Sgsi
Páginas: 13 (3171 palabras)
Publicado: 17 de agosto de 2012
Lima, 02 de abril de 2009
CIRCULAR Nº G- 140 -2009
---------------------------------------------------------
Ref.: Gestión de la seguridad de la información
---------------------------------------------------------
Señor Gerente General Sírvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del artículo 349º de la Ley General del Sistema Financiero y del Sistemade Seguros y Orgánica de la Superintendencia de Banca y Seguros - Ley Nº 26702 y sus modificatorias en adelante Ley General, y por el inciso d) del artículo 57° del Texto Único Ordenado de la Ley del Sistema Privado de Administración de Fondos de Pensiones, aprobado por Decreto Supremo N° 054-97-EF, con la finalidad de establecer criterios mínimos para una adecuada gestión de la seguridad de lainformación, esta Superintendencia ha considerado conveniente establecer las siguientes disposiciones, las cuales toman como referencia estándares internacionales como el ISO 17799 e ISO 27001, disponiéndose su publicación en virtud de lo señalado en el Decreto Supremo N° 001-2009-JUS: Alcance Artículo 1º.- La presente Circular será de aplicación a las empresas señaladas en los artículos 16° y 17°de la Ley General, así como a las Administradoras Privadas de Fondos de Pensiones (AFP), en adelante empresas. También será de aplicación a las Cajas Municipales de Ahorro y Crédito (CMAC), la Caja Municipal de Crédito Popular, el Fondo de Garantía para Préstamos a la Pequeña Industria (FOGAPI), el Banco de la Nación, el Banco Agropecuario, la Corporación Financiera de Desarrollo (COFIDE), elFondo MIVIVIENDA S.A., y las Derramas y Cajas de Beneficios bajo control de la Superintendencia, la Federación Peruana de Cajas Municipales de Ahorro y Crédito (FEPCMAC) y el Fondo de Cajas Municipales de Ahorro y Crédito (FOCMAC), en tanto no se contrapongan con las normativas específicas que regulen el accionar de estas empresas. Definiciones Artículo 2º.- Para efectos de la presente norma, serán deaplicación las siguientes definiciones: a. Evento: Un suceso o serie de sucesos que pueden ser internos o externos a la empresa, originados por la misma causa, que ocurren durante el mismo periodo de tiempo. b. Factor de autenticación: Información utilizada para verificar la identidad de una persona. Pueden clasificarse de la siguiente manera: Algo que el usuario conoce (por ejemplo: una clavede identificación) Algo que el usuario posee (por ejemplo: una tarjeta) Algo que el usuario es (por ejemplo: características biométricas)
c.
Incidente de seguridad de información: Evento asociado a una posible falla en la política de seguridad, una falla en los controles, o una situación previamente desconocida relevante para la seguridad, que tiene una probabilidad significativa decomprometer las operaciones del negocio y amenazar la seguridad de la información.
d. Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada. e. Ley General: Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros - Ley N° 26702 y susmodificatorias. f. Seguridad de la información: Característica de la información que se logra mediante la adecuada combinación de políticas, procedimientos, estructura organizacional y herramientas informáticas especializadas a efectos que dicha información cumpla los criterios de confidencialidad, integridad y disponibilidad, definidos de la siguiente manera: I. Confidencialidad: La información debe seraccesible sólo a aquellos que se encuentren debidamente autorizados. II. Integridad: La información debe ser completa, exacta y válida. III. Disponibilidad: La información debe estar disponible en forma organizada para los usuarios autorizados cuando sea requerida. g. Subcontratación: Modalidad de gestión mediante la cual una empresa contrata a un tercero para que éste desarrolle un proceso que...
CIRCULAR Nº G- 140 -2009
---------------------------------------------------------
Ref.: Gestión de la seguridad de la información
---------------------------------------------------------
Señor Gerente General Sírvase tomar nota que, en uso de las atribuciones conferidas por el numeral 7 del artículo 349º de la Ley General del Sistema Financiero y del Sistemade Seguros y Orgánica de la Superintendencia de Banca y Seguros - Ley Nº 26702 y sus modificatorias en adelante Ley General, y por el inciso d) del artículo 57° del Texto Único Ordenado de la Ley del Sistema Privado de Administración de Fondos de Pensiones, aprobado por Decreto Supremo N° 054-97-EF, con la finalidad de establecer criterios mínimos para una adecuada gestión de la seguridad de lainformación, esta Superintendencia ha considerado conveniente establecer las siguientes disposiciones, las cuales toman como referencia estándares internacionales como el ISO 17799 e ISO 27001, disponiéndose su publicación en virtud de lo señalado en el Decreto Supremo N° 001-2009-JUS: Alcance Artículo 1º.- La presente Circular será de aplicación a las empresas señaladas en los artículos 16° y 17°de la Ley General, así como a las Administradoras Privadas de Fondos de Pensiones (AFP), en adelante empresas. También será de aplicación a las Cajas Municipales de Ahorro y Crédito (CMAC), la Caja Municipal de Crédito Popular, el Fondo de Garantía para Préstamos a la Pequeña Industria (FOGAPI), el Banco de la Nación, el Banco Agropecuario, la Corporación Financiera de Desarrollo (COFIDE), elFondo MIVIVIENDA S.A., y las Derramas y Cajas de Beneficios bajo control de la Superintendencia, la Federación Peruana de Cajas Municipales de Ahorro y Crédito (FEPCMAC) y el Fondo de Cajas Municipales de Ahorro y Crédito (FOCMAC), en tanto no se contrapongan con las normativas específicas que regulen el accionar de estas empresas. Definiciones Artículo 2º.- Para efectos de la presente norma, serán deaplicación las siguientes definiciones: a. Evento: Un suceso o serie de sucesos que pueden ser internos o externos a la empresa, originados por la misma causa, que ocurren durante el mismo periodo de tiempo. b. Factor de autenticación: Información utilizada para verificar la identidad de una persona. Pueden clasificarse de la siguiente manera: Algo que el usuario conoce (por ejemplo: una clavede identificación) Algo que el usuario posee (por ejemplo: una tarjeta) Algo que el usuario es (por ejemplo: características biométricas)
c.
Incidente de seguridad de información: Evento asociado a una posible falla en la política de seguridad, una falla en los controles, o una situación previamente desconocida relevante para la seguridad, que tiene una probabilidad significativa decomprometer las operaciones del negocio y amenazar la seguridad de la información.
d. Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada. e. Ley General: Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros - Ley N° 26702 y susmodificatorias. f. Seguridad de la información: Característica de la información que se logra mediante la adecuada combinación de políticas, procedimientos, estructura organizacional y herramientas informáticas especializadas a efectos que dicha información cumpla los criterios de confidencialidad, integridad y disponibilidad, definidos de la siguiente manera: I. Confidencialidad: La información debe seraccesible sólo a aquellos que se encuentren debidamente autorizados. II. Integridad: La información debe ser completa, exacta y válida. III. Disponibilidad: La información debe estar disponible en forma organizada para los usuarios autorizados cuando sea requerida. g. Subcontratación: Modalidad de gestión mediante la cual una empresa contrata a un tercero para que éste desarrolle un proceso que...
Leer documento completo
Regístrate para leer el documento completo.