Resolución General 704-E. Normas (N.T. 2013 y mod.). Modificación.
| Fecha de disposición | 29 Agosto 2017 |
| Fecha de publicación | 29 Agosto 2017 |
| Sección | Resoluciones Generales |
COMISIÓN NACIONAL DE VALORES
Resolución General 704-E/2017
Normas (N.T. 2013 y mod.). Modificación.
Ciudad de Buenos Aires, 24/08/2017
VISTO el Expediente Nº 1657/2017 caratulado "PROYECTO DE RG S/ CIBERSEGURIDAD Y RESILIENCIA CIBERNÉTICA" del registro de la COMISIÓN NACIONAL DE VALORES, lo dictaminado por la Gerencia de Servicios Centrales, la Subgerencia de Verificaciones de Agentes y Mercados, la Subgerencia de Agentes y Calificadoras de Riesgo, la Gerencia de Agentes y Mercados, la Gerencia General de Mercados, la Subgerencia de Asesoramiento Legal, la Gerencia de Asuntos Jurídicos y la Gerencia General de Asuntos Jurídicos, y
CONSIDERANDO:
Que de acuerdo a las atribuciones otorgadas por el artículo 19 inciso g) de la Ley Nº 26.831, la COMISIÓN NACIONAL DE VALORES se encuentra facultada para dictar las normas a las cuales deben ajustarse los Mercados, los Agentes registrados y las demás personas físicas y/o jurídicas que por sus actividades vinculadas al Mercado de Capitales, y a criterio de la Comisión Nacional de Valores queden comprendidas bajo su competencia.
Que resulta conveniente adoptar estándares internacionales con respecto a la seguridad informática y atender a las recomendaciones de la ORGANIZACIÓN INTERNACIONAL DE COMISIONES DE VALORES (IOSCO, por sus siglas en inglés) sobre los principios de ciberseguridad y resiliencia cibernética.
Que el Comité de Sistemas de Pago y Liquidación (CPSS) del Banco de Pagos Internacionales (BIS) y el Comité Técnico de IOSCO establecen a través de los "Principios Básicos para Infraestructuras de Mercado Financiero" que las "Infraestructuras de Mercado Financiero" cumplen un rol crítico en el sistema financiero y en la economía en general.
Que los principios mencionados enumeran las principales categorías de riesgos identificados y proporcionan orientación a las "Infraestructuras de Mercado Financiero" y a las autoridades competentes sobre la identificación, monitoreo, mitigación y administración de estos riesgos.
Que asimismo, definen los riesgos operacionales como la posibilidad de que deficiencias en los sistemas de información y en los procesos internos, errores humanos y/o fallas por eventos externos, resulten en la reducción, deterioro o interrupción de los servicios proporcionados por una "Infraestructura de Mercado Financiero".
Que la interoperabilidad de las infraestructuras críticas del Mercado de Capitales posibilitaría la propagación y ampliación de los efectos de los ciberataques, así como las vías de acceso de amenazas, aumentando el riesgo sistémico.
Que al respecto, el Comité de Pagos e Infraestructuras de Mercado (CPMI \u2013 ex CPSS) del BIS junto con el Directorio de IOSCO elaboraron una "Guía sobre la Resiliencia Cibernética para las Infraestructuras de Mercado Financiero", con la finalidad de proporcionar orientación a las "Infraestructuras de Mercado Financiero" para mejorar su gestión sobre los riesgos cibernéticos, destacando que el nivel de respuesta a los incidentes de seguridad contribuye a conservar su capacidad operativa.
Que el mencionado documento proporciona recomendaciones tendientes a ampliar la capacidad de resiliencia cibernética de las "Infraestructuras de Mercado Financiero", alineadas con los controles y buenas prácticas definidas por el estándar de la familia ISO 27000, como estrategias utilizadas internacionalmente para mitigar los riesgos relativos a la ciberseguridad.
Que, adicionalmente, el desarrollo asimétrico respecto a las tecnologías de la información de los distintos actores del Mercado de Capitales, torna necesario un plan de implementación diferenciado según el grado de madurez de los mismos.
Que la presente Resolución General se dicta en ejercicio de las atribuciones conferidas por el artículo 19 inciso g) de la Ley N° 26.831.
Por ello,
LA COMISIÓN NACIONAL DE VALORES
RESUELVE:
"SECCIÓN VII.
CIBERSEGURIDAD Y CIBERRESILIENCIA CRÍTICAS DEL MERCADO DE CAPITALES.
El órgano de administración de los Mercados, Agentes de Depósito Colectivo, Cámaras Compensadoras y Agentes de Custodia, Registro y Pago, deberá, antes del 1° de enero de 2018, aprobar las "Políticas de Seguridad de la Información" elaboradas conforme los lineamientos de la norma ISO 27000, según el Anexo del presente Capítulo, titulado "Ciberseguridad y Ciberresiliencia de las Infraestructuras Críticas del Mercado de Capitales".
El informe de auditoría externa anual de sistemas que deben remitir los sujetos mencionados en el artículo 20, adicionalmente deberá contener la opinión del auditor respecto del "Plan de Implementación de las Políticas de Seguridad de la Información del Mercado de Capitales", incluyendo el grado de avance en el desarrollo del mismo y de cumplimiento de los objetivos de control requeridos en el Anexo titulado "Ciberseguridad y Ciberresiliencia de las Infraestrucuturas críticas del Mercado de Capitales".
"ANEXO
Ciberseguridad y Ciberresiliencia de las Infraestructuras críticas del Mercado de Capitales.
CONTENIDO.
Orientación de la Dirección para la seguridad de la información.
Políticas de seguridad y gestión de la información.
Revisión de las políticas.
Comité de tecnología/seguridad con participación del Directorio.
Plan y presupuesto de seguridad y ti.
Responsabilidad de la Dirección.
Roles y responsabilidades de seguridad de la información.
Segregación de funciones.
Contacto con las autoridades.
Contacto con grupos de interés especial.
Seguridad de la información en la gestión de proyectos.
Evaluación previa al ingreso.
15.1. Investigación de antecedentes.
15.2. Términos y condiciones de empleo.
Seguimiento de la relación laboral.
16.1. Responsabilidades de la Dirección.
16.2. Concientización, educación y capacitación en seguridad de la información.
Finalización del vínculo laboral.
17.1 Responsabilidades en la desvinculación o cambio de puesto.
Identificación.
Inventario de los activos.
Propiedad de los activos.
Uso aceptable de los activos.
Retorno de los activos.
Clasificación de la información.
Metodología para el análisis de riesgos informáticos.
Manipulación de los activos.
Política de control de accesos.
Requisitos del negocio para el control de accesos a los sistemas y las aplicaciones.
Acceso a las redes y a los servicios de red.
Gestión de accesos del usuario.
Alta y baja de registros de usuario.
Gestión de los derechos de acceso privilegiado.
Revisión de los derechos de acceso del usuario.
Remoción o ajuste de los derechos de acceso.
Procedimientos seguros de inicio de sesión.
Sistema de gestión de autenticación.
Áreas Seguras.
38.1. Perímetro de seguridad física.
38.2. Controles físicos.
38.3. Aseguramiento de oficinas, recintos e instalaciones.
38.4. Protección contra amenazas externas y del entorno.
Equipamiento.
39.1. Ubicación y protección del equipamiento.
39.2. Mantenimiento del equipamiento.
39.3. Retiro de activos.
39.4. Disposición final segura o reutilización del equipamiento.
Dispositivos móviles y teletrabajo.
40.1. Política de dispositivo móvil.
40.2. Teletrabajo.
Procedimientos operativos...
Para continuar leyendo
Solicita tu prueba