfasis en el procedimiento de autorizacin de instalacin o modificacin de software y archivos de configuracin de los sistemas; ii. Indicaciones de uso de la red; iii. Procedimientos de respuesta a incidentes de seguridad; iv. Procedimientos de delegacin de autoridad para ejecutar acciones de emergencia en los sistemas y los procedimientos correspondientes. b) Seguridad organizacional:

Se aplicar la seccin 4.1 del captulo 4 de la norma NCh2777, con excepcin de sus puntos 4.1.5 y 4.1.7 que se adoptarn como recomendaciones, y las secciones 4.2 y 4.3 de dicho captulo. c) Clasificacin y control de bienes:

Se aplicar la seccin 5.1 del captulo 5 de la norma NCh2777, en lo referido a bienes relacionados con el Documento Electrnico. Asimismo, se aplicar el punto 5.2.1 de la seccin 5.2. El punto 5.1.2 de dicha seccin se aplicar con las siguientes adecuaciones: d) Los procedimientos de etiquetado y manipulacin de la informacin se entienden referidos al Documento Electrnico. Se excluyen las normas contenidas en las letras (c) y (d). Seguridad del personal:

Se aplicarn las secciones 6.1 y 6.3 del captulo 6 de la norma NCh2777. La seccin 6.2 se adoptar como recomendacin. e) Seguridad fsica y del ambiente:

Se aplicarn las secciones 7.1 y 7.2 del captulo 7 de la norma NCh2777, para repositorios de documentos electrnicos, con las siguientes adecuaciones: Para la seccin 7.1: i. Los controles fsicos de entrada en el permetro de seguridad debern utilizar el carn de identidad como identificacin vlida en el caso de los chilenos, y el

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

ii.

pasaporte en el caso de los extranjeros. Todo ingreso de visitas al permetro de seguridad deber ser autorizado por escrito, quedando constancia del propsito y duracin de ella. Los visitantes sern acompaados en todo momento por alguna persona autorizada de la organizacin hasta que abandonen el recinto.

Para la seccin 7.2:

Se deber velar para que los equipos computacionales en los que se almacenen documentos electrnicos y sistemas informticos que los procesen, tengan un adecuado suministro de energa elctrica, incluyendo no slo el flujo de energa suministrado, sino tambin la ''tierra elctrica'' de las instalaciones. La seccin 7.3 se adoptar como recomendacin. f) Gestin de las operaciones y comunicaciones:

Se aplicarn las normas del captulo 8 de la norma NCh2777, en su integridad. g) Control de acceso:

Se aplicarn las normas del captulo 9 de la norma NCh2777, con excepcin de sus secciones 9.5, 9.6, 9.7 y 9.8 que se adoptarn como recomendaciones, y con los siguientes ajustes: Los registros de privilegios asignados, a los que hace referencia la seccin 9.2.2, debern tener un carcter histrico, es decir, no slo se deben registrar los privilegios en aplicacin. El perodo de conservacin de estos registros ser al menos el que las leyes vigentes indiquen para los documentos electrnicos a los que se pudo tener acceso con dichos privilegios. Las estipulaciones de la seccin 9.4 debern formalizarse en una poltica de uso correspondiente, de acuerdo a lo expresado en la seccin ''Poltica de Seguridad''. Desarrollo y mantenimiento de sistemas:

h)

Se aplicarn nicamente las normas de la seccin 10.3 del captulo 10 de la norma NCh2777, con la siguiente adecuacin: En las secciones referidas a firma electrnica, se adoptar lo establecido por la ley 19.799, sobre documentos electrnicos, firma electrnica y los servicios de certificacin para dicha firma.

i) Gestin de la continuidad del negocio: Se aplicarn las estipulaciones del captulo 11 de la norma NCh2777, en su integridad. Artculo Segundo.- La presente norma deber ser implementada por los diferentes rganos de la Administracin del Estado dentro de los siguientes plazos: El Nivel 1, a ms tardar en el ao 2004. El Nivel 2, a ms tardar en el ao 2009. Con la finalidad de lograr la debida implementacin de esta norma en los plazos sealados, los servicios pblicos debern contemplar acciones adecuadas en sus respectivos planes de desarrollo informtico. Los niveles de cumplimiento de la

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

presente norma por parte de los servicios pblicos se determinarn mediante la aplicacin de un instrumento de evaluacin que elaborar el Comit de Normas. Artculo Tercero.- Crase el Subcomit de Gestin de Seguridad y Confidencialidad del Documento Electrnico como organismo asesor del Comit de Normas para el Documento Electrnico. El Subcomit ser coordinado por el Ministerio del Interior y tendr entre sus funciones, proponer el Nivel de cumplimiento de la presente norma tcnica por parte de los rganos de la Administracin del Estado y el cronograma de implementacin de la Norma en su nivel 2 por parte de los diferentes rganos de la Administracin del Estado. Artculo Cuarto.- Los Subsecretarios y Jefes de Servicio debern designar, dentro del plazo de 30 das contados desde la fecha de total tramitacin del presente decreto, un Encargado de Seguridad, para que desarrolle e implemente las polticas de seguridad en forma conjunta con el Comit de Gestin de Seguridad y Confidencialidad. En aquellos rganos en que no se designe dentro de plazo, actuar como Encargado de Seguridad el Auditor Interno de cada servicio. Artculo Quinto.- El Comit de Normas para el Documento Electrnico podr iniciar, de oficio o a peticin de parte, un procedimiento de normalizacin con el objeto de sugerir al Presidente de la Repblica la actualizacin de la norma tcnica fijada por este decreto. En dicho procedimiento se tendrn en consideracin los planteamientos del sector pblico y privado y de las Universidades.''. Antese, tmese razn y publquese.- RICARDO LAGOS ESCOBAR, Presidente de la Repblica.- Francisco Huenchumilla Jaramillo, Ministro Secretario General de la Presidencia.- Jos Miguel Insulza Salinas, Ministro del Interior. Lo que transcribo a Ud. para su conocimiento.- Saluda Atte. a Ud., Rodrigo Egaa Baraona, Subsecretario General de la Presidencia.

www.bcn.cl - Biblioteca del Congreso Nacional de Chile