DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010
RESOLUCIN MINISTERIAL:

01
FECHA APROBACIN:

XX/XX/XXXX

XXXXXX SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

NORMA DE CONTROLES CRIPTOGRFICOS

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010

01
FECHA APROBACIN:

XX/XX/XXXX

Historial de Cambios

Edicin

Fecha

Autor

Cambios realizados

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

2
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010
Edicin Fecha Autor

01
FECHA APROBACIN:

XX/XX/XXXX

Cambios realizados

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

3
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010
Edicin Fecha Autor

01
FECHA APROBACIN:

XX/XX/XXXX

Cambios realizados

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

4
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010
Edicin Fecha Autor

01
FECHA APROBACIN:

XX/XX/XXXX

Cambios realizados

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

5
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010

01
FECHA APROBACIN:

XX/XX/XXXX

1. Objetivo
Definir la gestin de controles criptogrficos para el envo/recepcin de informacin en medios magnticos/pticos del Ministerio de Educacin, en adelante el Ministerio.

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

6
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010 2. Definicin de trminos

Se deber tener un claro entendimiento de los siguientes conceptos:

01
FECHA APROBACIN:

XX/XX/XXXX

2.1. Mtodos criptogrficos: Los mtodos criptogrficos estn basados en algoritmos matemticos
(funciones) tales que aplicados sobre ciertos datos (informacin) ms un argumento variable (clave) producen un determinado resultado no legible (texto cifrado). Los algoritmos matemticos usados en criptografa cumplen con ciertas condiciones, entre ellas, la fundamental, que es sencillo computarla en un sentido, y prcticamente imposible en sentido inverso, sin conocer algn dato.

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

7
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010
2.2. 2.3. 2.4. 2.5.

01
FECHA APROBACIN:

XX/XX/XXXX

Autenticacin: es la funcin para el establecimiento de la validez de la supuesta identidad de un usuario, dispositivo u otra entidad en un sistema de informacin o comunicaciones. Disponibilidad: la propiedad de que los datos, la informacin y los sistemas de informacin y comunicaciones sean accesibles y utilizables oportunamente y en la forma precisa Confidencialidad: es la propiedad de que los datos o la informacin no sean disponibles, ni se revele, a personas, entidades o procesos no autorizados. Criptografa: es la disciplina que agrupa a los principios, medios y mtodos para la transformacin de datos con el fin de ocultar el contenido de su informacin, establecer su autenticidad, prevenir su modificacin no detectada, prevenir su repudio, y/o prevenir su uso no autorizado.

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

8
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010
2.6. 2.7. 2.8. 2.9.

01
FECHA APROBACIN:

XX/XX/XXXX

Clave criptogrfica: es un parmetro que se utiliza junto con un algoritmo criptogrfico para transformar, validar, autenticar, cifrar o descifrar datos. Datos: es la presentacin de informacin de una forma adecuada para su comunicacin, interpretacin, almacenamiento, o tratamiento. Cifrado: es la transformacin de los datos mediante el uso de la criptografa para producir datos ininteligibles (datos cifrados) y asegurar su confidencialidad. Descifrado: es la funcin inversa al cifrado.

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

9
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010
2.10. 2.11.

01
FECHA APROBACIN:

XX/XX/XXXX

Integridad de los datos: es la propiedad de que los datos o la informacin no hayan sido modificados o alterados de forma no autorizada. Sistema de gestin de claves: es un sistema para la generacin, almacenamiento, distribucin, revocacin, eliminacin, archivo, certificacin o aplicacin de claves criptogrficas. Depositario de la clave: es una persona o entidad que est en posesin o tiene el control de las claves criptogrficas. El depositario de la clave no es necesariamente el usuario de la misma. No repudio: es una propiedad que se consigue a travs de medios criptogrficos, que impide a una persona o entidad negar haber realizado una accin en particular relativa a datos (como los mecanismos de no rechazo de autora (origen); como demostracin de obligacin, intencin o compromiso; o como demostracin de propiedad).

2.12. 2.13.

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

10
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010

01
FECHA APROBACIN:

XX/XX/XXXX

2.14.

Datos personales: es cualquier informacin referente a una persona identificada o identificable.

3. Disposiciones Generales
Se tienen definidas las siguientes responsabilidades:

3.1. La Oficina de Informtica es responsable de: Resguardar las claves pblicas de los usuarios, y de tenerlas disponibles de forma permanente para las distintas reas de negocio.

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

11
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010

01
FECHA APROBACIN:

XX/XX/XXXX

Mantener actualizada esta norma, como as tambin los procedimientos asociados, y la capacitacin de las reas internas involucradas.

4. Descripcin
DE LA CONFIANZA EN LOS MTODOS CRIPTOGRFICOS 4.1. Los mtodos criptogrficos deben ser fiables, para generar confianza en el uso de los sistemas de informacin y comunicaciones. 4.2. Aunque los estndares internacionales deberan bastarse para lograr confianza en los sistemas fiables, los reglamentos gubernamentales, las licencias, y el uso de los mtodos criptogrficos deben

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

12
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010

01
FECHA APROBACIN:

XX/XX/XXXX

asimismo fomentar la confianza del usuario. La evaluacin de los mtodos criptogrficos, especialmente en comparacin con criterios ya aceptados por el mercado, tambin podra generar confianza por parte del usuario. 4.3. En inters de la confianza del usuario, cualquier contrato referente al uso de un sistema de gestin de claves debera indicar la jurisdiccin cuyas leyes se aplican a dicho sistema. 4.4. El uso de controles de acceso o criptogrficos puede incluir la adquisicin de hardware y/o software para cumplir con los requerimientos criptogrficos del Ministerio.

DE LA ELECCIN DE MTODOS CRIPTOGRFICOS

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

13
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010

01
FECHA APROBACIN:

XX/XX/XXXX

4.5. Los usuarios deben disponer de acceso a una criptografa que responda a sus necesidades, de modo que puedan confiar en la seguridad de los sistemas de informacin y comunicaciones, y en la confidencialidad e integridad de los datos que manejan estos sistemas. La definicin del mtodo criptogrfico a implementar para atender las necesidades del usuario, ser responsabilidad de los rganos de seguridad competentes. Las personas o entidades que posean, controlen, accedan, utilicen o almacenen datos pueden tener la responsabilidad de proteger la confidencialidad e integridad de dichos datos, y pueden por tanto ser responsables de utilizar los mtodos criptogrficos adecuados. Es posible que sean necesarios varios mtodos criptogrficos para cumplir los diferentes requisitos de seguridad de los datos. Los responsables de la seguridad deben tener la libertad, dentro de la legalidad vigente, de determinar el tipo y nivel necesarios de seguridad de los datos, as como de seleccionar y aplicar los

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

14
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010

01
FECHA APROBACIN:

XX/XX/XXXX

mtodos criptogrficos adecuados, incluyendo un sistema de gestin de claves que se adecue a sus necesidades. DE LAS NORMAS PARA MTODOS CRIPTOGRFICOS 4.6. Las normas tcnicas, criterios y protocolos para el uso de determinados mtodos criptogrficos deben haber sido desarrolladas y promulgadas a nivel nacional. 4.7. Las normas nacionales para los mtodos criptogrficos, en caso de existir, deben ser conformes con las normas internacionales para facilitar la interoperabilidad, adaptabilidad y movilidad global. 4.8. Se deber implementar el uso de una tcnica criptogrfica para la transmisin de informacin confidencial a travs de la red del Mnisterio.

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

15
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010

01
FECHA APROBACIN:

XX/XX/XXXX

4.9. Se deber incluir el uso de firmas digitales en las transmisiones electrnicas realizadas por los usuarios del Ministerio. 4.10. Se deber configurar adecuadamente el registro de pistas de auditora sobre los controles criptogrficos utilizados, con el fin de evitar situaciones de repudio de transacciones.

4.11.

El Ministerio es el responsable de proteger los distintos tipos de claves que utilice para el cifrado de informacin. Se deber implementar un sistema de gestin de claves para dar soporte a usuarios de claves pblicas y privadas, protegindolas de su modificacin o destruccin.

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

16
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010

01
FECHA APROBACIN:

XX/XX/XXXX

DE LA PROTECCIN DE LA INFORMACIN CRTICA DE LA INSTITUCIN 4.12. Los mtodos criptogrficos pueden ser una valiosa herramienta para la proteccin de la intimidad, incluyendo tanto la confidencialidad de los datos y comunicaciones como la proteccin de la identidad de las personas. Sin embargo, la aplicacin de mtodos criptogrficos dentro del Ministerio se encuentra destinada a mantener la seguridad de la informacin crtica de la institucin con respecto a su confidencialidad, integridad y disponibilidad. No es responsabilidad del Ministerio proteger la informacin personal de los usuarios a travs de la aplicacin de mtodos criptogrficos.

DEL ACCESO LEGAL

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

17
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010

01
FECHA APROBACIN:

XX/XX/XXXX

4.13.Las polticas criptogrficas nacionales pueden permitir un acceso legal a texto claro o a claves criptogrficas, de los datos cifrados. Estas polticas deben respetar el resto de los principios que forman parte de las directrices, en la mayor medida posible. 4.14.Cuando se consideren las polticas sobre mtodos criptogrficos que faciliten el acceso legal, las entidades deben sopesar cuidadosamente los beneficios, incluyendo los beneficios para el orden pblico, la aplicacin de la ley y la seguridad nacional, as como los riesgos de un mal uso, los gastos adicionales de cualquier infraestructura de apoyo, las perspectivas de fallos tcnicos, y otros costes.

4.15.

En el caso de que se solicite el acceso al texto en claro, o a las claves criptogrficas de los datos cifrados, dentro de un proceso legal, la persona o entidad que solicite dicho acceso debe tener un derecho legal a la posesin del texto en claro, y una vez obtenido, los datos deben utilizarse slo para fines legtimos. El proceso a travs del cual se obtiene el acceso legal debe quedar registrado, de forma que se pueda auditar o revisar la revelacin de las claves criptogrficas de los datos, de

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

18
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010

01
FECHA APROBACIN:

XX/XX/XXXX

acuerdo con el derecho nacional. Cuando se solicite y se obtenga el acceso legal, dicho acceso debe concederse dentro de unos lmites de tiempo fijados, de forma adecuada a las circunstancias. Las condiciones del acceso legal deben indicarse claramente y hacerse pblicas de una forma que sean fcilmente disponibles para los usuarios, depositarios de las claves y proveedores de mtodos criptogrficos. 4.16. Los sistemas de gestin de claves proporcionan una base para una posible solucin que podra equilibrar el inters de los usuarios y autoridades encargadas de la aplicacin de la ley; estas tcnicas tambin se podrn para recuperar datos, en caso de prdida de las claves. Los procesos de acceso legal a las claves criptogrficas deben reconocer la distincin entre las claves que se utilizan para proteger la confidencialidad y las claves que se utilizan nicamente con otros fines. No debe proporcionarse una clave criptogrfica que proporcione slo identidad o integridad sin el consentimiento de la persona o entidad que tiene la propiedad legtima de dicha clave.

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

19
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010
DE LA RESPONSABILIDAD

01
FECHA APROBACIN:

XX/XX/XXXX

4.17.Cuando as lo establezcan un contrato o la legislacin, la responsabilidad de personas y entidades que ofrecen servicios criptogrficos o son depositarios o acceden a las claves criptogrficas, deber exponerse claramente. 4.18.La responsabilidad de cualquier persona o entidad, incluyendo un organismo gubernamental, que ofrece servicios criptogrficos o posee o tiene acceso a claves criptogrficas, debe quedar claramente establecida, mediante contrato o, en los casos pertinentes, a travs de la legislacin nacional e internacional. Asimismo, debe indicarse claramente la responsabilidad de los usuarios por un mal uso de sus propias claves. A un depositario de clave no pueden exigrsele responsabilidades por proporcionar claves criptogrficas o texto en claro de datos cifrados, si se ha realizado de forma acorde con un acceso legal. La parte que consiga un acceso legal debe ser responsable del mal uso de las claves criptogrficas o del texto en claro que haya obtenido.

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

20
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A

DOCUMENTO:

NORMA DE CONTROLES CRIPTOGRFICOS

EDICIN: CDIGO:

NO-010 5. Vigencia
Entrar en vigencia a partir de su aprobacin.

01
FECHA APROBACIN:

XX/XX/XXXX

6. Aprobacin
Ser aprobada mediante Resolucin Ministerial.

SECRETARA DE PLANIFICACIN ESTRATGICA OFICINA DE INFORMTICA

21
O R G A N O I N S T I T U C I O N A L :

S E C R E T A R I A D E P L A