1. No category

DIRECTIVA N° 004 -2012-JUS/OGTI
NORMAS INTERNAS PARA LA SEGURIDAD DE LA INFORMACIÓN DIGITAL DEL
MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS
I.
OBJETIVO:
Contar con un documento de cumplimiento obligatorio para el personal del
Ministerio de Justicia y Derechos Humanos - MINJUS, en el cual se
establezcan las normas internas para la seguridad de la información digital
interna, a fin de controlar y salvaguardar la información institucional.
Determinar la seguridad de la información digital mediante la aplicación de
normas y procedimientos a fin de proteger los datos electrónicos que se
producen, utilicen o custodie el Ministerio de Justicia y Derechos Humanos
— MINJUS, en adelante MINJUS.
II.
BASE LEGAL:
•
•
•
•
•
•
•
R. Jiménez M.
III.
Ley N° 27309, "Ley que incorpora los Delitos Informáticos al Código
Penal".
Ley N° 29809, Ley de Organización y Funciones del Ministerio de
Justicia y Derechos Humanos.
Decreto Supremo N° 011-2012-JUS, que aprueba el Reglamento de
Organización y Funciones del Ministerio de Justicia y Derechos
Humanos y modificatoria.
Resolución Ministerial N° 314-2006-JUS, que aprueba el Reglamento de
Políticas de Seguridad de la Información.
Directiva N° 001-2007-JUS/OGI, "Lineamientos para la creación o
eliminación de una cuenta (Login) en el Sistema de Red del Ministerio
de Justicia".
Directiva N° 001-2000-JUS/OGI, "Normas y Procedimientos para
instalar, reubicar, trasladar, sustituir piezas y repotenciar equipos de
cómputo en el Ministerio de Justicia".
Directiva N° 001-2004-JUS/OGI,"Normas y Procedimientos para el uso
del Correo Electrónico del Ministerio de Justicia".
ALCANCE:
La presente Directiva es de aplicación obligatoria a todo el personal que
labora en el MINJUS: nombrado, designado, contratado bajo cualquier
modalidad, así como secigristas, practicante, entre otros.
IV.
RESPONSABILIDAD:
Corresponde a la Oficina General de Tecnologías de Información formular
las acciones para mejorar la eficiencia de la seguridad de los recursos
informáticos del MINJUS, así como los procedimientos y procesos
correspondientes.
A. Artola G.
El personal que se encuentra dentro de los alcances de la presente
Directiva, es responsable de cautelar el uso correcto de los bienes e
información que elabore, posea y/o se le asigne.
V.
DISPOSICIONES GENERALES:
Corresponde a los directores o jefes de cada órgano o unidad orgánica, así
como a los responsables de programas y/o unidades ejecutoras, entre
otros, solicitar las altas y bajas de las cuentas de usuarios del personal a su
cargo para el acceso a los recursos del sistema de red, indicando en detalle
el alcance de lo solicitado como son el uso del correo electrónico, internet,
sistemas de información, entre otros.
Cada usuario es responsable de mantener la confidencialidad, necesaria de
la información almacenada en el sistema de red (áreas de trabajo "M", "N",
"O", etc.); así como de la información que se encuentra almacenada
localmente en la computadora asignada.
Se prohibe facilitar o entregar información a terceras personas ajenas a la
institución, a través de documentos impresos, medios magnéticos, ópticos,
electrónicos, digitales u otros, así como el acceso a las computadoras
personales, salvo disposición expresa del director o jefe del órgano o
unidad competente, así como del responsable del Programa, entre otros,
cuando corresponda.
VI.
DISPOSICIONES ESPECÍFICAS:
1. USO DE LAS CUENTAS DE USUARIO ASIGNADAS AL PERSONAL
Imener M.
1.1.El uso de las cuentas de usuarios, compuesta por una identificación
de usuario y clave secreta, constituyen mecanismos de seguridad
lógica relacionados con la protección de la información contenida en
los recursos del sistema de red y en las computadoras.
1.2.A través de solicitudes de cuenta de usuario se establecen
restricciones a los recursos del sistema en red, entre ellos, el acceso
a los archivos, sistemas de información, correo electrónico, internet,
entre otros, a fin de evitar que personas no autorizadas puedan violar
la confidencialidad de la información o realizar actos que eviten la
continuidad del Servicio de los Sistemas.
1.3.Los usuarios de la red local del MINJUS tendrán en consideración los
siguientes lineamientos que deberán aplicar en el manejo de las
cuentas de usuario:
a)
Las cuentas de usuario son de uso personal y confidencial.
Todas las transacciones u operaciones registradas en ella, serán
de exclusiva responsabilidad de su titular.
b) El usuario deberá de evitar abandonar su computador dejando
activa su sesión de trabajo iniciada con su cuenta de usuario,
siendo obligatorio bloquear la pantalla o cerrar su sesión y en
caso de urgencia deberá apagar su equipo.
c) Cuando un usuario con acceso a los recursos de red se ausente
por motivo de vacaciones, enfermedad o permiso por tiempo
mayor a 3 (tres) días, el director, jefe, responsable, encargado
del órgano, unidad orgánica o programa, correspondiente deberá
comunicar este hecho inmediatamente a la Oficina General de
Tecnologías de Información mediante un correo electrónico al
usuario: adminaminius.qob.pe , para efectuar el bloqueo de su
cuenta de usuario, la que será restituida a su retorno, previa
2
comunicación por parte del director, jefe, responsable,
encargado del órgano, unidad orgánica o programa.
d) La Jefatura correspondiente deberá solicitar por escrito a la
Oficina General de Tecnologías de Información, las altas y bajas
de una cuenta de usuario con la finalidad de desactivar o activar
la cuenta respectiva en el sistema de red de la Institución.
1.4.Los usuarios de la Red Local del MINJUS deberán tener en cuenta
las siguientes consideraciones para el manejo de clave de accesos:
a)
Se sugiere realizar el cambio de clave cada fin de mes o las
veces que considere conveniente, siendo responsable de
mantener su confidencialidad. Es obligatorio cambiar la clave
cuando menos una vez cada 3 (tres) meses.
b) La longitud mínima de clave de acceso deberá ser no menor de
10 (diez) caracteres alfanuméricos.
c) Al escoger una clave de acceso, el usuario deberá evitar
asociaciones con nombres de familiares y/o mascotas, números
telefónicos, números del documento nacional de identidad,
fechas importantes, número del carnet, número de tarjeta de
crédito, marca del auto, dirección, etc., sea en orden directo
(directo) o inverso (osrevni).
d) Evitar anotar la clave de acceso en medios visibles.
e) El sistema de red bloqueará automáticamente las cuentas de
usuarios que tienen 3 (tres) intentos fallidos consecutivos (tanto
para el ingreso a la red como al correo electrónico). Para
volverlas a activar se deberá esperar un tiempo de 5 (cinco)
minutos luego del cual el sistema la reactivará automáticamente.
2. SOBRE LA INFORMACIÓN CONTENIDA EN EL SISTEMA DE RED,
EQUIPOS DE CÓMPUTO Y DISPOSITIVOS EXTERNOS
2.1DE LA INFORMACIÓN CONTENIDA EN EL SISTEMA DE RED
2.1.1 El usuario deberá almacenar la información sensible en
los servidores de la red protegiendo así sus documentos
de trabajo (confidencialidad e importante). Para ello, los
discos de red asignados a su función son:
•
•
A. Gano
Carpeta personal = disco "M"
Carpeta de trabajo de grupo /área = discos "J" o "N" u
"O", según corresponda.
2.1.2 Los usuarios no deben borrar, mover, modificar o alterar
la información contenida en las carpetas de trabajo de
grupo ("J", "N", "O", etc.) salvo que se coordine con el
responsable del área. Cualquier hecho que provoque la
no disponibilidad de la información será responsabilidad
únicamente del usuario que causó el inconveniente.
2.1.3 Cada director, jefe o responsable del órgano, unidad
orgánica o responsable de un programa, deberá informar
a la nueva persona que se incorpora a dicha unidad,
respecto a los mecanismos de uso de las carpetas de
trabajo de grupo ("J", "N", "O", etc.).
3
2.2DE LA INFORMACIÓN CONTENIDA EN LOS EQUIPOS DE
CÓMPUTO
2.2.1.1 El usuario es responsable de la custodia, disponibilidad y
confidencialidad de la información almacenada en el
disco duro del equipo de cómputo asignado.
2.2.2 Queda prohibido extraer información de la Entidad,
contenida en los equipos de cómputo o en la red, bajo
cualquier medio, sin autorización del director, jefe,
responsable, encargado del órgano, unidad orgánica o
programa. El incumplimiento será considerado falta grave
estando sujeto a sanción, sin perjuicio de las
responsabilidades civiles o penales que correspondan.
2.2.3 Está prohibido que el usuario acceda sin autorización
(excepto el director o jefe) en forma local a un
computador que no le ha sido asignado. La autorización
de acceso deberá solicitarla al responsable del área o al
usuario de dicho equipo, bajo responsabilidad.
2.2.4 Sólo con fines de administración y soporte al usuario, se
comparten ciertas carpetas del disco duro. Esta función
es de competencia única y exclusiva de la Oficina
General de Tecnologías de Información. Está prohibido
que cualquier carpeta sea compartida por los propios
usuarios.
2.2.5 Es responsabilidad de cada usuario apagar su
computador luego de culminar la jornada laboral o
cuando se ausente de la Institución.
2.2.6 Todo computador portátil que ingrese a la Institución,
deberá ser registrado por el personal de seguridad y
revisado por personal de la Oficina General de
Tecnologías de Información, a fin de descartar cualquier
infección de virus informático y presencia de programas
que atenten contra la seguridad de la información, entre
otros.
2.3DE LA INFORMACIÓN CONTENIDA EN LOS DISPOSITIVOS
EXTERNOS
2.3.1 Queda prohibido el uso de dispositivos externos (ópticos,
digitales magnéticos, electrónicos, etc.) que permitan la
copia total o parcial de la información perteneciente a la
Institución, como: quemadores de CD's / DVD's, memoria
USD, Palm, Pocket Pc, etc. Sólo se podrán utilizar en
casos excepcionales debidamente justificados y
autorizados por el director o jefe del órgano o unidad
orgánica, y serán utilizados bajo responsabilidad del
solicitante y de la persona que autoriza.
2.3.2 La Oficina General de Tecnologías de Información, por la
naturaleza de sus funciones podrá contar y utilizar dichos
dispositivos, los mismos que deben ser monitoreados por
el Jefe de dicha Oficina.
2.3.3 El uso de dispositivos externos (memoria USB, discos,
palms, poket pc, pda, etc) sin autorización y que
contengan información de la Institución será considerado
4
como falta, sin perjuicio de las responsabilidades penales
a que hubiere lugar.
2.3.4 Está prohibido que un usuario acceda a la información
contenida en unidades de almacenamiento (medios
magnéticos, electrónicos, ópticos, digitales, etc.) que no
le hayan sido asignados ni autorizados por el director o
jefe del órgano o unidad orgánica.
2.3.5 Cada usuario es responsable por la custodia y la
confidencialidad necesaria de la información almacenada
en medios magnéticos, ópticos, electrónicos, etc., que le
haya sido asignado y autorizado. Deberá dar cuenta a su
jefe inmediato de cualquier extravío, daño o sustracción.
2.3.6 Es responsabilidad del usuario eliminar la información del
medio magnético, óptico, electrónico, etc., clasificado
como Confidencial, cuando ésta ya no sea necesaria y
siguiendo los procedimientos sobre la materia.
2.3.7 En el caso del uso de los dispositivos externos
(memorias, USD, discos, palm, pocket pc, pda u otros) no
autorizados, la Oficina General de Tecnologías de
Información tendrá la facultad de solicitar dicho
dispositivo para su revisión y de ser el caso retenerlo,
luego deberá informar a la jefatura correspondiente sobre
su contenido y las circunstancias en la que fue hallado.
3. SOBRE EL USO DEL CORREO ELECTRÓNICO
3.1 El correo electrónico es una herramienta de intercambio de
información, que permite a los usuarios enviar y recibir cualquier
tipo de información electrónica a través de la red local y/o internet.
3.2 Los lineamientos del uso y control del correo electrónico se
encuentran establecidos en la Directiva N° 001-2004-0G1 "Normas
y Procedimientos para el uso del Correo Electrónico del Ministerio
de Justicia", aprobado por Resolución de Secretaría General N°
499-2004-JUS o la norma que la sustituya.
4. SOBRE EL USO DE TELEFONÍA IP Y TELEFONÍA CELULAR
M. Torres S.
4.1 La telefonía IP y celulares son servicios con propósitos
institucionales para uso exclusivo de las actividades del MINJUS.
4.2 Está prohibida la trasmisión de información a través de la telefonía
IP y celulares a terceros o a personal no autorizado, que vulnere
su confidencialidad.
4.3 El uso de las claves para el servicio de telefonía IP asignadas a
los usuarios son de su exclusiva responsabilidad, la misma que es
intransferible.
4.4 Los usuarios de la telefonía IP y celulares con derechos para
efectuar las llamadas locales, nacionales e internacionales de la
telefonía pública, debe realizarla en forma adecuada y son
responsables de su uso conforme a la normativa sobre la materia.
4.5 La Oficina General de Tecnologías de Información, administra la
telefonía IP y remitirá un reporte mensual a los directores y jefes
de los órganos o unidades orgánicas sobre las llamadas
realizadas por el personal a cargo.
5
A. Gaz7n
VII. DISPOSICIONES COMPLEMENTARIAS:
1. La aplicación de las sanciones al incumplimiento de las disposiciones
establecidas en la presente Directiva, se efectuarán de acuerdo a la
normativa vigente sobre la materia.
2. El propietario de la cuenta de usuario es el único responsable de su uso
incorrecto y será sujeto a la aplicación de la sanción administrativa, civil
o penal que correspondiera.
VIII. DISPOSICIONES FINALES:
1. Siendo la Oficina General de Tecnologías de Información la encargada
de elaborar procedimientos relacionados a la Tecnología de
Información, será responsable de proponer la actualización de la
presente Directiva y de emitir todas aquellas disposiciones necesarias
para regular su cumplimiento.
2. La Oficina General de Tecnologías de Información se encargará de
difundir las directivas aprobadas.
3. Todos los órganos o unidades orgánicas serán responsables de
hacerlas de conocimiento a su personal, bajo responsabilidad.
4. La Oficina General de Tecnologías de Información será la encargada de
evaluar el cumplimiento de la presente Directiva como parte de su labor.
5. La información que la Administración entregue o proporcione a terceros,
se efectuará conforme a la normativa de la materia y conforme a los
procedimientos que la Administración haya aprobado para tal efecto.
IX.GLOSARIO DE TÉRMINOS:
1. Carpeta de usuario: Es un espacio o unidad de almacenamiento de
datos de uso de los usuarios.
2. Cuenta de usuario: Identificación otorgada a un usuario para el acceso
a una computadora y a los servicios de la red de la Institución.
6. Confidencialidad: Garantizar que la información sea accesible
únicamente para quienes tengan acceso autorizado.
7. Confidencial: Calificación de la información, efectuada por la
Administración
8. Delito informático: Toda aquella acción que involucre el mal uso de la
información por parte del personal de la Entidad, para obtener algún
tipo de favor o beneficio propio, calificada como delito. La sanción
penal, no excluye de la responsabilidad civil o administrativa que
corresponda.
9. Medios magnéticos: Dispositivos que permiten el almacenamiento de
programas e información fuera de los discos duros de la PC, entre los
que se encuentran los diskettes, cintas, etc.
10. Medios Ópticos: Dispositivos de almacenamiento que utilizan la
tecnología láser para almacenar y cautelar los archivos (programas e
información). Dentro de ellos se encuentran los CD's, DVD's, etc.
11. Memoria USB: Dispositivo pequeño, externo y de gran capacidad,
llamado también llavero USB o Memory Key que se conecta a la PC a
través de un puerto y actúa como un disco duro físico adicional.
12. Palabra clave/Password/contraseña: Código utilizando para identificar
a un usuario autorizado normalmente provisto por el sistema operativo o
por un Sistema de Gestión de Base de Datos. Las contraseñas sirven
como medida de seguridad contra el acceso no autorizado a los datos
6
debido a que la computadora sólo puede verificar la legitimidad de la
contraseña y no la del usuario.
13. Palm/Pocket PC o PDA: Dispositivos portátiles pequeños con
capacidad de ejecutar pequeñas aplicaciones y con la potencialidad de
poder conectarse a una red y/o a las PCS vía puertos USB, puertos de
red y transmitir información vía rayos infrarrojos.
14. Quemadora: Unidad de disco compacto con capacidad para grabar
información en CD'S /DVD'S.
15. Quemar: Dícese al proceso de guardar información en los CD'S.
16. Usuario: Cualquier persona que utiliza una computadora. Por lo general
se refiere a las personas que no pertenecen al equipo técnico y que
utilizan un equipo de cómputo. Hacen uso de los discos duros de las
PC'S, de los servidores de la red, de las impresoras, correo electrónico
e internet. Par tal efecto, cuentan con una clave de acceso.
A Ga77
7