dec?~¿ff~ · responsable y transparente de la función pública, como mecanismo de control...
TRANSCRIPT
dec?~¿ff~ N°0011-2015-JUS
Lima, 1 7 FEB 2015
VISTOS, los Oficios N. 0 0607-2014-JUS/OGTI y N° 0747-2014-JUS/OGTI , de la Oficina General de Tecnologías de Información; el Informe N. 0 112-2014/0GPP-ORA, de la Oficina de Racionalización de la Oficina General de Planeamiento y Presupuesto; el Oficio N. 0 2505-2014-JUS-OGPP-ORA, de la Oficina General de Planeamiento y Presupuesto y el Informe N. 0 829-2014-JUS/OGAJ y Oficio N.0 107-2015-JUS/OGAJ, de la Oficina General de Asesoría Jurídica, y;
CONSIDERANDO:
Que, la Ley N. 0 27658, Ley Marco de Modernización de la Gestión del Estado, establece como finalidad fundamental del proceso de modernización, la obtención de mayores niveles de eficiencia del aparato estatal , con el objetivo de alcanzar, entre otros, un Estado transparente en su gestión, con trabajadores y servidores que brinden al ciudadano un servicio imparcial, oportuno, confiable, predecible y de bajo costo, lo que implica el desempeño responsable y transparente de la función pública, como mecanismo de control efectivo;
Que, mediante Resolución Ministerial N.0 246-2007-PCM, se aprobó el uso obligatorio de la Norma Técnica Peruana "NTP-180/IEC 17799:2007 EDI. Tecnología de la
,---t=-t--. Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a Edición", en todas las entidades integrantes del Sistema Nacional de Informática;
Que, asimismo, mediante Resolución N. 0 42-2008/INDECOPI-CNB, se aprobó la ACióN Norma Técnica Peruana "NTP ISO/lEC 27001 :2008 EDI Tecnología de la Información. Técnicas
'----lH---Jde Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos"; nt11M.
Que, mediante Decreto Supremo N.0 066-2011-PCM, se aprobó el "Plan de ,...,~~-Desarrollo de la Sociedad de la Información en el Perú - La Agenda Digital Peruana 2.0", cuyo
bjetivo N.0 7 establece la necesidad de promover una Administración Pública de calidad rientada a la población, y la necesidad de contar con una Estrategia Nacional de Ciberseguridad on el objetivo de minimizar los riesgos en caso de sufrir algún tipo de incidente en los recursos
nformáticos del Estado, así como la disuasión del crimen cibernético que se produce mediante el - -.--..Juso de redes teleinformáticas, entre otros; ,.t.[, V.
Que, mediante Resolución Ministerial N. 0 129-2012-PCM, se aprobó el uso obligatorio en todas las entidades integrantes del Sistema Nacional de Informática de la Norma Técnica Peruana "NTP-180/IEC 27001 :2008 EDI Tecnología de la Información. Técnicas de Seguridad. Sistemas de gestión de seguridad de la Información. Requisitos", entre las que se encuentra el Ministerio de Justicia y Derechos Humanos;
Que, de acuerdo con lo informado por las Unidades Orgánicas indicadas en los documentos de Vistos, es de interés institucional emitir una normativa interna que regule el correcto uso de los sistemas de información por parte del personal del Ministerio de Justicia y Derechos Humanos;
..--=t+---¡
¡ -. · '·
Que, la Directiva N.0 001-2008-JUS, "Lineamientos para la formulación y aprobación de Directivas del Ministerio de Justicia", aprobada mediante Resolución Ministerial N.0
0623-2008-JUS, establece que la aprobación de las Directivas orientadas al accionar del actual Ministerio de Justicia y Derechos Humanos, será mediante Resolución expedida por el Viceministro o el Secretario General, según corresponda a órganos de linea y/o alta dirección, Consejos y Comisiones o a los órganos de apoyo y asesoramiento, o proyectos, respectivamente;
Que, asimismo, el literal b) del artículo 18° del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado por Decreto Supremo N. 0
011-2012-JUS, establece que es función de la Secretaria General, entre otras, "aprobar las "----ft--' directivas, planes y programas de carácter administrativo del Ministerio y someter a consideración
e M. del Ministro los planes administrativos, financieros y tecnológicos que requieran su aprobación";
Que, en tal sentido, corresponde que las normas de gestión interna que regulen ~r'H:=---\aspectos generales de la institución sean aprobadas mediante Resolución de Secretaría General;
Con el visado de la Oficina General de Tecnologias de Información, de la Oficina eneral de Planeamiento y Presupuesto y de la Oficina General de Asesoria Jurídica;
De conformidad con lo dispuesto por la Ley N. 0 29809, Ley de Organización y M.E.V. Funciones del Ministerio de Justicia y Derechos Humanos; el Decreto Supremo N. 0 011-2012-JUS,
que aprobó el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos y la Directiva N.0 001-2008-JUS, "Lineamientos para la formulación y aprobación de Directivas del Ministerio de Justicia", aprobada mediante Resolución Ministerial N. 0 0623-2008-JUS;
SE RESUELVE:
Artículo 1 o.- Aprobar la Directiva N. o 001-2015-JUS/OGTI, "Lineamientos para el uso de los Sistemas de Información del Ministerio de Justicia y Derechos Humanos", la misma que como Anexo forma parte integrante de la presente Resolución.
Artículo 2°.- Disponer la publicación de la presente Resolución y la Directiva en el Portal Institucional del Ministerio de Justicia y Derechos Humanos (www.minjus.gob.pe).
Regístrese y comuníquese.
DIRECTIVA N.o 001-2015-JUS/OGTI
LINEAMIENTOS PARA EL USO DE LOS SISTEMAS DE INFORMACIÓN DEL MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS
1 OBJETIVO
Determinar las políticas de seguridad de información en el uso de sistemas de información que permitan gestionar y asignar los privilegios de usuarios autorizados, controlar los accesos a los sistemas de información del Ministerio de Justicia y Derechos Humanos (MINJUS), y generar registros que permitan controlar, auditar y/o reconstruir la información y los accesos en las diversas plataformas del MINJ.US mediante la aplicación de normas y procedimientos a fin de proteger los sistemas de información que utiliza el usuario del MINJUS en el ejercicio de sus funciones.
2 BASE LEGAL
2.1 Decreto Legislativo N. o 635, Código Penal y modificatorias. 2.2 Ley N. o 30096, Ley de Delitos Informáticos. 2.3 Decreto Supremo N. 0 011-2012-JUS, que aprueba el Reglamento de
Organización y Funciones del Ministerio de Justicia y Derechos Humanos y modificatorias.
2.4 Resolución Ministerial N.0 0151-2014-JUS, que aprueba el Código de Comportamiento Ético del Ministerio de Justicia y Derechos Humanos. ·
2.5 Resolución Ministerial N.0 129-2012-PCM, que aprueba la "NTP-ISO/IEC 27001:2008 EDI Tecnología de información. Técnicas de seguridad. Sistemas de gestión de seguridad de la Información. Requisitos."
2.6 Resolución Jefatura! N. 0 076-95-INEI, que aprueba la Directiva N. 0 007-95-INEI/SJI, "Recomendaciones Técnicas para la Seguridad e Integridad de la Información que se procesa en la Administración Pública".
2.7 Resolución Jefatura! N. 0 140-95-INEI, que aprueba la Directiva N.0 010-95-INEI/SJI , "Recomendaciones Técnicas para la Organización y Gestión de los Servicios Informáticos para la Administración Publica".
2.8 Resolución Jefatura! N. 0 386-2002-INEI, que aprueba la Directiva N. 0 016-2002-INEI/TNP, "Normas Técnicas para el Almacenamiento y Respaldo de la Información que se procesa en las Entidades del Estado".
3 ALCANCE
La presente Directiva es de cumplimiento obligatorio para todos los colaboradores del MINJUS, bajo cualquier régimen laboral o cualquier modalidad de contratación con la Entidad.
4 RESPONSABILIDAD
La Oficina General de Tecnologías de Información (OGTI) es la unidad orgánica del MINJUS responsable de la ejecución, difusión, implementación y cumplimiento de la presente Directiva y dictará las normas complementarias necesarias.
5. DISPOSICIONES GENERALES
5.1 Los Directores, Jefes y/o titulares de los órganos y unidades orgánicas del MINJUS definirán los sistemas, niveles de acceso y privilegios que los usuarios deberán tener para interactuar en los servicios y aplicaciones informáticas disponibles.
5.2 Los Directores, Jefes y/o titulares de los órganos y unidades orgánicas del MINJUS deberán utilizar el formulario electrónico, conforme al ANEXO 1 publicado en la intranet, para comunicar a la OGTI, sobre los detalles a considerar en la configuración de las cuentas de usuario. Así mismo, deberán solicitar las altas y bajas de los accesos a los sistemas, indicando en detalle el alcance de lo solicitado, entre otros. El ANEXO 1 debe ser completado en la intranet y luego digitar la opción enviar. De esta forma el formato es remitido a la Mesa de Ayuda de la OGTI para su atención.
5.3 Los sistemas serán controlados y auditados por la OGTI y por el Órgano de Control Institucional.
5.4 Los usuarios con autorización para actualizar los sistemas son responsables por la información que producen y almacenan, así como de realizar el control de calidad correspondiente velando por la integridad, confidencialidad y disponibilidad de la información.
5.5 Queda prohibido proporcionar información de los sistemas a terceras personas ajenas a la organización, a través de documentos impresos, medios magnéticos, ópticos, electrónicos, digitales, etc., así como el acceso a las computadoras personales.
5.6 Excepcionalmente, las Direcciones, Jefaturas, órganos y unidades orgánicas del MINJUS que generen la información podrán autorizar el acceso a través de un medio escrito o electrónico.
5.7 El MINJUS no es responsable del contenido de los mensajes que se transmitan a través de sus sistemas de información sin la debida autorización.
5.8 La Oficina de Infraestructura y Soporte Tecnológico en coordinación con la Oficina de Desarrollo de Sistemas, serán las responsables del respaldo de información de los sistemas institucionales, considerando para ello programas fuentes , bases de datos e históricos según corresponda.
6 DISPOSICIONES ESPECÍFICAS
6.1 CRITERIOS PARA EL USO DE LOS SISTEMAS DE INFORMACION
6.1.1 Los Directores, Jefes y/o titulares de los órganos y unidades orgánicas del MINJUS de acuerdo a sus competencias, deben definir los tipos de accesos para los usuarios autorizados para que en ejercicio de sus funciones accedan a los sistemas.
6.1 .2 Los Directores, Jefes y/o titulares de los órganos y unidades orgánicas del MINJUS deben determinar la información que se debe almacenar y procesar en los sistemas de información que sea de su competencia para el mejor desarrollo de las funciones del MINJUS, teniendo en cuenta:
Principio de Autenticidad: Permite asegurar la identidad del usuario que accede al sistema de información. Principio de Integridad: Permite asegurar que la información recibida o recuperada no posea ninguna modificación u alteración. Principio de Disponibilidad: Permite asegurar la continuidad del acceso al sistema de información para los usuarios autorizados. Principio de Confidencialidad: Permite asegurar que la información es accesible solo a las personas autorizadas.
6.1.3 Todo usuario que ingresa a laborar en el MINJUS será capacitado por la OGTI en el uso de los sistemas al que accederá para consulta · y/o procesamiento con la finalidad de salvaguardar la correcta utilización y/o manejo de la información.
La capacitación será posterior a la solicitud de acceso al sistema efectuada por los Directores, Jefes y/o titulares de los órganos y unidades orgánicas del MINJUS y antes de concederle dicho acceso.
La OGTI realizará las coordinaciones necesarias a fin de que la capacitación se lleve a cabo en el proceso de inducción que realiza la Oficina de Recursos Humanos de la Oficina General de Administración a cada persona que ingresa al MINJUS bajo cualquier régimen laboral o modalidad de contratación.
6.1.4 La confidencialidad que los usuarios deben observar con la información a la que acceden en el desempeño de sus funciones se encuentra definida en el Código de Comportamiento Ético del MINJUS.
6.1.5 Los Directores, Jefes y/o titulares de los órganos y unidades orgánicas del MINJUS solicitarán a la OGTI mediante formato virtual, publicado en la intranet y que como ANEXO 1 forma parte de la presente Directiva lo siguiente:
Creación de cuentas (altas), se debe indicar el o los permisos para acceder a determinado grupo o grupos de trabajo, en el ANEXO 1. Eliminación cuentas (bajas), se utilizará el ANEXO 1, donde se indicará la eliminación de la cuenta. Teniendo como plazo mínimo para comunicar a la OGTI del hecho veinticuatro (24) horas antes de la finalización del vínculo.
6.1.6 El acceso a los sistemas de información seguirán los procedimientos de identificación, autenticación, autorización, registros de acceso y monitoreo.
R. Jimérlez M.
6.1. 7 La OGTI procede a autorizar los accesos a los sistemas conforme al pedido realizado al Director, Jefe y/o titular del órgano y unidad orgánica del MINJUS.
6.1.8 El acceso que se concede al usuario tiene el carácter de "personal", "intransferible" y "confidencial", por lo que será responsable de toda actividad que realice con el nombre de usuario asignado.
6.1.9 Los sistemas y privilegios otorgados a los usuarios por el MINJUS para el ejercicio de sus funciones, deberán ser utilizados solamente para los propósitos concernientes a los servicios que brinda el Ministerio.
6.1 .1 O La información de los sistemas de información deberá ser actualizada solamente por el personal autorizado en cada sistema.
6.1.11 La OGTI llevará un control de los cambios de tipos de accesos de usuarios mediante el Sistema de Seguridad.
6.2 CONTROL DE ACCESOS A LOS SISTEMAS DE INFORMACION
6.2.1 El control de acceso a los sistemas de información del MINJUS lo realiza la OGTI .
6.2.2 Para evitar el acceso de personas no autorizadas o no deseadas a las sesiones que deja abierta el usuario al alejarse de su equipo por diferentes razones, la OGTI informará a los usuarios como habilitar el bloqueo del equipo.
6.3 CONTROL DE ACCESO A LA INFORMACIÓN POR PARTE DE TERCEROS
6.3.1 El acceso a la información por terceros debe limitarse a lo indispensable para cumplir con el trabajo asignado.
6.3.2 El acceso a los sistemas por terceros que brindan algún servicio en el MINJUS debe ser solicitado por los Directores, Jefes y/o titulares de los órganos y unidades orgánicas del Ministerio quienes asumen la responsabilidad por las acciones que realice el mismo.
6.3.3 En el caso de terceros proveedores y que por la naturaleza del servicio a brindar requieran acceder a los sistemas informáticos del MINJUS, se deberá incluir en su contrato lo siguiente:
a) Cumplimiento de las políticas de seguridad de información.
b) Acuerdo de confidencialidad
e) El MINJUS tiene la facultad de auditar los controles de seguridad de la información a través de la Oficina de Infraestructura y Soporte Tecnológico. Siendo responsable el Jefe de la oficina antes mencionada.
R. Jiménez M.
7 SANCIONES Y RESPONSABILIDADES
El incumplimiento de las disposiciones establecidas en la presente Directiva obliga la cancelación temporal o permanente del acceso a los sistemas de información, genera la aplicación de la sanción administrativa correspondiente a que se haga acreedor por la infracción cometida (Código de Comportamiento Ético del MINJUS y demás normas aplicables vigentes) y a la aplicación de las normas vigentes sobre la materia (delitos informáticos- Código Penal).
8 DISPOSICIONES FINALES
8.1 Siendo la OGTI la encargada de elaborar procedimientos relacionados a la Tecnología de Información, será responsable de proponer la actualización de la presente Directiva y de emitir todas aquellas disposiciones necesarias para regular su cumplimiento.
8.2 La OGTI se encargará de difundir las directivas emitidas enviando vía documento a todas las Direcciones, Jefaturas, órganos y unidades orgánicas del MINJUS.
8.3 Los Directores, Jefes y/o titulares de los órganos y unidades orgánicas del MINJUS serán responsables de hacerlas de conocimiento oficial a su personal, bajo responsabilidad.
8.4 La OGTI será la encargada de evaluar el cumplimiento de la presente Directiva como parte de su labor.
9.1 USUARIO: Personas que laboran o prestan servicios para las diferentes unidades organizacionales del MINJUS y el personal que preste servicios en los proyectos que ejecute el MINJUS con otras instituciones, así como con los alumnos participantes del Programa SECIGRA.
9.2. DELITO INFORMÁTICO: Toda aquella acción que involucra el mal uso de la información por parte del personal de la Entidad, para obtener algún tipo de favor o beneficio propio, esta acción sin perjuicio de ser sancionada por los reglamentos de la institución también podrá ser sancionada por el ente judicial competente como delito según la mejora establecida en la Ley N. o
30096, Ley de Delitos Informáticos.
9.3. MEDIOS MAGNETICOS: Dispositivos que permiten el almacenamiento de programas e información fuera de los discos duros de la PC (Personal Computer), entre los que se encuentran los diskettes, cintas, etc.
9.4. TERCEROS: se denomina así a personas naturales contratadas con orden de servicio y personal representante de empresas proveedoras que brindan servicios en el MINJUS.
9.5. TERCEROS PROVEEDORES: representan a una empresa proveedora de bienes y/o servicios en el MINJUS.