Resolución núm. 1318 EXENTA, publicada el 14 de Agosto de 2020. APRUEBA NORMA TÉCNICA SOBRE FUNDAMENTOS GENERALES DE CIBERSEGURIDAD PARA EL DISEÑO, INSTALACIÓN Y OPERACIÓN DE REDES Y SISTEMAS UTILIZADOS PARA LA PRESTACIÓN DE SERVICIOS DE TELECOMUNICACIONES
| Publicado en | Diario Oficial |
| Emisor | MINISTERIO DE TRANSPORTES Y TELECOMUNICACIONES |
| Rango de Ley | Resolución |
APRUEBA NORMA TÉCNICA SOBRE FUNDAMENTOS GENERALES DE CIBERSEGURIDAD PARA EL DISEÑO, INSTALACIÓN Y OPERACIÓN DE REDES Y SISTEMAS UTILIZADOS PARA LA PRESTACIÓN DE SERVICIOS DE TELECOMUNICACIONES
Núm. 1.318 exenta.- Santiago, 10 de agosto de 2020.
Vistos:
-
El decreto ley Nº 1.762, de 1977, que crea la Subsecretaría de Telecomunicaciones.
-
La Ley Nº 18.168, General de Telecomunicaciones.
-
La ley Nº 19.628, sobre protección de la vida privada.
-
El decreto supremo Nº 60, de 2012, del Ministerio de Transportes y Telecomunicaciones, que aprueba el reglamento para la interoperación y difusión de la mensajería de alerta, declaración y resguardo de la infraestructura crítica de telecomunicaciones e información sobre fallas significativas en los sistemas de telecomunicaciones.
-
El decreto supremo Nº 368, de 2012, del Ministerio de Transportes y Telecomunicaciones, que regula las características y condiciones de la neutralidad de la red en el servicio de acceso a internet.
-
El instructivo presidencial Nº 1/2017, del 27 de abril de 2017, que aprueba e instruye la implementación de la Política Nacional de Ciberseguridad.
-
La resolución Nº 7, de 2019, de la Contraloría General de la República, que fija normas sobre exención del trámite de toma de razón.
Considerando:
-
Que el sostenido incremento en la proporción de habitantes del territorio nacional que acceden cotidianamente a servicios de telecomunicaciones, ha significado que éstos constituyan uno de los principales ámbitos de interacción social. De otra parte, se advierte que una medida sustancial de la actividad económica contemporánea corresponde a una amplia variedad de prestaciones de diversa naturaleza que son provistas, en todo o en parte, mediante el uso de servicios de telecomunicaciones.
-
Que, como consecuencia necesaria de lo expuesto, toda afectación o interrupción importante de los servicios de telecomunicaciones, causará graves perjuicios al bienestar, salud y seguridad de la población; a la integridad de las instituciones públicas e, inclusive, a la seguridad nacional. Dicha relación se volverá progresivamente más significativa en la medida que se extiendan y profundicen los procesos de digitalización. En la misma línea, se advierte que la amplia extensión y comparativa facilidad de acceso de las redes y sistemas de telecomunicaciones, hace que se conviertan en objetivos atractivos para actores criminales.
-
Que la Subsecretaría de Telecomunicaciones, en adelante también e indistintamente "la Subsecretaría" o "Subtel", tiene como atribuciones dictar las normas técnicas sobre telecomunicaciones y controlar su cumplimiento; requerir los antecedentes e informaciones necesarios para el desempeño de su cometido, tanto de las entidades que operan en el ámbito de las telecomunicaciones como de cualquier organismo público, los que estarán obligados a proporcionarlos; así también, controlar y supervigilar el adecuado funcionamiento de los servicios públicos de telecomunicaciones y la protección de los derechos del usuario. Lo anterior por expresa disposición del artículo 6º del decreto ley Nº 1.762 en sus literales g) y k), respectivamente, y del artículo 7º de la ley Nº 18.168, Ley General de Telecomunicaciones.
-
Que, adicionalmente, el artículo 6º de la citada ley Nº 18.168 de manera explícita dispone que corresponde al Ministerio de Transportes y Telecomunicaciones, a través de esta Subsecretaría, la aplicación y control de dicha ley y sus reglamentos y que, asimismo, le compete en forma exclusiva la interpretación técnica de las disposiciones legales y reglamentarias que rigen las telecomunicaciones.
-
Que las atribuciones indicadas habilitan legalmente a la Subsecretaría para establecer las condiciones de diseño, instalación y operación de los servicios de telecomunicaciones en cada uno de sus ámbitos, en particular, en lo que concierne a la seguridad de las comunicaciones y al manejo de ciberincidencias, particularmente en el referido sector. Ello busca velar por el adecuado funcionamiento de tales servicios; prevenir o reducir las posibilidades de que sean interrumpidos o afectados por incidentes de seguridad informática; contribuir a prevenir los ataques de que puedan ser objeto los usuarios durante su desenvolvimiento en el ciberespacio y facilitar la posterior investigación de tales hechos. En consecuencia, resulta procedente regular determinados aspectos de la operación de las redes destinadas a la prestación de los servicios de telecomunicaciones regulados por la ley Nº 18.168, con el fin de lograr los objetivos planteados.
-
Que el reglamento que trata sobre la declaración y resguardo de la infraestructura crítica de telecomunicaciones, aprobado mediante el decreto supremo Nº 60, de 2012, del Ministerio de Transportes y Telecomunicaciones, constituye una normativa cuyo ámbito de aplicación se enfoca principalmente en los elementos de la red que soportan la infraestructura física, con menor énfasis en la infraestructura lógica, protocolos, software, sistemas y datos informáticos y contenido mismo de las comunicaciones. Esta insuficiencia regulatoria obliga a tomar las providencias del caso en favor de los derechos del usuario y del buen funcionamiento de los servicios de telecomunicaciones, dictando la correspondiente norma técnica en la materia.
-
Que el reglamento que regula las características y condiciones de la neutralidad de la red en el servicio de acceso a internet, aprobado mediante decreto supremo Nº 368, de 2012, del Ministerio de Transportes y Telecomunicaciones, impone a los proveedores de acceso a internet la obligación de preservar la privacidad de los usuarios, la protección contra virus y la seguridad de la red, utilizando para ello las herramientas tecnológicas disponibles. Sin embargo, dicha normativa no regula la obligación de reportar a la autoridad competente las ciberincidencias que afecten la normal provisión del servicio ni la de proceder a su resolución y prevenir su ocurrencia, vacío normativo que es abordado por las disposiciones contenidas en la presente norma técnica.
Resuelvo:
Apruébase la presente norma técnica sobre fundamentos generales de ciberseguridad para el diseño, instalación y operación de redes y sistemas utilizados para la prestación de servicios de telecomunicaciones:
La presente norma técnica tiene por objeto establecer un marco regulatorio que comprenda los fundamentos generales de ciberseguridad en base a los cuales deben ser diseñadas, instaladas y operadas de manera segura las redes y sistemas utilizados para la prestación de servicios de telecomunicaciones regulados por la ley Nº18.168, Ley General de Telecomunicaciones, en adelante "la Ley". Lo anterior, habida consideración al resguardo y a la resiliencia de las redes, sistemas y su continuidad operacional, confidencialidad, integridad y disponibilidad de la información.
La presente norma cubre aspectos de gestión de riesgo en materias de ciberseguridad en el ámbito de los servicios de telecomunicaciones regulados por la Ley, identificando tanto el análisis de impacto operacional como los riesgos y controles mitigantes; además del ciclo de vida de una ciberincidencia, considerando tanto la prevención, detección, análisis, notificación, contención, erradicación, recuperación y documentación a su respecto.
De igual manera, esta norma técnica busca normar los reportes sobre ciberincidencias que los concesionarios y permisionarios de servicios de telecomunicaciones deben enviar a la Subsecretaría, sea directamente o a través del órgano que ésta indique, con el objeto de coordinar las acciones orientadas a mitigar sus efectos e impactos y contribuir a una oportuna normalización y estabilización de los servicios afectados.
Para los efectos de aplicación de esta norma técnica, los términos que a continuación se señalan tendrán el significado que se indica:
- Autenticación:
Proceso utilizado en los mecanismos de control de acceso con el objetivo de verificar la identidad de un usuario, dispositivo o sistema mediante la comprobación de credenciales de acceso.
- Ciberespacio:
Dominio global y dinámico dentro del entorno de la información que corresponde al ambiente compuesto por las infraestructuras tecnológicas, los componentes lógicos de la información, los datos (almacenados, procesados o transmitidos) que abarcan los dominios físico, virtual y cognitivo y las interacciones sociales que se verifican en su interior. Las infraestructuras tecnológicas corresponden a los equipos materiales empleados para la transmisión de las comunicaciones, tales como enlaces, enrutadores, conmutadores, estaciones, sistemas radiantes, nodos, conductores, entre otros. Los componentes lógicos de la información, en tanto, son los diferentes softwares que permiten el funcionamiento, administración y uso de la red.
- Ciberincidencia o ciberincidente:
Todo evento que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los sistemas o datos informáticos almacenados, transmitidos o procesados, o los servicios correspondientes ofrecidos por los sistemas de telecomunicaciones y su infraestructura, que puedan afectar al normal funcionamiento de los mismos.
- Ciberseguridad:
Conjunto de acciones posibles para la prevención, mitigación, investigación y manejo de las amenazas e incidentes sobre los activos de información, datos y servicios, así como para la reducción de los...
Para continuar leyendo
Solicita tu prueba