Dkmll
Páginas: 13 (3237 palabras)
Publicado: 6 de mayo de 2015
Lima, 02 de abril de 2009
CIRCULAR Nº G- 140 -2009
---------------------------------------------------------
Ref.: Gestión de la seguridad de la
información
---------------------------------------------------------
Señor
Gerente General
Sírvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del artículo 349º de la
Ley General del Sistema Financiero y del Sistema deSeguros y Orgánica de la Superintendencia de
Banca y Seguros - Ley Nº 26702 y sus modificatorias en adelante Ley General, y por el inciso d) del
artículo 57° del Texto Único Ordenado de la Ley del Sistema Privado de Administración de Fondos de
Pensiones, aprobado por Decreto Supremo N° 054-97-EF, con la finalidad de establecer criterios
mínimos para una adecuada gestión de la seguridad de lainformación, esta Superintendencia ha
considerado conveniente establecer las siguientes disposiciones, las cuales toman como referencia
estándares internacionales como el ISO 17799 e ISO 27001, disponiéndose su publicación en virtud
de lo señalado en el Decreto Supremo N° 001-2009-JUS:
Alcance
Artículo 1º.- La presente Circular será de aplicación a las empresas señaladas en los artículos 16° y
17° de la LeyGeneral, así como a las Administradoras Privadas de Fondos de Pensiones (AFP), en
adelante empresas.
También será de aplicación a las Cajas Municipales de Ahorro y Crédito (CMAC), la Caja Municipal
de Crédito Popular, el Fondo de Garantía para Préstamos a la Pequeña Industria (FOGAPI), el Banco
de la Nación, el Banco Agropecuario, la Corporación Financiera de Desarrollo (COFIDE), el FondoMIVIVIENDA S.A., y las Derramas y Cajas de Beneficios bajo control de la Superintendencia, la
Federación Peruana de Cajas Municipales de Ahorro y Crédito (FEPCMAC) y el Fondo de Cajas
Municipales de Ahorro y Crédito (FOCMAC), en tanto no se contrapongan con las normativas
específicas que regulen el accionar de estas empresas.
Definiciones
Artículo 2º.- Para efectos de la presente norma, serán deaplicación las siguientes definiciones:
a. Evento: Un suceso o serie de sucesos que pueden ser internos o externos a la empresa,
originados por la misma causa, que ocurren durante el mismo periodo de tiempo.
b. Factor de autenticación: Información utilizada para verificar la identidad de una persona.
Pueden clasificarse de la siguiente manera:
Algo que el usuario conoce (por ejemplo: una clave deidentificación)
Algo que el usuario posee (por ejemplo: una tarjeta)
Algo que el usuario es (por ejemplo: características biométricas)
c. Incidente de seguridad de información: Evento asociado a una posible falla en la política de
seguridad, una falla en los controles, o una situación previamente desconocida relevante
para la seguridad, que tiene una probabilidad significativa de comprometer lasoperaciones
del negocio y amenazar la seguridad de la información.
d. Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios,
susceptible de ser procesada, distribuida y almacenada.1
e. Ley General: Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la
Superintendencia de Banca y Seguros - Ley N° 26702 y sus modificatorias.
f.
Seguridad de lainformación: Característica de la información que se logra mediante la
adecuada combinación de políticas, procedimientos, estructura organizacional y
herramientas informáticas especializadas a efectos que dicha información cumpla los
criterios de confidencialidad, integridad y disponibilidad, definidos de la siguiente manera:
I. Confidencialidad: La información debe ser accesible sólo a aquellos quese
encuentren debidamente autorizados.
II. Integridad: La información debe ser completa, exacta y válida.
III. Disponibilidad: La información debe estar disponible en forma organizada para los
usuarios autorizados cuando sea requerida.
g. Subcontratación: Modalidad de gestión mediante la cual una empresa contrata a un tercero
para que éste desarrolle un proceso que podría ser realizado por la...
CIRCULAR Nº G- 140 -2009
---------------------------------------------------------
Ref.: Gestión de la seguridad de la
información
---------------------------------------------------------
Señor
Gerente General
Sírvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del artículo 349º de la
Ley General del Sistema Financiero y del Sistema deSeguros y Orgánica de la Superintendencia de
Banca y Seguros - Ley Nº 26702 y sus modificatorias en adelante Ley General, y por el inciso d) del
artículo 57° del Texto Único Ordenado de la Ley del Sistema Privado de Administración de Fondos de
Pensiones, aprobado por Decreto Supremo N° 054-97-EF, con la finalidad de establecer criterios
mínimos para una adecuada gestión de la seguridad de lainformación, esta Superintendencia ha
considerado conveniente establecer las siguientes disposiciones, las cuales toman como referencia
estándares internacionales como el ISO 17799 e ISO 27001, disponiéndose su publicación en virtud
de lo señalado en el Decreto Supremo N° 001-2009-JUS:
Alcance
Artículo 1º.- La presente Circular será de aplicación a las empresas señaladas en los artículos 16° y
17° de la LeyGeneral, así como a las Administradoras Privadas de Fondos de Pensiones (AFP), en
adelante empresas.
También será de aplicación a las Cajas Municipales de Ahorro y Crédito (CMAC), la Caja Municipal
de Crédito Popular, el Fondo de Garantía para Préstamos a la Pequeña Industria (FOGAPI), el Banco
de la Nación, el Banco Agropecuario, la Corporación Financiera de Desarrollo (COFIDE), el FondoMIVIVIENDA S.A., y las Derramas y Cajas de Beneficios bajo control de la Superintendencia, la
Federación Peruana de Cajas Municipales de Ahorro y Crédito (FEPCMAC) y el Fondo de Cajas
Municipales de Ahorro y Crédito (FOCMAC), en tanto no se contrapongan con las normativas
específicas que regulen el accionar de estas empresas.
Definiciones
Artículo 2º.- Para efectos de la presente norma, serán deaplicación las siguientes definiciones:
a. Evento: Un suceso o serie de sucesos que pueden ser internos o externos a la empresa,
originados por la misma causa, que ocurren durante el mismo periodo de tiempo.
b. Factor de autenticación: Información utilizada para verificar la identidad de una persona.
Pueden clasificarse de la siguiente manera:
Algo que el usuario conoce (por ejemplo: una clave deidentificación)
Algo que el usuario posee (por ejemplo: una tarjeta)
Algo que el usuario es (por ejemplo: características biométricas)
c. Incidente de seguridad de información: Evento asociado a una posible falla en la política de
seguridad, una falla en los controles, o una situación previamente desconocida relevante
para la seguridad, que tiene una probabilidad significativa de comprometer lasoperaciones
del negocio y amenazar la seguridad de la información.
d. Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios,
susceptible de ser procesada, distribuida y almacenada.1
e. Ley General: Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la
Superintendencia de Banca y Seguros - Ley N° 26702 y sus modificatorias.
f.
Seguridad de lainformación: Característica de la información que se logra mediante la
adecuada combinación de políticas, procedimientos, estructura organizacional y
herramientas informáticas especializadas a efectos que dicha información cumpla los
criterios de confidencialidad, integridad y disponibilidad, definidos de la siguiente manera:
I. Confidencialidad: La información debe ser accesible sólo a aquellos quese
encuentren debidamente autorizados.
II. Integridad: La información debe ser completa, exacta y válida.
III. Disponibilidad: La información debe estar disponible en forma organizada para los
usuarios autorizados cuando sea requerida.
g. Subcontratación: Modalidad de gestión mediante la cual una empresa contrata a un tercero
para que éste desarrolle un proceso que podría ser realizado por la...
Leer documento completo
Regístrate para leer el documento completo.