Norma Legal Oficial del día 18 de septiembre del año 2016 (18/09/2016)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 12
599462
NORMAS LEGALES
Domingo 18 de setiembre de 2016 /
El Peruano
g) Reportar al Directorio u órgano equivalente o al Comité de Riesgos, según su organización, sobre el desempeño del sistema de gestión de la seguridad de la información con la periodicidad que determine la Entidad, la que no podrá ser mayor a un año. La Entidad deberá realizar la función de gestión de la seguridad de la información, de acuerdo con el tamaño, volumen de transacciones y complejidad de las operaciones que realizan. Artículo 11.- CONTROLES DE SEGURIDAD DE LA INFORMACIÓN La Entidad deberá considerar, de acuerdo con su tamaño, volumen de transacciones y complejidad de sus operaciones, la implementación de los controles generales, que se indican a continuación: 1. Seguridad lógica: a) Procedimientos formales para la concesión, administración de derechos y perfiles, así como la revocación de usuarios. b) Revisiones periódicas sobre los derechos concedidos a los usuarios. c) Los usuarios deben contar con una identificación para su uso personal, de tal manera que las posibles responsabilidades puedan ser seguidas e identificadas. d) Controles especiales sobre utilidades del sistema y herramientas de auditoría. e) Seguimiento sobre el acceso y uso de los sistemas para detectar actividades no autorizadas. f) Controles especiales sobre usuarios remotos y computación móvil. 2. Seguridad de personal: a) Definición de roles y responsabilidades establecidos sobre la seguridad de información. b) Verificación de antecedentes, de conformidad con la legislación laboral vigente. c) Concientización y entrenamiento. d) Procesos disciplinarios en caso de incumplimiento de las políticas de seguridad de la información. e) Procedimientos definidos en caso de cese del personal, que incluyan aspectos como la revocación de los derechos de acceso y la devolución de activos. 3. Seguridad física y ambiental: a) Controles para evitar el acceso físico no autorizado, daños o interferencias a los locales y a la información de la Entidad. b) Controles para prevenir pérdidas, daños o robos de los activos, incluyendo la protección de los equipos frente a amenazas físicas y ambientales. 4. Inventario de activos y clasificación de la información: a) Realizar y mantener un inventario de activos asociados a la tecnología de información y asignar responsabilidades respecto a la protección de estos activos. b) Realizar una clasificación de la información, que debe indicar el nivel de riesgo existente para la Entidad, así como las medidas apropiadas de control que deben asociarse a las clasificaciones. 5. Administración comunicaciones: de las operaciones y
e) Monitoreo del servicio brindado por terceros. f) Administración de la capacidad de procesamiento. g) Controles preventivos y de detección sobre el uso de software de procedencia dudosa, virus y otros similares. h) Seguridad sobre las redes, medios de almacenamiento y documentación de sistemas. i) Seguridad sobre el intercambio de la información, incluido el correo electrónico. j) Seguridad sobre canales electrónicos. k) Mantenimiento de registros de auditoría y monitoreo del uso de los sistemas. 6. Adquisición, desarrollo y mantenimiento de sistemas informáticos: Para la administración de la seguridad en la adquisición, desarrollo y mantenimiento de sistemas informáticos, se debe tomar en cuenta, entre otros, los siguientes criterios: a) Incluir en el análisis de requerimientos para nuevos sistemas o mejoras a los sistemas actuales, controles sobre el ingreso de información, el procesamiento y la información de salida. b) Aplicar técnicas de encriptación sobre la información crítica que debe ser protegida. c) Definir controles sobre la implementación de aplicaciones antes del ingreso a producción. d) Controlar el acceso a las librerías de programas fuente. e) Mantener un estricto y formal control de cambios, que será debidamente apoyado por sistemas informáticos en el caso de ambientes complejos o con alto número de cambios. f) Controlar las vulnerabilidades técnicas existentes en los sistemas de la Entidad. 7. Procedimientos de respaldo: a) Procedimientos de respaldos regulares y validados con la periodicidad que determine la Entidad. Estos procedimientos deben incluir las medidas necesarias para asegurar que la información esencial pueda ser recuperada en caso de falla en los medios o luego de un desastre. Estas medidas serán coherentes con la estrategia de continuidad de negocios de la Entidad. b) Conservar la información de respaldo y los procedimientos de restauración en una ubicación, que evite exponerlos ante posibles eventos que comprometan la operación del centro principal de procesamiento. 8. Gestión de incidentes de seguridad de información: Para asegurar que los incidentes y vulnerabilidades de seguridad sean controlados de manera oportuna, la Entidad deberá considerar los siguientes aspectos: a) Procedimientos formales para el reporte de incidentes de seguridad de la información y las vulnerabilidades asociadas con los sistemas de información. b) Procedimientos establecidos para dar una respuesta adecuada a los incidentes y vulnerabilidades de seguridad reportadas. 9. Cumplimiento normativo: La Entidad deberá asegurar que los requerimientos legales, contractuales, o de regulación sean cumplidos, y cuando corresponda, incorporados en la lógica interna de las aplicaciones informáticas. 10. Privacidad de la información: La Entidad debe adoptar medidas que aseguren razonablemente la privacidad de la información que reciben de sus clientes y usuarios de servicios, conforme a la normatividad vigente sobre la materia. Artículo 12.- AUDITORÍA EXTERNA La Auditoría Externa deberá evaluar de manera independiente el cumplimiento de los procedimientos utilizados para la Gestión de Seguridad de la Información realizada por la Entidad.
a) Procedimientos documentados para la operación de los sistemas. b) Control sobre los cambios en el ambiente operativo, que incluye cambios en los sistemas de información, las instalaciones de procesamiento y los procedimientos. c) Separación de funciones para reducir el riesgo de error o fraude. d) Separación de los ambientes de desarrollo, pruebas y producción.