Circular ASFI 2013 193

---

CIRCULAR ASFI/193/2013
La Paz, 16 SET. 2013

Señores

Presente.-

REF:	MODIFICACIONES DEL REGLAMENTO DE REQUISITOS MÍNIMOS DE SEGURIDAD INFORMÁTICA PARA LA ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN Y TECNOLOGÍAS RELACIONADAS

Señores:

Para su aplicación y estricto cumplimiento, se adjunta a la presente la Resolución que aprueba y pone en vigencia las modificaciones al REGLAMENTO DE REQUISITOS MÍNIMOS DE SEGURIDAD INFORMÁTICA PARA LA ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN Y TECNOLOGÍAS RELACIONADAS las cuales consideran principalmente los siguientes aspectos:

1.	La denominación de "Reglamento de Requisitos Mínimos de Seguridad Informática Para la Administración de Sistemas de Información y Tecnologías Relacionadas" cambia por "Reglamento para la Gestión de Seguridad de la Información".
2.	Se modifica la denominación de la Sección 1 de “Marco General" por la de "Disposiciones Generales".
3.	Se elimina el Artículo 1º, Sección 1 referido a "Aspectos Generales" con la consiguiente modificación de la numeración de los artículos siguientes.
4.	Se modifica el objeto del Reglamento establecido en el Artículo 1º de la Sección 1, en cuanto a la gestión de seguridad de la información que deben cumplir las entidades supervisadas sujetas al ámbito de aplicación.
5.	Se mejora la redacción del Artículo 2º, Sección 1, señalando de manera inextensa las entidades supervisadas que se encuentran bajo el ámbito de aplicación del Reglamento.
6.	El artículo 3º, Sección 1, referido a "Definiciones" se reestructura, mediante la incorporación, modificación y eliminación de conceptos.
7.	En la Sección 1, se introduce el Artículo 4º relativo a los elementos de la seguridad de la información.
8.	Se sustituye el contenido y denominación de la Sección 2 de "Requisitos Mínimos de Seguridad Informática" por la de "Planificación Estratégica, Estructura y Organización de los Recursos de Tecnología de Información (TI)". En dicha Sección se incorpora disposiciones referidas a la planificación estratégica, estrategia de seguridad de la información, infraestructura del área de TI, estructura organizativa. Comité de Tecnología de la Información, Comité Operativo de TI y responsable de la función de seguridad de la información.
9.	La Sección 3 referida a "Contrato con Proveedores de Tecnologías de Información" es reemplazada con disposiciones relativas a la "Administración de la Seguridad de la Información". Los artículos introducidos se refieren a la implementación del análisis de riesgo tecnológico, políticas de seguridad de la información, licencia de software, acuerdo de confiabilidad, inventario de activos de información, clasificación de la información, propietarios de la información, análisis de vulnerabilidades técnicas, clasificación de áreas de tecnología de la información, características del centro de procesamiento de datos, manuales de procedimientos, protección de equipos informáticos, suministro eléctrico, seguridad de cableado de red, pruebas a dispositivos de seguridad, destrucción controlada de medios de respaldo y responsabilidad en la gestión de seguridad de la información.
10.	Se modifica la denominación y contenido de la Sección 4 "Transferencias y Transacciones Electrónicas", por la de "Administración del Control de Accesos" cuyas disposiciones se refieren a: administración de cuentas de usuarios, administración de privilegios, administración de contraseñas de usuarios y a los registros de seguridad y pistas de auditoría.
11.	Las disposiciones transitorias contenidas en la Sección 5, se sustituyen con las relativas a "Desarrollo, Mantenimiento e Implementación de Sistemas de Información" que abarcan las políticas y procedimientos, desarrollo y mantenimiento de programas, sistemas o aplicaciones informáticas, requisitos de seguridad de los sistemas, estándares para el procesos de ingeniería del software, implementación de controles, integridad y validez de la información, controles criptográficos, control de accesos al código fuente de programas, procedimientos de control de cambios, ambientes de desarrollo, prueba y producción, datos de prueba en ambientes de desarrollo, migración de sistemas de información y parches de seguridad.
12.	Se introduce la Sección 6, referida a la "Gestión de Operaciones de Tecnología de Información", cuyas disposiciones se refieren a la gestión de operaciones, administración de bases de datos, respaldo o copia de seguridad y al mantenimiento preventivo de los recursos tecnológicos.
13.	Se adiciona la Sección 7 denominada "Gestión en Redes y Comunicaciones" cuyo articulado se refiere a la implementación de políticas y procedimientos, estudio de capacidad y desempeño, exclusividad del área de telecomunicaciones, activos de información componentes de la red, configuración de hardware y software y la documentación técnica.
14.	Se incluye la Sección 8 "Gestión de Seguridad en Transferencias y Transacciones Electrónicas", cuyas disposiciones se refieren a requisitos de los sistemas de transferencia y transacción electrónica, contrato formal y cifrado de mensajes y archivos.
15.	Se incorpora la Sección 9 referida a la "Gestión de Incidentes de Seguridad de la Información", con un artículo único.
16.	Se añade la Sección 10 relativa a la "Continuidad del Negocio" con disposiciones referidas al Plan de Contingencias Tecnológicas, Plan de Continuidad del Negocio y la capacitación para su aplicación, realización de pruebas, y control de dichos planes, así como el establecimiento del centro de procesamiento de datos alterno.
17.	Se agrega la Sección 11 "Administración de Servicios y Contratos con Terceros Relacionados con Tecnología de la Información", cuyas disposiciones se refieren a la administración de servicios y contratos con terceros, evaluación y selección de proveedores, procesamiento de datos o ejecución de sistemas en lugar externo, contrato con proveedor de procesamiento externo, adquisición de sistemas de información, desarrollo y mantenimiento de programas, sistemas o aplicaciones a través de proveedores externos, contrato con empresas encargadas del desarrollo y mantenimiento de programas, sistemas o aplicaciones, otros servicios y acuerdo de nivel de servicio (SLA).
18.	Se inserta la Sección 12 "Rol de la Auditoría Interna", con un artículo único, relativo a las funciones que debe cumplir la Unidad de Auditoría Interna.
19.	Se introduce la Sección 13 relativa a "Otras Disposiciones" relacionadas con la responsabilidad en cuanto al cumplimiento y difusión del Reglamento, normas y estándares internacionales aplicables, herramientas informáticas, así como las sanciones derivadas de su incumplimiento e inobservancia.
20.	Se incorpora la Sección 14 "Disposiciones Transitorias", en la cual se establece el plazo de adecuación y cronograma para dar cumplimiento a lo dispuesto en el Reglamento.

El Reglamento para la Gestión de Seguridad de la Información, será incorporado en el Libro 3º, Titulo VII, Capítulo II, de la Recopilación de Normas para Bancos y Entidades Financieras.

Atentamente,

Lenny T. Valdivia Bautista
DIRECTORA EJECUTIVA a.i.
Autoridad de Supervisión del Sistema Financiero

---