Transcription of TÍTULO I - ASFI
1 AUTORIDAD DE SUPERVISI N DEL SISTEMA FINANCIERO RECOPILACI N DE NORMAS PARA EL MERCADO DE VALORES T tulo I * 1T TULO I REQUISITOS DE SEGURIDAD TABLA DE CONTENIDO Cap tulo I: reglamento PARA LA GESTI N DE SEGURIDAD DE LA INFORMACI N Secci n 1: Disposiciones generales Secci n 2: Planificaci n estrat gica, estructura y organizaci n de los recursos de tecnolog a de la informaci n Secci n 3: Administraci n de la seguridad de la informaci n Secci n 4: Administraci n del control de accesos Secci n 5: Desarrollo, mantenimiento e implementaci n de sistemas de informaci n Secci n 6: Gesti n de operaciones de tecnolog a de informaci n Secci n 7: Gesti n de seguridad en redes y telecomunicaciones Secci n 8: Gesti n de seguridad en transferencias y transacciones electr nicas Secci n 9: Gesti n de incidentes de seguridad de la informaci n Secci n 10: Continuidad del negocio Secci n 11: Administraci n de servicios y contratos con terceros relacionados con tecnolog a de la informaci n Secci n 12: Rol de la auditor a interna Secci n 13: Otras disposiciones Secci n 14: Disposiciones transitorias AUTORIDAD DE SUPERVISI N DEL SISTEMA FINANCIERO RECOPILACI N DE NORMAS PARA EL MERCADO DE VALORES Libro 11 T tulo I Cap tulo I Secci n 1 P gina 1/5 CAP TULO I: reglamento PARA LA GESTI N DE SEGURIDAD DE LA INFORMACI N SECCI N 1.
2 DISPOSICIONES GENERALES Art culo 1 - (Objeto) El presente reglamento tiene por objeto establecer los requisitos m nimos que las entidades supervisadas inscritas en el Registro del Mercado de Valores (RMV), deben cumplir para la gesti n de seguridad de la informaci n, de acuerdo a su naturaleza, tama o y complejidad de operaciones. Art culo 2 - ( mbito de aplicaci n) Est n comprendidas en el mbito de aplicaci n del presente reglamento , las Agencias de Bolsa, Sociedades Administradoras de Fondos de Inversi n, Entidades de Dep sito de Valores, Bolsas de Valores, Sociedades de Titularizaci n y Calificadoras de Riesgo constituidas en Bolivia, inscritas en el Registro del Mercado de Valores, que cuenten con autorizaci n de funcionamiento emitida por la Autoridad de Supervisi n del Sistema Financiero (ASFI), denominadas en adelante como entidades supervisadas.
3 Art culo 3 - (Definiciones) Para efectos del presente reglamento , se utilizar n las siguientes definiciones: a. Activo de informaci n: En seguridad de la informaci n, corresponde a aquellos datos, informaci n, sistemas y elementos relacionados con la tecnolog a de la informaci n, que tienen valor para la entidad supervisada; b. Acuerdo de nivel de servicio (SLA: Service Level Agreement ): Contrato en el que se estipulan las condiciones de un servicio en funci n a par metros objetivos, establecidos de mutuo acuerdo entre un proveedor de servicio y la entidad supervisada; c. An lisis y evaluaci n de r iesgos en seguridad de la Informaci n: Proceso por el cual se identifican los activos de informaci n, las amenazas y vulnerabilidades a las que se encuentran expuestos, con el fin de generar controles que minimicen los efectos de los posibles incidentes de seguridad de la informaci n; d.
4 Rea de exclusi n: rea de acceso restringido identificada en las instalaciones de la entidad supervisada; e. Cajeros autom ticos: M quinas equipadas con dispositivos electr nicos o electromec nicos que permiten a los usuarios de servicios financieros realizar compras y/o rescate de cuotas en efectivo, consultas de saldos, transferencias de fondos entre cuentas o pagos de servicios, mediante el uso de un Instrumento Electr nico de Pago (IEP). Los cajeros autom ticos son tambi n conocidos por su sigla en ingl s: ATM (Automated Teller Machine); f. Centro de procesamiento de datos (CPD): Ambiente f sico clasificado como rea de exclusi n, donde est n ubicados los recursos utilizados para el procesamiento de informaci n; AUTORIDAD DE SUPERVISI N DEL SISTEMA FINANCIERO RECOPILACI N DE NORMAS PARA EL MERCADO DE VALORES Libro 11 T tulo I Cap tulo I Secci n 1 P gina 2/5 g.
5 Centro de procesamiento de datos alterno: Lugar alternativo provisto de equipos computacionales, equipos de comunicaci n, estaciones de trabajo, enlaces de comunicaciones, fuentes de energ a y accesos seguros que se encuentran instalados en una ubicaci n geogr fica distinta al Centro de Procesamiento de Datos; h. Cifrar: Proceso mediante el cual la informaci n o archivos es alterada, en forma l gica, incluyendo claves en el origen y en el destino, con el objetivo de evitar que personas no autorizadas puedan interpretarla al verla, copiarla o utilizarla para actividades no permitidas; i. Contrase a o clave de acceso (Password): Conjunto de caracteres que una persona debe registrar para ser reconocida como usuario autorizado, para acceder a los recursos de un equipo computacional o red; j.
6 Cortafuegos (Firewall): Dispositivo o conjunto de dispositivos (software y/o hardware) configurados para permitir, limitar, cifrar, descifrar el tr fico entre los diferentes mbitos de un sistema, red o redes, sobre la base de un conjunto de normas y otros criterios, de manera que s lo el tr fico autorizado, definido por la pol tica local de seguridad, sea permitido; k. Equipo cr tico: Equipo de procesamiento de datos que soporta las principales operaciones de la entidad supervisada; l. Hardware: Conjunto de todos los componentes f sicos y tangibles de un computador o equipo electr nico; m. Incidente de seguridad de la informaci n: Suceso o serie de sucesos inesperados, que tienen una probabilidad significativa de comprometer las operaciones de la entidad supervisada, amenazar la seguridad de la informaci n y/o los recursos tecnol gicos; n.
7 Internet: Red de redes de alcance mundial que opera bajo est ndares y protocolos internacionales; o. Intranet: Red interna de computadoras que haciendo uso de tecnolog a de Internet, permite compartir informaci n o programas; p. Infraestructura de tecnolog a de la informaci n: Es el conjunto de hardware, software, redes de comunicaci n, multimedia y otros, as como el sitio y ambiente que los soporta, que es establecido para el procesamiento de las aplicaciones; q. Medios de acceso a la informaci n: Son equipos servidores, computadores personales, tel fonos inteligentes, terminales tipo cajero autom tico, las redes de comunicaci n, Intranet, Internet y telefon a; r. Plan de contingencias tecnol gicas: Documento que contempla un conjunto de procedimientos y acciones que deben entrar en funcionamiento al ocurrir un evento que da e parte o la totalidad de los recursos tecnol gicos de la entidad supervisada; s.
8 Plan de continuidad del negocio (BCP: Business Continuity Planning): Documento que contempla la log stica que debe seguir la entidad supervisada a objeto de restaurar los AUTORIDAD DE SUPERVISI N DEL SISTEMA FINANCIERO RECOPILACI N DE NORMAS PARA EL MERCADO DE VALORES Libro 11 T tulo I Cap tulo I Secci n 1 P gina 3/5 servicios y aplicaciones cr ticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado, despu s de una interrupci n o desastre; t. Principio de menor privilegio: Establece que cada programa y cada usuario del sistema de informaci n debe operar utilizando los privilegios estrictamente necesarios para completar el trabajo; u. Proceso cr tico: Proceso o sistema de informaci n que al dejar de funcionar, afecta la continuidad operativa de la entidad supervisada; v. Procedimiento de enmascaramiento de datos: Mecanismo que modifica los datos de un determinado sistema en ambientes de desarrollo y pruebas, con el fin de garantizar la confidencialidad de la informaci n del ambiente de producci n; w.
9 Procesamiento de datos o ejecuci n de sistemas en lugar externo: Procesos inform ticos que soportan las operaciones financieras y administrativas de la Entidad Supervisada que incluyen: el procesamiento de tarjetas electr nicas, servicios de pago m vil, custodia electr nica de valores desmaterializados en Entidades de Dep sito de Valores, alojamiento de sitios web o de correo electr nico institucional en servidores administrados externamente, el hospedaje f sico de servidores utilizados por la entidad en ambientes ajenos y otros procesos similares; x. Propietario de la informaci n: Es el responsable formalmente designado para controlar la producci n, desarrollo, mantenimiento, uso y seguridad de los activos de informaci n; y. Protecci n f sica y ambiental: Conjunto de acciones y recursos implementados para proteger y permitir el adecuado funcionamiento de los equipos e instalaciones del Centro de Procesamiento de Datos y del Centro de Procesamiento de Datos Alterno, dada su condici n de reas de exclusi n; z.
10 Pruebas de intrusi n: Son pruebas controladas que permiten identificar posibles debilidades de los recursos tecnol gicos de la entidad supervisada, que un intruso podr a llegar a explotar para obtener el control de sus sistemas de informaci n, redes de computadoras, aplicaciones web, bases de datos, servidores y/o dispositivos de red. Las pruebas de intrusi n pueden ser realizadas a trav s de la red interna, desde Internet, a ccesos remotos o cualquier otro medio; aa. Respaldo o copia de seguridad (Backup): Copia de informaci n almacenada en un medio digital, que se genera en forma peri dica, con el prop sito de utilizar dicha informaci n, en casos de emergencia o contingencia; bb. Seguridad de la informaci n: Conjunto de medidas y recursos destinados a resguardar y proteger la informaci n, buscando mantener la confidencialidad, confiabilidad, disponibilidad e integridad de la misma; cc.
