Visado Por: APRUEBA ACTUALIZACIÓN RESOLUCIÓN EXENTA N°...
Transcript of Visado Por: APRUEBA ACTUALIZACIÓN RESOLUCIÓN EXENTA N°...
DIVISIÓN JURÍDICA
RESOLUCION EXENTA Nº
SANTIAGO,
APRUEBA ACTUALIZACIÓN RESOLUCIÓN EXENTA N° 2.359, DE 2018, POLÍTICA DE CONTROL DE ACCESO DEL INSTITUTO NACIONAL DE ESTADÍSTICAS.
VISTOS: Lo dispuesto en la Ley Nº 17.374, de 1970, que fija el texto refundido, coordinando y actualizado del DFL N° 313, de 1960, que aprueba la Ley Orgánica Dirección Estadística y Censos y crea el Instituto Nacional de Estadísticas; en el Decreto N° 1.062, de 1970, del entonces Ministerio de Economía, Fomento y Reconstrucción, que aprueba el Reglamento del Instituto Nacional de Estadísticas; en el DFL 1/19.653, de 2000, del Ministerio Secretaría General de la Presidencia, que fija el texto refundido, coordinado y sistematizado de la Ley N° 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado; en la Ley N° 19.628 de Protección de la Vida Privada; en la Ley N° 19.223, de Delitos informáticos; en el Decreto N° 83, de 2005, del Ministerio Secretaría General de la Presidencia, que aprueba norma técnica para los órganos de la Administración del Estado, sobre Seguridad y Confidencialidad de los Documentos Electrónicos; en la Resolución Exenta N° 5.966 de 09 de diciembre de 2016, que aprueba políticas, normas, protocolos y procedimientos específicos de seguridad de la información; en Resolución Exenta N° 7.377, y N° 7.378, ambos de 2.107, del INE; en Resolución Exenta N° 2.359, de 02.08.2018, del INE; en solicitud GESDOC SDJ_DivisionJuridica_000001300016, de 23.12.2019, de la Jefa (S) del Departamento de Seguridad de la Información; Acta de Revisión del Comité Técnico de Seguridad de la Información, de 20.12.2019; y Acta de Aprobación del Comité de Seguridad de la Información de 23.12.2019; en Resolución N° 7, de 2019, de la Contraloría General de la República, que Fija Normas sobre Exención del Trámite de Toma de Razón; y en la demás normativa aplicable
CONSIDERANDO:
1. Que, con fecha 02 de agosto de 2018, nuestro Servicio aprobó mediante Resolución Exenta N° 2.359, la Política de Seguridad denominada Política de Control de Acceso del Instituto Nacional de Estadísticas, elaborada por el Encargado de Seguridad de la Información, revisada y aprobada por el Comité de Seguridad de la Información y el Comité Técnico de Seguridad de la Información, y por la cual se busca establecer las definiciones que administrarán, gestionarán y supervisarán el acceso a la información, controlado bajo los parámetros tanto legales, como de mitigación de riesgos y seguridad.
2. Que, con fecha 03 de junio del presente, se aprobó mediante
Resolución Exenta N° 1.753 la Nueva Estructura Orgánica del INE, dejando sin efecto las resoluciones Exentas N° 1.188, N° 3.676, N° 3.967, y N° 4.402, todas de 2018. Lo anterior, generó una revisión de las políticas de Seguridad, a fin de actualizar en todos aquellos casos en que las funciones u obligaciones en materia de seguridad se encontraban asociadas a un cargo, Departamento o estructura determinada, verificando si éstos se mantienen o a quiénes corresponde, en caso que el cambio de la Estructura Orgánica provoque una modificación en la Política.
3. Que, lo anterior se tradujo en una revisión de la totalidad de
las políticas de seguridad de la información vigentes en el INE, a efectos de determinar cuáles requerían de una actualización y/o modificación, en atención a los cambios derivados de su orgánica.
4. Que, lo anterior generó la aprobación, con fecha 20.12.2019,
por el Comité técnico de seguridad de la información, de una nueva política de control de acceso, que introdujo modificaciones, conforme a la nueva estructura orgánica, más otras actualizaciones, no
Visado Por:Dcarbone/Lsoto/Rbeyzaga/milabaca/
478230 de diciembre del 2019
consideradas en la versión anterior. La nueva política aprobada por el comité técnico, fue ratificada mediante acta, por el Comité de Seguridad de la Información del INE.
5. Que, el inciso primero del artículo N° 3 de la Ley N° 19.880, que
Establece Bases de Procedimientos Administrativos que rigen los Actos de los Órganos de la Administración del Estado, señala que: “[…] Las decisiones escritas que adopte la Administración se expresarán por medio de actos administrativos.”, especificando en su inciso tercero que éstos tomarán la forma de decretos supremos y resoluciones.
6. Que, la Ley N° 18.575, Orgánica Constitucional de Bases
Generales de la Administración del Estado, dispone en el artículo N° 28 inciso segundo que “A los Jefes de Servicio les corresponderá dirigir, organizar y administrar el correspondiente servicio; controlarlo y velar por el cumplimiento de sus objetivos; responder de su gestión, y desempeñar las demás funciones que la ley les asigne.”
7. Que, el artículo N° 3 letra h) del Reglamento del Instituto
Nacional de Estadísticas, dispone que al Director le corresponderá: “Dictar las resoluciones e impartir las instrucciones que sean necesarias para la organización y mejor funcionamiento del Instituto.”
8. Que, de conformidad con lo precedentemente expuesto, es
necesario aprobar la actualización de la Política de Control de Acceso.
RESUELVO: 1° APRUÉBASE la actualización a la Política de Control de Acceso del
Instituto Nacional de Estadísticas, resolución exenta N° 2.359, de 2018, del INE, reemplazando íntegramente su texto por el que se transcribe a continuación:
POLÍTICA DE CONTROL
DE ACCESO
CONTENIDO
1. DECLARACIÓN INSTITUCIONAL .................................................................................................... 5
2. OBJETIVO DEL DOCUMENTO ........................................................................................................ 5
2.1 OBJETVO GENERAL.....………………………………………………………………………………………………………………6
2.2 OBJETIVOS ESPECÍFICOS....................................................................................................... 5
3. ALCANCE O ÁMBITO DE APLICACIÓN INTERNO ............................................................................. 5
4. ROLES Y RESPONSABILIDADES ..................................................................................................... 6
5. CONTROL NORMATIVO ............................................................................................................... 6
5.1 REGLAS PARA EL CONTROL DE ACCESO................................................................................. 6
5.2 ACCESO A REDES Y SERVICIOS DE RED .................................................................................. 6
5.3 CONTROL DE ACCESO A LA RED ............................................................................................ 6
5.4 UTILIZACIÓN DE LOS SERVICIOS DE RED ............................................................................... 7
5.5 AUTENTICACIÓN DE USUARIOS PARA CONEXIONES EXTERNAS ............................................. 7
5.6 IDENTIFICACIÓN DE EQUIPOS EN LA RED .............................................................................. 7
5.7 PROTECCIÓN DE LOS PUERTOS DE CONFIGURACIÓN Y DIAGNÓSTICO REMOTO..................... 7
5.8 SEPARACIÓN DE REDES ........................................................................................................ 7
5.9 CONTROL DE CONEXIÓN DE LAS REDES ................................................................................ 7
5.10 ADMINISTRACIÓN DEL ACCESO DE USUARIOS ...................................................................... 8
5.11 RESPONSABILIDAD DE LOS USUARIOS .............................................................................. 8
5.12 CONTROL DE ACCESO DE SISTEMAS Y APLICACIONES ............................................................ 8
5.13 USO DE UTILITARIOS DEL SISTEMA ....................................................................................... 9
5.14 COMPUTACIÓN MÓVIL Y TRABAJO REMOTO ........................................................................ 9
5.15 PROCEDIMIENTO DE INICIO DE SESIÓN SEGURO ................................................................... 9
6. EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA ............................................................................. 9
7. DIFUSIÓN.................................................................................................................................... 9
8. CONTROL DE VERSIONES ........................................................................................................... 10
1. DECLARACIÓN INSTITUCIONAL En la declaración del propósito del INE, los objetivos y principios de la seguridad de la información y los contenidos y controles esenciales de carácter legal, deben considerarse:
● Ley N° 19.628 sobre Protección de la Vida Privada. ● Ley N° 19.223 que Tipifica Figuras Penales relativas a la Informática. ● Ley N° 19.927 que modifica el Código Penal, el Código de Procedimiento Penal y el Código Procesal
Penal en materia de Delitos de Pornografía Infantil. ● Ley N° 20.285 sobre Acceso a la Información Pública. ● Ley N° 17.374, de 1970, que fija el Nuevo Texto Refundido, Coordinado y Actualizado del DFL N°
313 de 1960, que aprobara la Ley Orgánica Dirección Estadística y Censos y crea el Instituto Nacional de Estadísticas.
● Decreto N° 83, de 2005, del Ministerio Secretaría General de la Presidencia: Aprueba norma técnica para los órganos de la Administración del Estado, sobre Seguridad y Confidencialidad de los Documentos Electrónicos.
● Decreto N° 93, de 2006, del Ministerio Secretaría General de la Presidencia: Aprueba Norma Técnica para minimizar la recepción de mensajes electrónicos masivos no deseados, en las casillas electrónicas de los órganos de la Administración del Estado y de sus funcionarios.
● Decreto N° 1, de 2015, que aprueba norma técnica sobre Sistemas y Sitios WEB de los Órganos de la Administración del Estado.
● NCh-ISO 27001., Of. 2013 - Sistema de gestión de seguridad de la información - INN Chile. ● NCh-ISO 27002., Of. 2013 - Tecnologías de la Información y Código de prácticas para la gestión de
seguridad de la información - INN Chile. ● NCh-ISO 27005., Of. 2013 - Gestión de Riesgos - INN Chile.
2. OBJETIVO DEL DOCUMENTO
2.1 OBJETIVO GENERAL El Instituto Nacional de Estadísticas crea la Política de Control de Acceso, para establecer las definiciones que administrarán, gestionarán y supervisarán el acceso a la información, los cuales deberán ser controlados sobre la base de los requisitos de cumplimiento legal, mitigación de riesgos y seguridad. Para ello, a través de sus diferentes áreas, permitirá administrar el ciclo de vida de los usuarios, desde la creación automática de las cuentas, roles y permisos necesarios hasta su inoperancia, todo a partir de los requerimientos reportados directamente de la respectiva Jefatura, lo anterior permitirá que el funcionario tenga un acceso adecuado a los sistemas de información y recursos tecnológicos, validando su autenticación, autorización y auditoría.
2.2 OBJETIVOS ESPECÍFICOS
Identificar los requerimientos de seguridad de cada una de las aplicaciones y sistemas informáticos.
Identificar toda la información relacionada con las aplicaciones y sistemas informáticos. • Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría de estaciones de trabajo. • Administrar los derechos de acceso en un ambiente distribuido y de red, que reconozcan todos los tipos de conexiones disponibles. • Asegurar el cumplimiento de los requisitos normativos, estatutarios, reglamentarios y contractuales, que estén orientados hacia la seguridad de la información en el Instituto Nacional de Estadísticas. • Establecer los niveles de acceso apropiados a la información institucional, brindando y asegurando la confidencialidad, integridad y disponibilidad que requiera cada sistema y usuario.
3. ALCANCE O ÁMBITO DE APLICACIÓN INTERNO La política es de aplicación obligatoria para todos los funcionarios del Instituto Nacional de Estadísticas, sin perjuicio de su calidad jurídica de planta, contrata y para las personas bajo la modalidad de prestación
de servicios honorarios; sea como profesionales, técnicos de educación superior o expertos en determinadas materias, así como partes externas bajo la modalidad subcontratación, y servicios de consultoría externalizados si corresponde. Que tengan derechos de acceso a la información, que puedan afectar los activos de información del Instituto Nacional de Estadísticas y a todas sus relaciones con terceros que impliquen el acceso a sus datos, recursos tecnológicos y/o a la administración y control de sus sistemas de información. Esta Política se ajusta al ordenamiento jurídico vigente y mantiene lineamientos acordes a las directrices estratégicas definidas por el Instituto Nacional de Estadísticas, particularmente en lo referido a los derechos y libertades de las personas y otras leyes aplicables al campo de la información y la tecnología.
4. ROLES Y RESPONSABILIDADES La Subdirección de Tecnologías de la información, será la responsable de implementar todos los controles creados en esta política y velar por su correcta implementación. El Departamento de Seguridad de la Información será el responsable de verificar que los controles que se indican en la presente política se cumplan y entregar las alertas cuando se evidencie que así no sea.
5. CONTROL NORMATIVO
5.1 REGLAS PARA EL CONTROL DE ACCESO
Las reglas para el control de acceso, estarán documentados a través de los diferentes procedimientos de control de acceso a los recursos tecnológicos, considerando lo siguiente: • Se establece como premisa que “Todo está prohibido a menos que se permita expresamente”. • Sólo se otorgará acceso a la información a los funcionarios y terceros que lo requieran, para real izar tareas propias de su función o explícitamente encomendadas por el INE (estas tareas y roles requerirán de ciertos privilegios de acceso, los que se caracterizaron mediante perfiles ad hoc). • Sólo se otorgará acceso a las instalaciones de procesamiento de información, incluidos sus equipos, aplicaciones, procedimientos, salas, etc., a los funcionarios y terceros que lo requieran para desempeñar la tarea/trabajo/rol que le fuesen encomendados.
5.2 ACCESO A REDES Y SERVICIOS DE RED Se deberá asegurar el acceso a la Red y a los Servicios de Red de todos los usuarios autorizados, y consecuentemente prevenir el acceso no autorizado a los mismos. Se usará para la gestión de las credenciales de accesos el Instructivo de Aseguramiento de Servicios en Redes Públicas, que determine las directrices para los accesos lógicos a los sistemas de información de la institución.
5.3 CONTROL DE ACCESO A LA RED Las conexiones no seguras a los servicios de red pueden afectar a toda la institución, p or lo tanto, se controlará el acceso a los servicios de red tanto internos como externos. Esto es necesario para garantizar que los usuarios que tengan acceso a las redes y a sus servicios, no comprometan la seguridad de los mismos. Las reglas de acceso a la red a través de los puertos, estarán basadas en la premisa de que todo está restringido, a menos que esté expresamente permitido.
5.4 UTILIZACIÓN DE LOS SERVICIOS DE RED Se desarrollarán procedimientos para la activación y desactivación de derechos de acceso a las redes, los cuales comprenderán: • Control de acceso a los servicios de red tanto internos como externos. • Identificación de las redes y servicios de red a los cuales se permite el acceso. • Normas y procedimientos de autorización de interconexión o acceso entre redes. • Controles y procedimientos de administración para proteger el acceso y servicios de red.
5.5 AUTENTICACIÓN DE USUARIOS PARA CONEXIONES EXTERNAS El Departamento de Plataformas Tecnológicas debe contemplar servicios de conexiones externas VPN para funcionarios que requieran conexión remota a la red de datos institucional, y cumplan con los requisitos para ello. La autenticación a los servicios VPN para usuarios con conexiones externas, estará documentado mediante el procedimiento Uso del Acceso Remoto VPN.
5.6 IDENTIFICACIÓN DE EQUIPOS EN LA RED El Departamento de Plataformas Tecnológicas deberá controlar e identificará los equipos conectados a su red, mediante el uso de controladores de dominio, asignación manual de IP y credenciales de acceso para WIFI.
5.7 PROTECCIÓN DE LOS PUERTOS DE CONFIGURACIÓN Y DIAGNÓSTICO
REMOTO Los puertos que permitan realizar mantenimiento y soporte remoto a los equipos de red, servidores y equipos de usuario final, estarán restringidos para su uso, sólo a los administradores de red o servidores.
5.8 SEPARACIÓN DE REDES El Departamento de Plataformas Tecnológicas utilizará como medida de seguridad básica, dispositivos tipo cortafuegos (firewalls) para controlar todo acceso entre cualquier red del INE y redes externas, como lo son entre otras, la Internet y las redes privadas de terceros. La red interna del INE deberá segmentarse ya sea en forma física o lógica para separar grupos de sistemas, aplicaciones o personas, y estableciendo mecanismos que controlen y limiten el tráfico entre ellos. Esto permitirá contener errores o incidentes de seguridad, limitando su propagación, alcance y podrá implementarse mediante el uso de VLANs y Lista de Control de Acceso (ACL) en los equipos de comunicaciones o mediante mecanismos alternativos.
5.9 CONTROL DE CONEXIÓN DE LAS REDES Dentro de la red de datos institucional se restringirá el acceso a: • Mensajería instantánea mediante aplicaciones no autorizadas por la institución. • Telefonía a través de internet no autorizada por la institución. • Correo electrónico comercial no autorizado. • Descarga de archivos de sitio peer to peer. • Conexiones a sitios de streaming no autorizado. • Acceso a sitios de pornografía de cualquier índole, piratería, violencia, ventas de artículos ilegales, discriminaciones y delitos de odio, violencia de género. • Servicios de escritorio remoto a través de internet mediante aplicaciones no autorizadas por la institución • Cualquier otro servicio que vulnere la seguridad de la red o degrade el desempeño de la misma.
5.10 ADMINISTRACIÓN DEL ACCESO DE USUARIOS Para la correcta administración de las credenciales que se utilizarán para controlar el acceso de los usuarios, se instauran las siguientes indicaciones: • Para los funcionarios o colaboradores que ingresen a trabajar por primera vez a la institución, la jefatura directa deberá gestionar previamente a través de la Mesa de Servicios TIC, la creación de la cuenta de red o UID, en la misma solicitud además se deberá solicitar la creación de correo electrónico asociado a su cuenta. • Cada funcionario de la institución poseerá una cuenta de red único e irrepetible. • El UID es personal e intransferible; compartirlo con otros está tajantemente prohibido. • Cuando las circunstancias lo ameriten, excepcionalmente y mediante autorización expresa del Subdirector de Tecnologías de la Información, podrá autorizarse el uso de UID genéricos. • Cuando empleados de entidades externas a la institución requieran creación de cuentas de red, se deberá autorizar previamente por el Jefe (a) del Departamento de Seguridad de la Información o quien lo subrogue. La solicitud para creación de cuenta se deberá realizar a través de La Mesa de Servicios TIC. La debe realizar el jefe (a) del área en la cual se desempeña el empleado externo. Se deberá especificar la caducidad de la cuanta y las restricciones para acceder a información asociada el INE. • Los UID de aquellos usuarios que hayan abandonado la institución deben ser deshabilitados apenas cesen en sus funciones. • Se deberá revisar mensualmente la lista de usuarios con especial énfasis en las altas y bajas, y en la modificación de los derechos de acceso. Cualquier inconsistencia deberá ser corregida. • Se deberá tener un proceso formal para la creación de accesos, otorgamiento de los derechos asociados y su entrega al usuario. Deberá incluir consideraciones especiales que se requieren para el caso de accesos privilegiados (ej.: administrador, root, SA, etc.). Con el propósito de proporcionar un acceso adecuado a las cuentas de usuarios se establecerán deberes y derechos para todos los tipos de sistemas y para todos los tipos de usuarios.
5.11 RESPONSABILIDAD DE LOS USUARIOS Todos los funcionarios o terceros que hagan uso de la plataforma tecnológica de la Subdirección de Tecnologías de la Información, deberán conocer y cumplir con lo establecido tanto en esta política, como también en aquellas políticas, normas y procedimientos, donde se dictan pautas sobre derechos y deberes de los usuarios, respecto al uso adecuado de recursos TI, protección de PC desatendido, escritorio y pantalla limpios. Es importante asegurar siempre el estricto resguardo de la autenticación secreta como confidencial.
5.12 CONTROL DE ACCESO DE SISTEMAS Y APLICACIONES Todo acceso a los sistemas y aplicaciones del Instituto Nacional de Estadísticas se debe regular para evitar accesos no autorizados. El acceso a la información y a las funciones del sistema de aplicación se deberá restringir de acuerdo a esta política de control de acceso. Las restricciones de acceso a la información y funciones del sistema deberán considerar: • Menú de acceso a las funciones de los sistemas en base al UID. • El acceso a la información a través de una aplicación, se controlará a través de roles y los privilegios asignados a los usuarios dentro del sistema de información. • Control de los datos a los que un usuario puede acceder. • Control de derechos de lectura, escritura, eliminación y ejecución. • Mecanismos de inicio de sesión seguro. • Exigir el uso de contraseñas de calidad. • Permitir a los usuarios la definición y cambio de sus propias contraseñas.
• Restringir el acceso a códigos fuentes de programas, para evitar cambios no intencionales. • Registros de auditoría del acceso a los programas fuentes. • Bloqueo automático de acceso, por inactividad del usuario, sin cerrar las sesiones de aplicación o de red. • Opción de bloqueo de acceso, cuando deban abandonar temporalmente su puesto de trabajo.
5.13 USO DE UTILITARIOS DEL SISTEMA El uso del software utilitario del sistema, estará restringido a usuarios con privilegios de administradores. En los sistemas Windows se establecerá una política a nivel del controlador de dominio, que impida la instalación de software y cambios de configuración del sistema. Ningún usuario final, deberá tener privilegios de usuario administrador.
5.14 COMPUTACIÓN MÓVIL Y TRABAJO REMOTO Teniendo en cuenta las ventajas de la computación móvil y el trabajo remoto, como así mismo su nivel de exposición a amenazas que ponen en riesgo la seguridad de la información institucional, a continuación, se establecen algunas normas generales que permitirán regular el uso de la computación móvil y trabajo remoto: • Se entiende como dispositivos de cómputo y comunicación móviles, todos aquellos que permitan tener acceso y almacenar información institucional, desde lugares diferentes a las instalaciones. • El uso de equipos de cómputo y dispositivos de almacenamiento móviles, está restringido únicamente a los provistos por la institución y su utilización deberá contemplar las directrices establecidas en la Política de Uso de Dispositivos Móviles En casos de índole excepcional, en la cual el desempeño de las funciones no se puede realizar debido a una contingencia que afecte el trabajo en la institución: ● Se podrá utilizar computadores personales, mediante una cuanta VPN, previa autorización de la jefatura directa a la cual pertenece. Dicha cuenta se deberá pedir a través de la mesa de servicios TIC.
5.15 PROCEDIMIENTO DE INICIO DE SESIÓN SEGURO Los accesos a los sistemas estarán protegidos, mediante un inicio seguro de sesión, que contempla las siguientes condiciones: • Se deberá utilizar claves seguras basadas en La Política de Contraseñas. • No mostrar información del sistema, hasta que el proceso de inicio se haya completado. • No suministrar mensajes de ayuda, durante el proceso de autenticación. • Validar los datos de acceso, una vez que se han gestionado todos los datos de entrada. • Limitar el número de intentos fallidos de conexión auditando los intentos no exitosos. • No mostrar las contraseñas digitadas. • No transmitir la contraseña en texto plano. Definición respecto a la(s) materia(s) específica(s) que aborda, esta(s) debe(n) concordar explícitamente con el requisito de control normativo.
6. EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA La política deberá revisarse anualmente o cuando se realicen grandes cambios a sistemas de tecnologías de la información.
7. DIFUSIÓN La política estará publicada en el intranet institucional http://intranet.ine.cl/
8. CONTROL DE VERSIONES
Nombre Modificación Fecha Versión
Juan Carlos Troncoso
Creación del documento 14 Junio 2017 0.1
Sebastian Vargas Actualización del documento 21 Junio 2017 0.2
Sebastian Vargas Actualización y mejoras 27 Junio 2017 0.3
Sebastian Vargas Mejoras 29 Junio 2017 0.4
Carlos Valdivieso Revisión 7 Agosto 2017 0.5
Sebastian Vargas Formato oficial 7 Agosto 2017 06
Comité de seguridad técnico
Revisión contenido 21/03/2018 0.7 0.8
División jurídica Adecuaciones 26/06/2018 0.9
Sebastian Vargas Envió a resolución 27/06/2018/ 1.0
Raúl Beyzaga Modificación por Observaciones de Comité 11-11-2019 1.1
Leandra Soto Validación final del Departamento de Seguridad de la Información
12-11-2019 1.2
2° REMÍTASE copia íntegra del presente acto administrativo, por
parte del Subdepartamento y de Partes y Registros, al Jefe (S) del Departamento de Seguridad de la
Información, una vez que este se encuentre totalmente tramitado.
ANÓTESE, REGÍSTRESE Y ARCHÍVESE
GUILLERMO PATTILLO ÁLVAREZ
Director Nacional
Instituto Nacional de Estadísticas
DCO/MGIT/LSV/RBC/ybh
Distribución:
-Dirección Nacional.
-Todas las Subdirecciones.
-División Jurídica.
-Departamento de Seguridad de la Información
-Subdepto. Partes y Registro.
Validar en http://validadoc.ine.cl/ con el id: 2009fa49-a337-415f-a033-d9c9cd662597
Á. Oficina de Partes
II1E II/ZEJj
'II It! IIlil fiiHL 11 115542
resoltje
DIVISIÓN JURÍDICA
APRUEBA POLÍTICA DE CONTROL DE ACCESO DEL
INSTITUTO NACIONAL DE ESTADÍSTICAS.
CH 2313 RESOLUCION EXENTA N2 2359 SANTIAGO, 0 7 AGH 21
VISTOS: Lo dispuesto en la Ley N2 17.374, de 1970, que fija
el texto refundido, coordinando y actualizado del DFL N° 313, de 1960, que aprueba la Ley Orgánica
Dirección Estadística y Censos y crea el Instituto Nacional de Estadísticas; en el Decreto N° 1.062, de
1970, del entonces Ministerio de Economía, Fomento y Reconstrucción, que aprueba el Reglamento del
Instituto Nacional de Estadísticas; en el DFL 1/19.653, de 2000, del Ministerio Secretaría General de la
Presidencia, que fija el texto refundido, coordinado y sistematizado de la Ley N° 18.575, Orgánica
Constitucional de Bases GeneriIes de la Administración del Estado; en la Ley N° 19.628 de Protección de
la Vida Privada; en la Ley N° 19.223, de Delitos informáticos; en el Decreto N° 83, de 2005, del Ministerio
Secretaría General de la Presidencia, que aprueba norma técnica para los órganos de la Administración
del Estado, sobre Seguridad y Confidencialidad de los Documentos Electrónicos; en la Resolución Exenta
N° 5.966 de 09 de diciembre de 2016, que aprueba políticas, normas, protocolos y procedimientos
específicos de seguridad de la información; en la Resolución Exenta N 7.001 de 07 de diciembre de
2017, que aprueba política general de seguridad de la información y deja sin efecto Resolución Exenta
que indica; en ORD. INT. N° 105, de 29.06.2018, y ORD. INT. N° 110, de 11.07.2018, ambos del
Departamento de Planificación y Control; en Resolución Exenta N° 7.377, y N° 7.378, ambos de 2.107, de
la División Jurídica del Instituto, y en la demás normativa aplicable.
CONSIDERANDO:
Que, el Instituto Nacional de Estadísticas, reconoce la
importancia y el valor de los activos de información como un elemento crítico para el cumplimiento de la
misión del servicio, por ello asume que la información requiere ser protegida de las amenazas que
puedan poner en peligro la continuidad operacional, los niveles y calidad de los productos, la
rentabilidad social y la conformidad legal, atributos necesarios para el logro de los objetivos del Servicio.
Que, considerando que la información es clave para la
gestión, operación, crecimiento y éxito de la Institución, se hizo necesario la adopción y aprobación de
una Política de Seguridad de la información, que define criterios y lineamientos esenciales. Así, el
Instituto Nacional de Estadísticas aprobó la resolución Exenta N° 7.001, de 07.12.2017, Nueva Política
General de Seguridad de la Información, dejando sin efecto la Resolución Exenta N° 5.955, de 2016.
Que, de acuerdo a la "Nueva Política General de Seguridad",
existirá un Comité de Seguridad de la Información, el cual debe asegurar la implementación, ejecución,
mantención, mejora y difusión del Sistema de Gestión de Seguridad de la Información. Está encargado -
además- de aprobar las políticas, procedimientos, normativas y otros aspectos en materia de seguridad.
En relación a este punto, las políticas son previamente elaboradas por el Encargado de Seguridad de la
Información y el Comité Técnco de Seguridad de la Información, de acuerdo a las necesidades del
4. Que, de acuerdo a la Nueva Política General de Seguridad, es
Servicio "[...] dará lugar a las políticas de segundo nivel que a continuación se indican: [...] A. Política de
Control de Acceso." Dando cumplimiento a lo dispuesto previamente, el Encargado de Seguridad de la
Información ha elaborado una nueva política de "Control de Acceso", política que fue revisada y
aprobada por los organismos respectivos, señalados en el considerando anterior. Su aprobación consta
en acta de reunión de 26 de junio del presente, del Comité Técnico de Seguridad de la Información, y
acta de reunión de 10 de julio del presente, del Comité de Seguridad de la Información, acompañadas
por ORD. INT. N° 110, citado en el visto.
S. Que, de conformidad con lo precedentemente expuesto, es
necesario aprobar la Política de Control de Acceso.
6. Que, la aprobación de la presente política adoptada por este
Instituto, tiene por objeto dar cumplimiento a lo dispuesto en los artículos 9 y 17 del Decreto N° 83, de
2005, del Ministerio Secretaría General de la Presidencia, citado en el visto; y lo requerido por ORD. INT.
N° 105 y N° 110, de 2018, ambos del Departamento de Planificación y Control.
RESUELVO:
l APRUÉBASE la presente Política de Control de Acceso del
Instituto Nacional de Estadísticas, cuyo texto íntegro se transcribe a continuación:
ITE] E POLÍTICA DE CONTROL DE ACCESO
CÓDIGO: SGSI-PCA-2018
VERSIÓN: 1.0
PÁGINA: Página 1 de 12
POLÍTICA DE CONTROL
DE ACCESO
POLÍTICA DE CONTROL DE ACCESO
f,' P CÓDIGO: SGSI-PCA-2018 VERSIÓN: 1.0
c. PÁGINA: Página 2 de 12
Contenido
1. DECLARACIÓN INSTITUCIONAL ...................................................................... . ......................... . ... 3
2. OBJETIVO DEL DOCUMENTO .......................................................................................................4
2.1. OBJETIVO GENERAL............................................................................................................. 4
2.2. OBJETIVOS ESPECÍFICOS ...................................................................................................... 4
3. ALCANCE O ÁMBITO DE APLICACIÓN INTERNO ..........................................................................5
4. ROLES Y RESPONSABILIDADES ............... . ... . ................................................................................. 5
S. CONTROL NORMATIVO ...............................................................................................................5
S.S. AUTENTICACIÓN DE USUARIOS PARA CONEXIONES EXTERNAS ..................................... 7
5.6. IDENTIFICACIÓN DE EQUIPOS EN LA RED........................................................................ 7
5.7. PROTECCIÓN DE LOS PUERTOS DE CONFIGURACIÓN Y DIAGNÓSTICO REMOTO...........7
5.8. SEPARACIÓN DE REDES.................................................................................................... 7
5.9. CONTROL DE CONEXIÓN DE LAS REDES .......................................................................... 8
5.10. ADMINISTRICIÓN DEL ACCESO DE USUARIOS............................................................ 8
5.11. RESPONSABLIDAD DE LOS USUARIOS ........................... . ........................................ . .... 9
5.12. CONTROL DE ACCESO DE SISTEMAS Y APLICACIONES .............. . .... . ............................. 9
5.13. USO DE UTILITARIOS DEL SISTEMA............................................................................ 10
5.14. COMPUTACIÓN MÓVILYTRABAJO REMOTO ......... . .................................................. 10
5.15. PROCEDIMIENTO DE INICIO DE SESIÓN SEGURO ...................................................... 11
6. EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA ......................... . ............................................... 12
DIFUSIÓN ................................................................................................................................... 12
CONTROL DE VERSIONES ..................... . ..................................................................................... 12
Copias electrónicas, una vez impresas, son consideradas como NO 2 112
CONTROLADAS y pueder; estar obsoletas.
v1 1. DECLARACIÓN INSTITUCIONAL
POLÍTICA DE CONTROL DE ACCESO CÓDIGO: SGSI-PCA-2018
VERSIÓN: 1.0
PÁGINA: Página 3 de 12
En la declaración del propósito del INE, los objetivos y principios de la seguridad de la información
y los contenidos y controles esenciales de carácter legal, deben considerarse:
Ley N° 19.628 sobre Protección de la Vida Privada.
Ley N° 19.223 que Tipifica Figuras Penales relativas a la Informática.
Ley N° 19.927 que modifica el Código Penal, el Código de Procedimiento Penal y el Código
Procesal Penal en materia de Delitos de Pornografía Infantil.
Ley N° 20.285 sobre Acceso a la Información Pública.
Ley N° 17.374, de 1970, que fija el Nuevo Texto Refundido, Coordinado y Actualizado del
DFL N° 313 de 1960, que aprobara la Ley Orgánica Dirección Estadística y Censos y crea el
Instituto Nacional de Estadísticas.
Decreto N° 83, de 2005, del Ministerio Secretaría General de la Presidencia: Aprueba norma
técnica para los órganos de la Administración del Estado, sobre Seguridad y
Confidencialidad de los Documentos Electrónicos.
Decreto N° 93, de 2006, deI Ministerio Secretaría General de la Presidencia: Aprueba Norma
Técnica para minimizar la recepción de mensajes electrónicos masivos no deseados, en las
casillas electrónicas de los órganos de la Administración del Estado y de sus funcionarios.
Decreto N 1, de 2015, que aprueba norma técnica sobre Sistemas y Sitios WEB de los
órganos de la Administración del Estado.
NCh-ISO 27001., Of. 2013 - Sistema de gestión de seguridad de la información - INN Chile.
NCh-ISO 27002., Of. 2013 - Tecnologías de la Información y Código de prácticas para la
gestión de seguridad de la información - INN Chile.
NCh-ISO 27005., Of. 2013 - Gestión de Riesgos - INN Chile.
Copias electrónicas, una vez impresas, son consideradas como NO 3 112
CONTROLADAS y pueden estar obsoletas.
POLÍTICA DE CONTROL DE ACCESO
CÓDIGO: SGSI-PCA-2018
VERSIÓN: 1.0
PÁGINA: Página 4 de 12
2. OBJETIVO DEL DOCUMENTO
2.1. OBJETIVO GENERAL
El Instituto Nacional de Estadísticas crea la Política de Control de Acceso, para establecer las
definiciones que administrdran, gestionaran y supervisarán el acceso a la información, los cuales
deberán ser controlados sobre la base de los requisitos de cumplimiento legal, mitigación de riesgos
y seguridad.
Para ello, a través de sus diferentes áreas, permitirá administrar el ciclo de vida de los usuarios,
desde la creación automática de las cuentas, roles y permisos necesarios hasta su inoperancia, todo
a partir de los requerimientos reportados directamente de la respectiva Jefatura, lo anterior
permitirá que el funcionario tenga un acceso adecuado a los sistemas de información y recursos
tecnológicos, validando su autenticación, autorización y auditoría.
2.2. OBJETIVOS ESPECÍFICOS
Identificar los requerimientos de seguridad de cada una de las aplicaciones y sistemas
informáticos.
Identificar toda la información relacionada con las aplicaciones y sistemas informáticos.
Definir los perfiles ce acceso de usuarios estándar, comunes a cada categoría de estaciones
de trabajo.
Administrar los der3chos de acceso en un ambiente distribuido y de red, que reconozcan
todos los tipos de conexiones disponibles.
Asegurar el cumplimiento de los requisitos normativos, estatutarios, reglamentarios y
contractuales, que estén orientados hacia la seguridad de la información en el Instituto Nacional de
Estadísticas.
Establecer los nive'es de acceso apropiados a la información institucional, brindando y
asegurando la confidencialidad, integridad y disponibilidad que requiera cada sistema y usuario.
Copias electrónicas, una vez impresas, son consideradas como NO 4 1 12
CONTROLADAS y pueden estar obsoletas.
POLÍTICA DE CONTROL DE ACCESO
11/1 t 1 CÓDIGO: SGSI-PCA-2018
II' 1/L 1 VERSIÓN: 1.0
PÁGINA: Página 5 de 12
ALCANCE O ÁMBITO DE APLICACIÓN INTERNO
La política es de aplicación obligatoria para todos los funcionarios del Instituto Nacional de
Estadísticas, sin perjuicio de su calidad jurídica de planta, contrata y para las personas bajo la
modalidad de prestación de servicios honorarios; sea como profesionales, técnicos de educación
superior o expertos en determinadas materias, así como partes externas bajo la modalidad
subcontratación, y servicios de consultoría externalizados si corresponde. Que tengan derechos de
acceso a la información, que puedan afectar los activos de información del Instituto Nacional de
Estadísticas y a todas sus relaciones con terceros que impliquen el acceso a sus datos, recursos
tecnológicos y/o a la administración y control de sus sistemas de información.
Esta Política se ajusta al ordenamiento jurídico vigente y mantiene lineamientos acordes a las
directrices estratégicas definidas por el Instituto Nacional de Estadísticas, particularmente en lo
referido a los derechos y libertades de las personas y otras leyes aplicables al campo de la
información y la tecnología.
ROLES Y RESPONSABILIDADES
El Departamento de Tecn3logías de la información y Comunicación, será el responsable de
implementar todos los controles creados en esta política y velar por su correcta implementación.
S. CONTROL NORMATIVO
5.1. REGLAS PARA EL CONTROL DE ACCESO
Las reglas para el control de acceso, estarán documentados a través de los diferentes
procedimientos de control de acceso a los recursos tecnológicos, considerando lo siguiente:
Se establece como premisa que "Todo está prohibido a menos que se permita
expresamente".
Sólo se otorgará acceso a la información a los funcionarios y terceros que lo
requieran, para rea'izar tareas propias de su función o explícitamente encomendadas por el
INE (estas tareas y roles requerirán de ciertos privilegios de acceso, los que se caracterizaron
mediante perfiles ad hoc.
Copias electrónicas, una vez impresas, son consideradas como NO 5 1 12
CONTROLADAS y pueden estar obsoletas.
POLÍTICA DE CONTROL DE ACCESO
11/7 C 1 CÓDIGO: SGSI-PCA-2018
VERSIÓN: 1.0
PÁGINA: Página 6 de 12
Sólo se otorgará acceso a las instalaciones de procesamiento de información,
incluidos sus equipos, aplicaciones, procedimientos, salas, etc., a los funcionarios y terceros
que lo requieran para desempeñar la tarea/trabajo/rol que le fuesen encomendados.
5.2. ACCESO A REDES Y SERVICIOS DE RED
Se deberá asegurar el acceso a la Red y a los Servicios de Red de todos los usuarios autorizados, y
consecuentemente prever ir el acceso no autorizado a los mismos.
Se usará para la gestión de las credenciales de accesos un Manual de Acceso institucional, que
determine el ciclo de vida de las credenciales en los distintos Sistemas.
5.3. CONTROL DE ACCESO A LA RED
las conexiones no seguras a los servicios de red pueden afectar a toda la institución, por lo tanto,
se controlará el acceso a los servicios de red tanto internos como externos.
Esto es necesario para garantizar que los usuarios que tengan acceso a las redes y a sus servicios,
no comprometan la segurdad de los mismos.
Las reglas de acceso a la red a través de los puertos, estarán basadas en la premisa todo está
restringido, a menos que esté expresamente permitido.
5.4. UTILIZACIÓN DE LOS SERVICIOS DE RED
Se desarrollarán procedimientos para la activación y desactivación de derechos de acceso a las
redes, los cuales comprenderán:
o Control de acceso a los servicios de red tanto internos como externos.
Identificación de las redes y servicios de red a los cuales se permite el acceso.
Normas', procedimientos de autorización de interconexión o acceso entre redes.
Controles y procedimientos de administración para proteger el acceso y servicios
de red.
Copias electrónicas, una vez impresas, son consideradas como NO 6 1 12
CONTROLADAS y pueden estar obsoletas.
POLÍTICA DE CONTROL DE ACCESO CÓDIGO: SGSI-PCA-2018
VERSIÓN: 1.0
PÁGINA: Página 7 de 12
S.S. AUTENTICACIÓN DE USUARIOS PARA CONEXIONES EXTERNAS
El Departamento de Tecnologías de la Información y Comunicaciones (TIC) debe contemplar
servicios de conexiones externas VPN para funcionarios que requieran conexión remota a la red de
datos institucional.
La autenticación a los servicios VPN para usuarios con conexiones externas, estará documentado
mediante el procedimiento Uso del Acceso Remoto VPN.
5.6. IDENTIFICACIÓN DE EQUIPOS EN LA RED
El Departamento de Tecnologías de la Información y Comunicaciones (TIC) deberá controlar e
identificará los equipos conectados a su red, mediante el uso de controladores de dominio,
asignación manual de IP y credenciales de acceso para WIFI.
5.7. PROTECCIÓN DE LOS PUERTOS DE CONFIGURACIÓN Y DIAGNÓSTICO REMOTO
Los puertos que permitan realizar mantenimiento y soporte remoto a los equipos de red, servidores
y equipos de usuario final, estarán restringidos para su uso, sólo a los administradores de red o
servidores.
5.8. SEPARACIÓN DE REDES
El Departamento de Tecnologías de la Información y Comunicaciones (TIC) utilizará como medida
de seguridad básica, dispositivos tipo cortafuegos (firewalls) para controlar todo acceso entre
cualquier red del INE y redes externas, como lo son entre otras, la Internet y las redes privadas de
terceros.
La red interna del INE deberá segmentarse ya sea en forma física o lógica para separar grupos de
sistemas, aplicaciones o personas, y estableciendo mecanismos que controlen y limiten el tráfico
Copias electrónicas, una vez impresas, son consideradas como NO 7 1 12
CONTROLADAS y puedcn estar obsoletas.
POLÍTICA DE CONTROL DE ACCESO CÓDIGO: SGSI-PCA-2018
1 V L/L 1 VERSIÓN: 1.0
PÁGINA: Página 8 de 12
entre ellos. Esto permitirá contener errores o incidentes de seguridad, limitando su propagación,
alcance y podrá implementarse mediante el uso de VLAN5 y Lista de Control de Acceso (ACL) en los
equipos de comunicaciones o mediante mecanismos alternativos.
5.9. CONTROL DE CONEXIÓN DE LAS REDES
Dentro de la red de datos nstitucional se restringirá el acceso a:
Mensajería instantánea.
Telefonía 3 través de internet.
Correo elEctrónico comercial no autorizado.
o Descarga de archivos de sitio peer to peer.
Conexiones a sitios de streaming no autorizado.
Acceso a sitios de pornografía de cualquier índole, piratería, violencia, ventas de
artículos ilegales, discriminaciones y delitos de odio, violencia de género.
Servicios de escritorio remoto a través de internet.
Cualquier otro servicio que vulnere la seguridad de la red o degrade el desempeño
de la misma.
5.10. ADMINISTRACIÓN DEL ACCESO DE USUARIOS
Para la correcta administración de las credenciales que se utilizarán para controlar el acceso de los
usuarios, se instauran las siguientes indicaciones:
Cada funcionario de la institución poseerá una cuenta de red o UID único e
irrepetible.
El UID €s personal e intransferible; compartirlo con otros está tajantemente
prohibido.
Cuando las circunstancias lo ameriten, excepcionalmente y mediante autorización
expresa del Jefe del Departamento TIC, podrá autorizarse el uso de UID genéricos.
Copias electrónicas, un; vez impresas, son consideradas como NO 8 1 12
CONTROLADAS y pueden estar obsoletas.
POLÍTICA DE CONTROL DE ACCESO
11/7 C 1 CÓDIGO: SGSI-PCA-2018
VERSIÓN: 1.0
PÁGINA: Página 9 de 12
Los UID d€ aquellos usuarios que hayan abandonado la institución deben ser
deshabilitados apenas cesen en sus funciones.
Se deberá revisar mensualmente la lista de usuarios con especial énfasis en las altas
y bajas, y en la modificación de los derechos de acceso. Cualquier inconsistencia deberá ser
corregida.
Se deberá tener un proceso formal para la creación de accesos, otorgamiento de
los derechos asociados y su entrega al usuario. Deberá incluir consideraciones especiales
que se requieren para el caso de accesos privilegiados (ej.: administrador, root, SA, etc.).
Con el propósito de proporcionar un acceso adecuado a las cuentas de usuarios se
establecerán deberes y derechos para todos los tipos de sistemas y para todos los tipos de
usuarios.
5.11. RESPONSABILIDAD DE LOS USUARIOS
Todos los funcionarios o terceros que hagan uso de la plataforma tecnológica del Departamento de
Tecnologías de la Información y Comunicaciones (TIC), deberán conocer y cumplir con lo establecido
tanto en esta política, como también en aquellas políticas, normas y procedimientos, donde se
dictan pautas sobre derechos y deberes de los usuarios, respecto al uso adecuado de recursos TI,
protección de PC desatendido, escritorio y pantalla limpios.
Es importante asegurar siempre el estricto resguardo de la autenticación secreta como confidencial.
5.12. CONTROL DE ACCESO DE SISTEMAS Y APLICACIONES
Todo acceso a los sistemas i aplicaciones del Instituto Nacional de Estadísticas se debe regular para
evitar accesos no autorizados.
El acceso a la información y a las funciones del sistema de aplicación se deberá restringir de acuerdo
a esta política de control de acceso.
Las restricciones de acceso a la información y funciones del sistema deberán considerar:
Menú de acceso a las funciones de los sistemas en base al UID.
Copias electrónicas, una vez impresas, son consideradas como NO 9 1 12
CONTROLADAS y pueden estar obsoletas.
-- POLÍTICA DE CONTROL DE ACCESO ¡ni CÓDIGO: SGSI-PCA-2018
1 VERSIÓN: 1.0 E
PÁGINA: Página 10 de 12
El acceso a la información a través de una aplicación, se controlará a través de roles
y los privilegios asignados a los usuarios dentro del sistema de información.
40 Control de los datos a los que un usuario puede acceder.
Control de derechos de lectura, escritura, eliminación y ejecución.
Mecanismos de inicio de sesión seguro.
o Exigir el uso de contraseñas de calidad.
Permitir a los usuarios la definición y cambio de sus propias contraseñas.
Restringir el acceso a códigos fuentes de programas, para evitar cambios no
intencionales.
Registros de auditoría del acceso a los programas fuentes.
Bloqueo automático de acceso, por inactividad de¡ usuario, sin cerrar las sesiones
de aplicación o de red.
Opción de bloqueo de acceso, cuando deban abandonar temporalmente su puesto
de trabajo.
5.13. USO DE UTILITARIOS DEL SISTEMA
El uso de¡ software uti'itario de¡ sistema, estará restringido a usuarios con privilegios de
administrado res.
En los sistemas Windows 5 e establecerá una política a nivel del Controlador de Dominio, que impida
la instalación de softwarey cambios de configuración del sistema. Ningún usuario final, deberá tener
privilegios de usuario adrrinistrador.
5.14. COMPUTACIÓN MÓVIL Y TRABAJO REMOTO
Teniendo en cuenta las ventajas de la computación móvil y el trabajo remoto, como así mismo su
nivel de exposición a amEnazas que ponen en riesgo la seguridad de la información institucional, a
continuación, se establ€cen algunas normas generales que permitirán regular el uso de la
computación móvil y trabajo remoto:
Copias electrónicas, un vez impresas, son consideradas como NO 10 112
CONTROLADAS y pueden estar obsoletas.
POLÍTICA DE CONTROL DE ACCESO
CÓDIGO: SGSI-PCA-2018
VERSIÓN: 1.0
PÁGINA: Página 11 de 12
Se entiende como dispositivos de cómputo y comunicación móviles, todos aquellos que
permitan tener acceso y almacenar información institucional, desde lugares diferentes a las
instalaciones.
El uso de equipos de cómputo y dispositivos de almacenamiento móviles, está restringido
únicamente a los provistos por la institución y su utilización deberán contemplar las directrices
establecidas en el Manual de Acceso establecido en la institución.
En casos de índole excepcional para el buen desempeño de las funciones:
Se podrá utilizar el Smrtphone personal, mediante un formulario simple donde se autoriza por
parte de la institución el uso de correo institucional en los Smartphone personales y el
funcionario acepta el riesgo de dicha práctica según lo establecido en la norma de uso de
recursos tecnológicos.
En casos de¡ uso de BOD por parte de asesores y contratistas, se deberá firmar un documento
aceptando el riesgo de seguridad de la información que esto conlleva.
5.15. PROCEDIMIENTO DE INICIO DE SESIÓN SEGURO
Los accesos a los sistemas estarán protegidos, mediante un inicio seguro de sesión, que contempla
las siguientes condiciones:
Se deberá utilizar claves seguras basadas en el protocolo de contraseña segura.
No mostrar información del sistema, hasta que el proceso de inicio se haya completado.
No suministrar mensajes de ayuda, durante el proceso de autenticación.
Validar los datos de acceso, una vez que se han gestionado todos los datos de entrada.
Limitar el número de intentos fallidos de conexión auditando los intentos no exitosos.
No mostrar las contraseñas digitadas.
No transmitir la contraseña en texto plano.
Definición respecto a la() materia(s) específica(s) que aborda, esta(s) debe(n) concordar
explícitamente con el requisito de control normativo.
Copias electrónicas, una vez impresas, son consideradas como NO 111 12
CONTROLADAS y pueden estar obsoletas.
POLÍTICA DE CONTROL DE ACCESO
11/7 CÓDIGO: SGSI-PCA-2018 II' 1/t VERSIÓN: 10
PÁGINA: Página 12 de 12
EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA
La política deberá revisarse anualmente o cuando se realicen grandes cambios a sistemas de
tecnologías de la informacion.
DIFUSIÓN
La política estará publicada en el intranet institucional ittp://intranet.ir .çJL
CONTROL DE VERSIONES
Nombre Modificación Fecha Versión
Juan Carlos Creación del documento 14 Junio 2017 0.1
Troncoso
Sebastian Vargas Actualización de¡ documento 21 Junio 2017 0.2
Sebastian Vargas Actualización y mejoras 27 Junio 2017 0.3
Sebastian Vargas Mejoras 29 Junio 2017 0.4
Carlos Valdivieso Revisión 7 Agosto 2017 0.5
Sebastian Vargas Formato oficial 7 Agosto 2017 06
Comité de Revisión contenido 2 1/03/2018 0.7 0.8
seguridad técnico
División jurídica Adecuaciones 26/06/2018 0.9
Sebastian Vargas Envió a resolución 27/06/2018/ 1.0
Copias electrónicas, una vez impresas, son consideradas como NO 12 1 12
CONTROLADAS y pueden estar obsoletas.
20 REMÍTASE copia íntegra del presente acto administrativo, por
parte del Subdepartamento y de Partes y Registros, a la Jefa de la División de Planificación y Control, una
vez que este se encuentre totalmente tramitado.
ANÓTESE, REGÍSTRESE Y ARCHÍVESE
PATflLLO At.VAREZ
DirectorNacional
ftuto Nacional de Estadísticas
Lo que transcribo, para su conocimiento.
Saluda atentamente a usted,
,9 DIRECT ÑMLILÜ GUTIÉRREZ PRADO
Subditor Administrativo
-Dirección Nacional.
-Todas las Subdirecciones.
-División Jurídica.
-División de Planificación y Control
-Todas las Direcciones Regionales.
-Todos los Departamentos y Subdepartamentos del INE.
-Subdepto. de Partes y Registro.
VIE Estadísticas Chile
DIRECCIÓN NACIONAL
Departamento de Planificación y Control
ORD. INT. Nº 105 /2018
ANT.: Solicitud de formalización mediante resolución.
MAT.: Políticas y normas de seguridad de la información.
Santiago, viernes, 29 de junio de 2018
A : MARIA GABRIELA ILABACA JEFA DIVISIÓN JURIDICA
DE : ESTEFANNY ARTUS CC1NTRERAS
JEFA DEPARTAMENTO DE PLANIFICACIÓN Y CONTROL
Según lo establecido en el Com té de Seguridad de la Información del día 19 de Junio de¡ 2018, donde se hace presente la necesidad de emitir resoluciones individualizadas para 11 documentos elaborados y revisados por el
Comité de Seguridad Técnico. En esta oportunidad, envió a usted 7 políticas y normas de la materia, para su tramitación y gestión:
- Política de escritorio limpio y pantalla desatendida. - Política uso dispositivo nóvil
- Política desarrollo de sistemas
- Política administración ae activos
- Política control de acceso - Política uso correo electrónico
(JJ DE'- Política de contacto con autoridades.
Atentamente,
ESTEFANN ONTRERAS Jefa Departamen ficación y Control
SY/ MGi _
Z'.-11C^
Distribución:
- División Jurídica
- Archivo
VtE instituto Nadonal de Endinkan ChHe
DIRECCIÓN NACIONAL
Departamento de Planificación y Control
ORD. INT. Nº 110 /2018
ANT.: Envió antecedentes para resolución de
políticas de seguridad de la información.
MAT.: Políticas y normas de seguridad de la
información.
Santiago, Miércoles, 11 de julio de 2018
A : MARIA GABRIELA ILABACA JEFA DIVISIÓN JURIDICA
DE : ESTEFANNY ARTUS CONTRERAS JEFA DEPARTAMENTO DE PLANIFICACIÓN Y CONTROL
Según lo establecido en el Comité de Seguridad de la Información del día 10 de Julio del 2018, se solicita emitir
resoluciones individualizadas para las políticas. Para el caso particular de la Política de escritorio limpio y pantalla desatendida, dejar sin efecto resolución antigua y emitir nueva resolución, se adjunta el acta del comité técnico donde se validan las políticas, el acta del comité de seguridad de la información donde se aprueban las políticas.
Política de escritorio limpio y pantalla desatendida.
Política uso dispositivo móvil
Política desarrollo de sistemas
Política administración de activos
Política control de acceso
Política uso correo electrónico
Política de contacto con autoridades.
Política de uso de Antivirus
Política de uso aceptable
Norma técnica de clasificación de activos de info
Atentamente,
Jefa :ontrol
MGJ Distribución:
- División Jurídica
- Archivo RECIBIDO
11 JUL 2018 DIVl51OwR1DKA