Resolución General 704-E. Normas (N.T. 2013 y mod.). Modificación.

Emisor:Comision Nacional de Valores
Fecha de la disposición:29 de Agosto de 2017
 
ÍNDICE
EXTRACTO GRATUITO

COMISIÓN NACIONAL DE VALORES

Resolución General 704-E/2017

Normas (N.T. 2013 y mod.). Modificación.

Ciudad de Buenos Aires, 24/08/2017

VISTO el Expediente Nº 1657/2017 caratulado "PROYECTO DE RG S/ CIBERSEGURIDAD Y RESILIENCIA CIBERNÉTICA" del registro de la COMISIÓN NACIONAL DE VALORES, lo dictaminado por la Gerencia de Servicios Centrales, la Subgerencia de Verificaciones de Agentes y Mercados, la Subgerencia de Agentes y Calificadoras de Riesgo, la Gerencia de Agentes y Mercados, la Gerencia General de Mercados, la Subgerencia de Asesoramiento Legal, la Gerencia de Asuntos Jurídicos y la Gerencia General de Asuntos Jurídicos, y

CONSIDERANDO:

Que de acuerdo a las atribuciones otorgadas por el artículo 19 inciso g) de la Ley Nº 26.831, la COMISIÓN NACIONAL DE VALORES se encuentra facultada para dictar las normas a las cuales deben ajustarse los Mercados, los Agentes registrados y las demás personas físicas y/o jurídicas que por sus actividades vinculadas al Mercado de Capitales, y a criterio de la Comisión Nacional de Valores queden comprendidas bajo su competencia.

Que resulta conveniente adoptar estándares internacionales con respecto a la seguridad informática y atender a las recomendaciones de la ORGANIZACIÓN INTERNACIONAL DE COMISIONES DE VALORES (IOSCO, por sus siglas en inglés) sobre los principios de ciberseguridad y resiliencia cibernética.

Que el Comité de Sistemas de Pago y Liquidación (CPSS) del Banco de Pagos Internacionales (BIS) y el Comité Técnico de IOSCO establecen a través de los "Principios Básicos para Infraestructuras de Mercado Financiero" que las "Infraestructuras de Mercado Financiero" cumplen un rol crítico en el sistema financiero y en la economía en general.

Que los principios mencionados enumeran las principales categorías de riesgos identificados y proporcionan orientación a las "Infraestructuras de Mercado Financiero" y a las autoridades competentes sobre la identificación, monitoreo, mitigación y administración de estos riesgos.

Que asimismo, definen los riesgos operacionales como la posibilidad de que deficiencias en los sistemas de información y en los procesos internos, errores humanos y/o fallas por eventos externos, resulten en la reducción, deterioro o interrupción de los servicios proporcionados por una "Infraestructura de Mercado Financiero".

Que la interoperabilidad de las infraestructuras críticas del Mercado de Capitales posibilitaría la propagación y ampliación de los efectos de los ciberataques, así como las vías de acceso de amenazas, aumentando el riesgo sistémico.

Que al respecto, el Comité de Pagos e Infraestructuras de Mercado (CPMI \u2013 ex CPSS) del BIS junto con el Directorio de IOSCO elaboraron una "Guía sobre la Resiliencia Cibernética para las Infraestructuras de Mercado Financiero", con la finalidad de proporcionar orientación a las "Infraestructuras de Mercado Financiero" para mejorar su gestión sobre los riesgos cibernéticos, destacando que el nivel de respuesta a los incidentes de seguridad contribuye a conservar su capacidad operativa.

Que el mencionado documento proporciona recomendaciones tendientes a ampliar la capacidad de resiliencia cibernética de las "Infraestructuras de Mercado Financiero", alineadas con los controles y buenas prácticas definidas por el estándar de la familia ISO 27000, como estrategias utilizadas internacionalmente para mitigar los riesgos relativos a la ciberseguridad.

Que, adicionalmente, el desarrollo asimétrico respecto a las tecnologías de la información de los distintos actores del Mercado de Capitales, torna necesario un plan de implementación diferenciado según el grado de madurez de los mismos.

Que la presente Resolución General se dicta en ejercicio de las atribuciones conferidas por el artículo 19 inciso g) de la Ley N° 26.831.

Por ello,

LA COMISIÓN NACIONAL DE VALORES

RESUELVE:

ARTÍCULO 1°

Incorporar como Sección VII del Capítulo III del Título VI de las NORMAS (N.T. 2013 y mod.), el siguiente texto:

"SECCIÓN VII.

CIBERSEGURIDAD Y CIBERRESILIENCIA CRÍTICAS DEL MERCADO DE CAPITALES.

ARTÍCULO 20

El órgano de administración de los Mercados, Agentes de Depósito Colectivo, Cámaras Compensadoras y Agentes de Custodia, Registro y Pago, deberá, antes del 1° de enero de 2018, aprobar las "Políticas de Seguridad de la Información" elaboradas conforme los lineamientos de la norma ISO 27000, según el Anexo del presente Capítulo, titulado "Ciberseguridad y Ciberresiliencia de las Infraestructuras Críticas del Mercado de Capitales".

ARTÍCULO 21

Dentro de los DOS (2) meses de aprobadas, por el órgano de administración, las "Políticas de Seguridad de la Información", los sujetos mencionados en el artículo anterior deberán elaborar un "Plan de Implementación de las Políticas de Seguridad de la Información del Mercado de Capitales" a través de procedimientos que incorporen un criterio de mejora continua.

ARTÍCULO 22

Las "Políticas de Seguridad de la Información" deberán aplicarse a los activos informáticos y a los procesos relacionados a la prestación de servicios esenciales.

ARTÍCULO 23

Los sujetos mencionados en el artículo 20 deberán antes del 1° de marzo de 2018, adoptar medidas, de resiliencia cibernética, siguiendo los lineamientos de la "Guía sobre la Resiliencia Cibernética para las Infraestructuras de Mercado Financiero" de la CPSS - IOSCO.

ARTÍCULO 24

El informe de auditoría externa anual de sistemas que deben remitir los sujetos mencionados en el artículo 20, adicionalmente deberá contener la opinión del auditor respecto del "Plan de Implementación de las Políticas de Seguridad de la Información del Mercado de Capitales", incluyendo el grado de avance en el desarrollo del mismo y de cumplimiento de los objetivos de control requeridos en el Anexo titulado "Ciberseguridad y Ciberresiliencia de las Infraestrucuturas críticas del Mercado de Capitales".

ARTÍCULO 2°

Incorporar como Anexo del Capítulo III del Título VI de las NORMAS (N.T. 2013 y mod.), el siguiente texto:

"ANEXO

Ciberseguridad y Ciberresiliencia de las Infraestructuras críticas del Mercado de Capitales.

CONTENIDO.

SECCIÓN I Políticas de tecnología de la información, comunicaciones y seguridad.

Orientación de la Dirección para la seguridad de la información.

Políticas de seguridad y gestión de la información.

Revisión de las políticas.

Comité de tecnología/seguridad con participación del Directorio.

Plan y presupuesto de seguridad y ti.

SECCIÓN II Roles y responsabilidades.

Responsabilidad de la Dirección.

Roles y responsabilidades de seguridad de la información.

Segregación de funciones.

Contacto con las autoridades.

Contacto con grupos de interés especial.

Seguridad de la información en la gestión de proyectos.

SECCIÓN III Capital Humano.

Evaluación previa al ingreso.

15.1. Investigación de antecedentes.

15.2. Términos y condiciones de empleo.

Seguimiento de la relación laboral.

16.1. Responsabilidades de la Dirección.

16.2. Concientización, educación y capacitación en seguridad de la información.

Finalización del vínculo laboral.

17.1 Responsabilidades en la desvinculación o cambio de puesto.

SECCIÓN IV Activos de la información.

Identificación.

Inventario de los activos.

Propiedad de los activos.

Uso aceptable de los activos.

Retorno de los activos.

Clasificación de la información.

Metodología para el análisis de riesgos informáticos.

Manipulación de los activos.

SECCIÓN V Usuarios de la información.

Política de control de accesos.

Requisitos del negocio para el control de accesos a los sistemas y las aplicaciones.

Acceso a las redes y a los servicios de red.

Gestión de accesos del usuario.

Alta y baja de registros de usuario.

Gestión de los derechos de acceso privilegiado.

Revisión de los derechos de acceso del usuario.

Remoción o ajuste de los derechos de acceso.

Procedimientos seguros de inicio de sesión.

Sistema de gestión de autenticación.

SECCIÓN VI Seguridad de la infraestructura.

Áreas Seguras.

38.1. Perímetro de seguridad física.

38.2. Controles físicos.

38.3. Aseguramiento de oficinas, recintos e instalaciones.

38.4. Protección contra amenazas externas y del entorno.

Equipamiento.

39.1. Ubicación y protección del equipamiento.

39.2. Mantenimiento del equipamiento.

39.3. Retiro de activos.

39.4. Disposición final segura o reutilización del equipamiento.

Dispositivos móviles y teletrabajo.

40.1. Política de dispositivo móvil.

40.2. Teletrabajo.

SECCIÓN VII Gestión de operaciones.

Procedimientos operativos documentados.

Gestión de la capacidad.

Controles contra código malicioso.

Resguardo de la información.

Registro de eventos.

Protección de la información de los registros.

Control de las vulnerabilidades técnicas.

SECCIÓN VIII...

Para continuar leyendo

SOLICITA TU PRUEBA