TEXTO PAGINA: 29
29 NORMAS LEGALES Viernes 19 de febrero de 2021 El Peruano / reconocidos en materia de gestión de riesgos, gestión de incidentes, seguridad digital, ciberseguridad y seguridad de la información en ausencia de normas o especi fi caciones técnicas nacionales vigentes. CAPÍTULO III EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL Artículo 104. Equipo de Respuestas ante Incidentes de Seguridad Digital 104.1 Un Equipo de Respuestas ante Incidentes de Seguridad Digital es aquel equipo responsable de la gestión de incidentes de seguridad digital que afectan los activos de una entidad pública o una red de con fi anza. Su implementación y conformación se realiza en base a las disposiciones que determine la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros. 104.2 Las entidades de la Administración pública conforman un Equipo de Respuestas ante Incidentes de Seguridad Digital de carácter institucional. Dichos Equipos forman parte de los órganos o unidades orgánicas de Tecnologías de la Información de la entidad o de la unidad de organización especializada en seguridad de la información o similar prevista en su estructura orgánica o funcional. Su conformación es comunicada a la Secretaría de Gobierno Digital mediante los mecanismos dispuestos para tal fi n. 104.3 La Secretaría de Gobierno Digital, en su calidad de ente rector de la seguridad digital en el país, emite opinión técnica especializada a pedido de una entidad a fi n de revisar o validar aspectos técnicos sobre la conformación de un Equipo de Respuesta ante incidentes de Seguridad Digital, conforme a lo establecido en el presente Reglamento y normas complementarias. 104.4 La red de con fi anza es el conjunto de entidades públicas e interesados que articulan acciones para el intercambio de información sobre incidentes de seguridad digital, vulnerabilidades, amenazas, medidas de mitigación, herramientas, mejores prácticas o similares en materia de seguridad digital. Se conforman en función de un sector, territorio o para atender un objetivo especí fi co. 104.5 Las entidades públicas pueden conformar una red de con fi anza en base a las disposiciones establecidas por la Secretaría de Gobierno Digital. Asimismo, la Secretaría de Gobierno Digital en función de los objetivos nacionales, políticas de estado o aspectos estratégicos promueve la conformación de redes de con fi anza. Artículo 105. Obligaciones de las entidades en Seguridad Digital Las entidades públicas tienen, como mínimo, las siguientes obligaciones: a) Implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI). b) Comunicar al Centro Nacional de Seguridad Digital los incidentes de seguridad digital atendiendo lo establecido en el artículo 107 del presente Reglamento. c) Adoptar medidas para la gestión de riesgos e incidentes de seguridad digital que afecten a los activos de la entidad. d) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes de seguridad digital en su entidad y red de con fi anza. e) Asegurar acciones de investigación y cooperación efectiva, e fi ciente y segura con el Centro Nacional de Seguridad Digital. f) Proveer los recursos y medidas necesarias para asegurar la efectiva gestión de incidentes de seguridad digital. g) Requerir a sus proveedores de desarrollo de software el cumplimiento de estándares, normas técnicas y mejores prácticas de seguridad ampliamente reconocidos. Artículo 106. Criterios para determinar el impacto signi fi cativo de un incidente Para determinar el impacto signi fi cativo de un incidente de seguridad digital se consideran, como mínimo, los siguientes criterios:a) Perjuicio a la reputación. b) Pérdida u obligación fi nanciera. c) Interrupción de las operaciones, procesos o actividades de la entidad. d) Divulgación no autorizada de datos personales o información reservada, secreta o con fi dencial. e) Daños personales (físico, psicológico o emocional). Artículo 107. Comunicación de un incidente La comunicación de un incidente de seguridad digital se realiza conforme a lo establecido en el Decreto de Urgencia Nº 007-2020, Decreto de Urgencia que aprueba el Marco de Con fi anza Digital y dispone medidas para su fortalecimiento, su Reglamento y normas complementarias. Artículo 108. Incidentes de Seguridad Digital relativos a Datos Personales Las entidades públicas comunican y colaboran con la Autoridad Nacional de Protección de Datos Personales ante la identi fi cación de incidentes de seguridad digital que hayan afectado los datos personales, comunicándose en un plazo máximo de 48 horas, a partir de la toma de conocimiento de la brecha de seguridad. CAPÍTULO IV SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Artículo 109. Sistema de Gestión de Seguridad de la Información 109.1 El Sistema de Gestión de Seguridad de la Información (SGSI) comprende el conjunto de políticas, lineamientos, procedimientos, recursos y actividades asociadas, que gestiona una entidad con el propósito de proteger sus activos de información, de manera independiente del soporte en que estos se encuentren. Asimismo, contempla la gestión de riesgos e incidentes de seguridad de la información y seguridad digital, la implementación efectiva de medidas de ciberseguridad, y acciones de colaboración y cooperación. 109.2 El diseño, implementación, operación y mejora del SGSI atiende a las necesidades de todas las partes interesadas de la entidad; asimismo, responde a los objetivos estratégicos, estructura, tamaño, procesos y servicios de la entidad. El SGSI comprende al Equipo de Respuesta ante Incidentes de Seguridad Digital. 109.3 Las entidades de la Administración Pública implementan un SGSI en su institución, teniendo como alcance mínimo sus procesos misionales y aquellos que son relevantes para su operación. 109.4 Se gestiona la implementación de controles y medidas de seguridad a nivel organizacional, técnico y legal, basadas en riesgos, a fi n de garantizar la disponibilidad, integridad y con fi dencialidad de los datos personales que sean tratados, procesados, almacenados y compartidos a una entidad, así como en cualquier otra forma de actividad que facilite el acceso o intercambio de datos. Artículo 110. Gestión de Riesgos de Seguridad Digital Las entidades de la Administración Pública gestionan sus riesgos de seguridad digital, conforme a lo establecido en el Decreto de Urgencia Nº 007-2020, Decreto de Urgencia que aprueba el Marco de Con fi anza Digital y dispone medidas para su fortalecimiento y sus normas reglamentarias. Artículo 111. Roles para la Seguridad de la Información 111.1 El titular de la entidad es responsable de la implementación del SGSI. 111.2 El Comité de Gobierno Digital es responsable de dirigir, mantener y supervisar el SGSI de la entidad. 111.3 El O fi cial de Seguridad Digital es el rol responsable de coordinar la implementación y mantenimiento del SGSI en la entidad, atendiendo las normas en materia de seguridad digital, con fi anza digital y gobierno digital.