TEXTO PAGINA: 79
Pág. 218445 NORMAS LEGALES Lima, jueves 28 de febrero de 2002 BANCO R.U.C. Pago a titulares de depósitos CTS en el BANCO NUEVO MUNDO EN LIQUIDACIÓN §Nombres y apellidos: ................................ §Documento de identidad: ................. §Depósitos CTS §Concepto: Pago a titulares de depósitos CTS en BAN- CO NUEVO MUNDO EN LIQUIDACIÓN Declaro/amos haber recibido del Banco ........................ por cuenta del BAN- CO NUEVO MUNDO EN LIQUIDACIÓN, la constancia de la transferencia de la suma de .......................... correspondiente a mis depósitos en el BANCO NUEVO MUNDO EN LIQUIDACIÓN, a la cuenta Nº ................... del Banco .............. a entera satisfacción, sin perjucio de las obligaciones adicionales que tenga el BANCO NUEVO MUNDO EN LIQUIDACIÓN, si las hubiera. Declaro/amos, asimismo, mi/nuestra conformidad con la transferencia de mis depósitos en el BANCO NUEVO MUNDO EN LIQUIDACIÓN de que trata el presente recibo, al Banco .................., para los efectos antes señalados. Es todo cuando debo/emos declarar. Fecha: ......................... ______________ Firma 3965 Establecen disposiciones referidas a la identificación y administración de ries- gos asociados a la tecnología de infor- mación CIRCULAR Nº G-105-2002 Lima, 22 de febrero de 2002 ———————————————————— Ref.:Riesgos de tecnología de información ———————————————————— Señor Gerente General Sírvase tomar nota que, en uso de las atribuciones con- feridas por el numeral 7 del Artículo 349º de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgá- nica de la Superintendencia de Banca y Seguros - Ley Nº 26702 y sus modificatorias, en adelante Ley General, y por la Resolución SBS Nº 1028-2001 del 27 de diciembre de 2001, con la finalidad de establecer criterios mínimos para la identificación y administración de los riesgos asociados a la tecnología de información, a que se refiere el Artículo 10º del Reglamento para la Administración de los Riesgos de Operación, aprobado mediante la Resolución SBS Nº 006-2002 del 4 de enero de 2002, esta Superintendencia ha considerado conveniente establecer las siguientes dis- posiciones: Alcance Artículo 1º.- Las disposiciones de la presente norma son aplicables a las empresas señaladas en los Artículos 16º y 17º de la Ley General, al Banco Agropecuario, a la Corpora- ción Financiera de Desarrollo S.A. (COFIDE), al Banco de la Nación, a la Fundación Fondo de Garantía para Préstamos a la Pequeña Industria (FOGAPI) y a las derramas y cajas de beneficios que se encuentren bajo la supervisión de esta Su- perintendencia, en adelante empresas. Definiciones Artículo 2º .- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: a. Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada.b. Ley General: Ley Nº 26702, Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Su- perintendencia de Banca y Seguros. c. Proceso crítico: Proceso considerado indispensable para la continuidad de las operaciones y servicios de la empresa, y cuya falta o ejecución deficiente puede tener un impacto financiero significativo para la empresa. d. Reglamento: Reglamento para la Administración de los Riesgos de Operación aprobado por Resolución SBS Nº 006-2002 del 4 de enero de 2002. e. Riesgos de operación: Entiéndase por riesgos de ope- ración a la posibilidad de ocurrencia de pérdidas financie- ras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurren- cia de eventos externos adversos. f. Riesgos de tecnología de información: Los riesgos de operación asociados a los sistemas informáticos y a la tecnología relacionada a dichos sistemas, que pueden afec- tar el desarrollo de las operaciones y servicios que realiza la empresa al atentar contra la confidencialidad, integridad y disponibilidad de la información, entre otros criterios. g. Seguridad de la información: Característica de la in- formación que se logra mediante la adecuada combinación de políticas, procedimientos, estructura organizacional y herramientas informáticas especializadas a efectos que dicha información cumpla los criterios de confidencialidad, integridad y disponibilidad. h. Objetivo de control: Una declaración del propósito o resultado deseado mediante la implementación de contro- les apropiados en una actividad de tecnología de informa- ción particular. Responsabilidad de la empresa Artículo 3º.- Las empresas deben establecer e imple- mentar las políticas y procedimientos necesarios para ad- ministrar de manera adecuada y prudente los riesgos de tecnología de información, incidiendo en los procesos críti- cos asociados a dicho riesgo, considerando las disposi- ciones contenidas en la presente norma, en el Reglamen- to, y en el Reglamento del Sistema de Control Interno apro- bado mediante la Resolución SBS Nº 1040-99 del 26 de noviembre de 1999. La administración de dicho riesgo debe permitir el ade- cuado cumplimiento de los siguientes criterios de control interno: I. Eficacia. La información debe ser relevante y pertinente para los objetivos de negocio y ser entregada en una forma adecuada y oportuna conforme las necesidades de los dife- rentes niveles de decisión y operación de la empresa. II. Eficiencia. La información debe ser producida y en- tregada de forma productiva y económica. III. Confidencialidad. La información debe ser accesible sólo a aquellos que se encuentren debidamente autorizados. IV. Integridad. La información debe ser completa, exac- ta y válida. V. Disponibilidad. La información debe estar disponible en forma organizada para los usuarios autorizados cuan- do sea requerida. VI. Cumplimiento normativo. La información debe cum- plir con los criterios y estándares internos de la empresa, las regulaciones definidas externamente por el marco le- gal aplicable y las correspondientes entidades regulado- ras, así como los contenidos de los contratos pertinentes. Estructura organizacional y procedimientos Artículo 4º.- Las empresas deben definir y mantener una estructura organizacional y procedimientos que les permita administrar adecuadamente los riesgos asociados a la tecno- logía de información, consistente con su tamaño y naturaleza, así como con la complejidad de las operaciones que realizan. Administración de la seguridad de información Artículo 5º.- Las empresas deberán establecer, man- tener y documentar un sistema de administración de la seguridad de la información, en adelante "Plan de Seguri- dad de la Información - (PSI)". El PSI debe incluir los acti- vos de tecnología que deben ser protegidos, la metodolo- gía usada, los objetivos de control y controles, así como el grado de seguridad requerido. Las actividades mínimas que deben desarrollarse para implementar el PSI, son las siguientes: a. Definición de una política de seguridad. b. Evaluación de riesgos de seguridad a los que está expuesta la información