TEXTO PAGINA: 42
Pág. 212376 NORMAS LEGALES Lima, jueves 8 de noviembre de 2001 c.- Las aplicaciones que operan las transacciones deberán incorporar procedimientos técnicos de seguri- dad, utilizando cualquiera de las técnicas siguientes: Secure Sockets Layer (SSL), Secure Electronic Transac- tion (SET) y Public Key Infrastructure (PKI). d.- Debe incorporarse un sistema de seguridad antivi- rus, a los servidores que gestionan las bases de datos y las aplicaciones de los servicios a la ciudadanía. e.- Se recomienda incluir una herramienta de detec- ción de intrusos y control de accesos para proteger la información de carácter confidencial de la institución. f.- Disponer de copias completas de seguridad (bac- kup) de la información, base de datos y aplicativos, con herramientas de respaldo en línea que evite interrumpir los servicios de los servidores. g.- Disponer de dispositivos de backup SCSI de tecno- logía actual, para un respaldo adecuado de los servido- res. h.- Resolver el problema de administración de cuen- tas y grupos para tener el absoluto control de quiénes son las personas autorizadas y con derechos en los recursos de almacenamiento. i- Tener una adecuada alimentación eléctrica, que involucra el estado de los pozos a tierra, UPS, estabiliza- dor, grupo electrógeno y redes de alimentación eléctrica independientes j.- Implementar un sistema de replicación de datos. 5.1.2 Con relación a los sistemas de red local y de conectividad a Internet. a.- La red local y el sistema de conectividad a Internet deben contar con sistemas de seguridad. b.- Debe tenerse en consideración la aplicación de todas las técnicas de seguridad que se evalúen como convenientes: firewall, detección de intrusos, inspección de contenido, auditoría, filtrado, proxy, criptografía o autenticación; que permitan controlar la seguridad de los usuarios de la red local y del sistema de conectividad a Internet. c.- Implementar políticas de restricción en la asigna- ción de las direcciones IP en los usuarios. d.- Establecer relaciones de confianza entre los servi- dores de la red institucional, en forma discriminada. e.- De ser necesario, se establecerá una red privada virtual que permita enlaces temporales privados entre los usuarios y las aplicaciones que sustenten los servi- cios a la ciudadanía. f.- En el caso que la institución disponga de servicios públicos que operen bajo el protocolo de intercambio electrónico de datos (EDI) se buscará incorporar las normas de seguridad establecidas en los estándares internacionales (EDIFACT, XML, entre otros). 5.1.3 Con relación a la gestión del servidor web y servidor de correo electrónico. a.- Clausurar los servicios de comunicación del servi- dor, que no sean estrictamente necesarios y en especial los script CGI y los módulos de los aplicativos que soportan la identificación para acceso remoto (login remoto). b.- Minimizar el número de aplicaciones y archivos abiertos en los servidores. c.- Establecer controles de acceso y servicios al correo electrónico, telnet, ftp o similares. d.- Implementar políticas de control de acceso (desha- bilitar las cuentas del sistema a usuarios que dejaron de laborar en la institución, personal con licencia, control de horario en cuentas, deshabilitar las cuentas de usua- rios que no se conecten al sistema durante un período de tiempo determinado por el administrador, etc.). e.- Instalar un sistema de criptografía para claves de acceso o password que no puedan ser descifradas por personas ajenas a la institución. f.- Implementar un sistema de replicación de datos y servicios, para garantizar los servicios de 7 días por 24 horas. 5.1.4 Con relación a las medidas de seguridad presen- tadas en las Instituciones Públicas. a.- Las Oficinas de Informática deberán, en el marco de un plan de seguridad de la información, implementar las medidas antes mencionadas, debiendo contar con la infraestructura adecuada.b.- Las Oficinas de Informática deben informar perió- dicamente a los usuarios, de las restricciones de seguri- dad implantadas en la institución, para proteger la información gestionada por los servicios para la ciudada- nía. c.- Las Oficinas de Informática deberán generar sus propias políticas de seguridad adicionales a las ya ex- puestas. 5.2 Acciones de Detección a.- Revisar periódicamente las últimas actividades realizadas en la base de datos en busca de acciones sospechosas, efectuadas por usuarios externos o inter- nos. b.- Configurar el sistema y guardar periódicamente sus resultados en un medio fiable. Realizar compa- raciones periódicas de la configuración operativa actual con la configuración inicial. c.- Implementar un sistema de monitoreo especializa- do para detectar cualquier evento fuera de lo normal en el sistema. d.- Comprobar periódicamente la integridad de los archivos importantes del sistema. e.-Verificar periódicamente los permisos de los archi- vos que se encuentren en los directorios de usuarios. 5.3 Acciones de Recuperación a.- Disponer de procedimientos de contingencias que permitan minimizar los daños y proteger la información del servicio a nivel bases de datos, aplicaciones, configu- ración de los sistemas operativos y de comunicaciones, para ello es necesario contar con un sistema de respaldo de información (backup) que incluya herramientas de recuperación con procedimientos automáticos. b.- Los procedimientos de contingencias deberán ser debidamente documentados y difundidos entre el perso- nal responsable y operativo de la Oficina de Informática o la oficina que haga sus veces. c.- Establecer periódicamente cursos de capacitación y simulacros que permitan evaluar la respuesta del personal involucrado en la recuperación de contingencia, de sistemas completos (sistema operativo, aplicaciones, servicios y datos). VI. DISPOSICION COMPLEMENTARIA El Centro de Consulta e Investigación sobre Seguri- dad de la Información, a cargo del INEI, absolverá cualquier consulta que presenten los administradores de las páginas web y Coordinadores Técnicos del Portal del Estado Peruano, a través del E-MAIL: portal@inei.- gob.pe . 34063 OSINERG Sancionan con multas a Luz del Sur S.A.A. RESOLUCIÓN DE GERENCIA GENERAL ORGANISMO SUPERVISOR DE LA INVERSIÓN EN ENERGÍA OSINERG Nº 422-2001-OS/GG Lima, 6 de noviembre de 2001 VISTOS: Los Informes Técnicos Nº 046-OSINERG/GE de fe- cha 6 de julio de 2001, Nº 057-2001-OS/GFE, de fecha 22 de agosto de 2001, elaborados por la Gerencia de Fiscaliza- ción Eléctrica y el Informe Legal Nº 067-2001-OS/GFE, de la Gerencia de Fiscalización Eléctrica, de fecha 12 de octubre de 2001, los escritos de descargos Nºs. GIST-296/ 2001 y GIST-321/2001 de fechas 31 de julio y 16 de agosto de 2001, respectivamente, presentados por la empresa concesionaria Luz del Sur S.A.A (en adelante Luz del Sur), referente al incumplimiento de dicha concesiona- ria de lo establecido en la Ley de Concesiones Eléctricas y su Reglamento.