CNBS Honduras

22 de noviembre de 2005

SISTEMA FINANCIERO

Toda la República

CIRCULAR CNBS No.119/2005

Señores:

Nos permitimos transcribir a ustedes, la Resolución aprobada por la Comisión Nacional de Bancos y Seguros, que literalmente dice:

“RESOLUCIÓN No.1301/22-11-2005.- La Comisión Nacional de Bancos y Seguros,

CONSIDERANDO: Que de conformidad con las facultades legales concedidas a la Comisión Nacional de Bancos y Seguros, respecto a las instituciones del sistema financiero y demás instituciones supervisadas, ésta emitirá las normas prudenciales que deberán cumplir las mismas, basándose en la legislación vigente y en los acuerdos y prácticas internacionales.

CONSIDERANDO: Que conforme a lo establecido en el Artículo 50 de la Ley del Sistema Financiero, las instituciones del sistema financiero podrán ofrecer y prestar todos los productos y servicios los mencionados en el Artículo 46 de dicha Ley por medios electrónicos; así como que la Comisión emitirá normas de carácter general para regular las operaciones que efectúen y servicios que presten las instituciones por medios electrónicos.

CONSIDERANDO: Que conforme lo establecido en la Ley de la Comisión Nacional de Bancos y Seguros, ésta se encuentra sujeta a ciertos criterios, entre los cuales se señala el de promover la adopción de buenas prácticas en la administración de los riesgos inherentes a las actividades que realizan las instituciones supervisadas.

POR TANTO: Con fundamento en los artículos 1, 6, 13 y 14 de la Ley de la Comisión Nacional de Bancos y Seguros; y, 50 de la Ley del Sistema Financiero; en sesión del 22 de noviembre de 2005, resuelve:

1. Aprobar las siguientes:

NORMAS PARA REGULAR LA ADMINISTRACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES EN LAS INSTITUCIONES DEL SISTEMA FINANCIERO

CAPÍTULO I

DISPOSICIONES GENERALES

ARTÍCULO 1.- Objeto

Las presentes normas, tienen por objeto regular la administración de las tecnologías de información y comunicaciones utilizadas por las instituciones del sistema financiero; asimismo, regular los servicios financieros y operaciones realizadas por medio de redes electrónicas de uso externo e interno.

La Junta Directiva o Consejo de Administración de las instituciones del sistema financiero, en adelante Junta o Consejo, deberán prestar la debida importancia a la administración del riesgo derivado de los sistemas de información, tomando en cuenta que su continuidad, desarrollo y funcionamiento constituyen el elemento central para su operatividad y su manejo administrativo y financiero.

ARTÍCULO 2.- Alcance

Las presentes normas están en concordancia con los principios del Comité de Basilea y el estándar internacional ISO/IEC 17799:2000, emitidos en materia de banca electrónica y administración de la Seguridad Informática y constituyen una guía general para la documentación formal e implementación de la seguridad en las tecnologías de información y comunicaciones de las instituciones del sistema financiero.

Estas disposiciones son de obligatorio cumplimiento para las demás instituciones supervisadas por la Comisión, en lo que les sea aplicable, en función de su tamaño y complejidad.

ARTÍCULO 3.- Definiciones

Para los efectos de aplicación de la presente normativa y bajo la perspectiva de la tecnología de información, deberán considerarse las siguientes definiciones:

1) Ataques de Denegación de Servicio: Envío de solicitudes a servidores o equipos de comunicación que provoquen saturación en sus memorias para que de esta forma dejen de funcionar temporalmente y no presten los servicios que tengan configurados.

2) Ataques de Diccionario: Prueba de combinaciones de todos los usuarios y contraseñas posibles basados en un diccionario en español, inglés o cualquier otro idioma, para ingresar de manera ilegal a un sistema informático.

3) Ataques de Fuerza Bruta: Prueba de combinaciones de todos los usuarios y contraseñas posibles basados en todos los caracteres posibles, para ingresar ilegalmente a un sistema informático.

4) Banca Electrónica: Servicios y operaciones proporcionados a clientes por medios electrónicos conectados al sistema de producción, utilizando tecnologías, como: telefonía, Internet, celulares, o una combinación entre redes de comunicaciones.

5) Canal de Comunicación: Métodos tecnológicos para la comunicación entre los usuarios de banca electrónica y las instituciones del sistema financiero entre otros Internet, Telefonía, etc.

6) La Comisión o CNBS: Comisión Nacional de Bancos y Seguros.

7) Contraseña Segura o Fuerte: Contraseñas de uso informático que deben cumplir con las especificaciones de la política de contraseñas de la institución y que sean difíciles o casi imposibles de adivinar o hurtar.

8) Discontinuidad de Servicio Significativo: Incapacidad de continuar prestando los servicios definidos como críticos por la Alta Gerencia, y sin los cuales se vería seriamente afectada la continuidad en el mercado.

9) Hash: Cadena de caracteres generada por un algoritmo de encriptación, el cual proporciona un valor estadísticamente único para un conjunto de datos de entrada. Bajo esta técnica se comprobará la validez de los datos recibidos o, como en el caso de las contraseñas, cifrar una información en un sólo sentido.

10) Localizador Uniforme de Recursos (URL): Cadena de caracteres con la cual se asigna dirección única a cada uno de los recursos de información disponibles en Internet. Existe un URL único para cada página de cada uno de los documentos en Internet.

11) Memoria Caché: Memoria a la que una computadora puede acceder más rápidamente que a la memoria normal de la computadora (Memoria RAM), la computadora primero busca información en la memoria caché y luego en la RAM.

12) No Repudio: Cualidad o característica de una determinada comunicación, a través de la cual se protege a las partes de la comunicación frente a la negación de que dicha comunicación haya ocurrido. Existe no repudio cuando se produce el efecto legal o práctico de dicho atributo o característica.

13) Pared de Fuego (Firewall): Dispositivos de Seguridad (Hardware o software) utilizados para restringir el acceso en un ambiente de redes informáticas interconectadas, que permiten el acceso a ciertos servicios previamente definidos.

14) Penetración Significativa: Ataques a una red informática que alteren la disponibilidad, integridad y confidencialidad de la información sensitiva de la institución.

15) Procedimientos Almacenados (Stored Procedure): Conjunto de instrucciones u órdenes precompiladas, escritas en un lenguaje propietario como PL/SQL para Oracle database o PL/PgSQLpara PostgreSQL, que pueden ser llamados usando el nombre que se les haya asignado. Son esencialmente cajas negras.

16) Red de Producción: Red que está compuesta por computadoras, servidores, archivos, bases de datos, equipos de comunicación, dispositivos de seguridad, etc., que contienen y transmiten datos reales y oficiales de una institución.

17) Servidor: Computadora que presta servicios de red a los usuarios de la misma. Estos servicios pueden ser bases de datos, impresión, antivirus, correo electrónico, aplicaciones, etc.

18) Sesión: Es el periodo de tiempo transcurrido desde que un usuario o un equipo informático inicia conexión, con otro equipo previa presentación de credenciales, hasta el momento que la conexión finaliza.

19) Sistema de Detección de Intrusos (IDS): Dispositivo o programa de cómputo que de acuerdo a una base de datos, detecta patrones que son conocidos mundialmente como ataques o intentos de intrusión a redes y computadoras, enviando alertas y presentando reportes.

20) Tecnologías de Información y Comunicaciones (TIC): Recursos tecnológicos usados para crear, almacenar, intercambiar y usar información en sus diferentes formatos (datos, voz, imágenes, videos, presentaciones, etc.)

21) Tercerización (Outsourcing): Contrato mediante el cual una compañía provee servicios a otra. Estos servicios podrían ser provistos dentro de la misma institución.

22) Tercerización Significativa: Tercerización de servicios que son de carácter vital para una compañía, ya que si estos servicios fallan provocarían un impacto en la continuidad del negocio.

23) Valor SALT: Valor generado al azar, que es usado para modificar el hash de una contraseña, el cual previene las colisiones de contraseñas, es decir si más de un usuario selecciona la misma contraseña, la cadena de caracteres generada utilizando un valor SALT será diferente.

CAPITULO II

SUPERVISIÓN Y ADMINISTRACIÓN

SECCIÓN I

DE LA ADMINISTRACIÓN

ARTÍCULO 4.- Políticas de Administración

La Junta o Consejo deberá tener como mínimo una reunión anual para establecer o revisar las políticas y procedimientos sobre la administración tecnológica y seguridad de la información, que conlleven a la correcta toma de decisiones. Asimismo, deberá conocer y discutir, por lo menos cuatro (4) veces al año, los informes que sobre este particular le presente la Gerencia General. Lo tratado en dichas reuniones, deberá quedar registrado en el libro de actas correspondiente.

ARTÍCULO 5.- Políticas de las Tecnologías de Información y Comunicaciones

Las políticas mencionadas en el Artículo anterior deberán incluir al menos temas como:

a)

...