ReglamentoSeguridadInformacionPETROPERU-28Dic2010

GERENCIA GENERAL

SEGURIDAD DE LA INFORMACIN DE PETROPER S.A.

Cdigo: MASI-002 Elaborado: CSI

DOCUMENTO N 2 Revisado: 15 Diciembre 2010 Comit Seguridad de la Informacin

REGLAMENTO DE SEGURIDAD DE LA INFORMACIN

Versin: v.1 Pgina: 1 de 35

ESTE DOCUMENTO HA SIDO PREPARADO PARA USO EXCLUSIVO DE PETROPER S.A. No debe ser reproducido sin autorizacin expresa de PETROPER S.A.

REGLAMENTO DE SEGURIDAD

DE LA INFORMACIN DE

PETROPER S.A.

VIGENTE DESDE EL 19.01.2011

APROBADO CON ACUERDO DE DIRECTORIO N 0114-2010-PP

DE FECHA 28.12.2010

GERENCIA GENERAL







NDICE

CAPITULO I: DISPOSICIONES GENERALES ............................................................ 4 ARTCULO 1: Objetivo ............................................................................................ 4 ARTCULO 2: Propsito .......................................................................................... 4 ARTCULO 3: mbito de la Aplicacin ..................................................................... 4 ARTCULO 4: Base Legal y Normatividad Interna ................................................... 4

4.1. Normas Legales ........................................................................................ 4 4.2. Normatividad Interna ................................................................................. 5

ARTCULO 5: Importancia de la Seguridad de la Informacin ................................. 5 ARTCULO 6: Organizacin y Funciones en Seguridad de la Informacin ............... 6

6.1. Directorio ................................................................................................... 6 6.2. Gerente General ........................................................................................ 6 6.3. Gerentes de Estructura Bsica .................................................................. 6 6.4. Propietario del Activo de Informacin ........................................................ 7 6.5. Oficinas de Tecnologas de Informacin y Comunicaciones ...................... 7 6.6. Usuarios .................................................................................................... 7 6.7. Organizacin de Seguridad de la Informacin ........................................... 7 6.8. Comit de Seguridad de la Informacin ..................................................... 8

ARTCULO 7: Inobservancias a la Seguridad de la Informacin .............................. 8

CAPTULO II: POLTICA .............................................................................................. 9 ARTCULO 8: Poltica Corporativa de Seguridad de la Informacin ......................... 9

CAPTULO III: RECURSOS HUMANOS, COLABORADORES Y USUARIOS ............ 9 ARTCULO 9: Requisitos de Seguridad de la Informacin en Contratos de Trabajo, Civiles y Comerciales ................................................................................................ 9

CAPTULO IV: SEGURIDAD FSICA Y DEL ENTORNO ........................................... 11 ARTCULO 10: Seguridad de Equipos Fuera de las Instalaciones de PETROPERU ............................................................................................................................... 11 ARTCULO 11: Seguridad de los Centros de Cmputo ......................................... 12

CAPTULO V: GESTIN DE COMUNICACIONES Y OPERACIONES ...................... 13 ARTCULO 12: Control de Riesgos de Seguridad de la Informacin de los Servicios de Ofimtica ............................................................................................................ 13 ARTCULO 13: Intercambio de Software o de Informacin por Voz, Fax y/o Video 14 ARTCULO 14: Transmisin de Informacin Confidencial, Sensible o Crtica ........ 14 ARTCULO 15: Uso de Correo Electrnico y Adjuntos ........................................... 14 ARTCULO 16: Retencin y Eliminacin de Registros ........................................... 16

CAPTULO VI: CONTROL DE ACCESOS ................................................................. 17 ARTCULO 17: Control de Accesos ....................................................................... 17 ARTCULO 18: Protector de Pantalla y Escritorio Limpio ....................................... 17 ARTCULO 19: Uso Servicios de Red.................................................................... 18 ARTCULO 20: Informtica Mvil ........................................................................... 19

CAPTULO VII: ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS ................................................................................................................................... 20

ARTCULO 21: Adquisicin y Desarrollo ................................................................ 20 ARTCULO 22: Uso de Controles Criptogrficos ................................................... 20

GERENCIA GENERAL







CAPTULO VIII: RECURSOS HUMANOS E INFORMACIN CONFIDENCIAL ........ 20 ARTCULO 23: Proteccin de Datos y Privacidad de la Informacin Personal ....... 20

CAPTULO IX: DISPOSICIONES COMPLEMENTARIAS .......................................... 21 PRIMERA: Aplicacin Supletoria ............................................................................ 22 SEGUNDA: Propuesta de Procedimientos, Formatos y Otros ................................. 22 TERCERA: Aprobacin de Procedimientos, Formatos y Otros ............................... 22 CUARTA: Vigencia del Reglamento ........................................................................ 22 QUINTA: Difusin y Supervisin del Reglamento .................................................... 22

CAPTULO X: ANEXOS ............................................................................................. 23 ANEXO 1: Glosario de Trminos ............................................................................ 23 ANEXO 2: Modelo de Texto de Confidencialidad para Servicio de Correo Electrnico ............................................................................................................................... 28 ANEXO 3: Requisitos de Seguridad de la Informacin con Empleados, Colaboradores, Usuarios y Otros Terceros ............................................................. 29 ANEXO 4: Modelo Cronograma de Retencin de Registros ................................... 31 ANEXO 5: Transmisin de Informacin Confidencial, Crtica o Sensible ................. 33 ANEXO 6: Composicin del Comit de Seguridad de la Informacin ...................... 34

GERENCIA GENERAL







CAPITULO I: DISPOSICIONES GENERALES

ARTCULO 1: Objetivo

El Reglamento de Seguridad de la Informacin, desarrollado con sujecin a la Poltica Corporativa de Seguridad de la Informacin y la Norma Tcnica Peruana NTP-ISO/IEC 17799:2007, tiene por objetivo:

Asegurar una apropiada salvaguarda de todos los activos de informacin a los que PETROPERU sea sensible.

Proporcionar asesora para la Seguridad de la Informacin. Permitir una aplicacin consistente de los controles de seguridad de la

informacin. Acceder a una defensa contra alegatos legales. Reducir y controlar los riesgos legales, comerciales y tecnolgicos. Proteger la buena imagen empresarial de PETROPER.

ARTCULO 2: Propsito

La informacin y los medios para su generacin, tratamiento, transmisin y almacenamiento, son activos importantes de la institucin y por ello requieren ser protegidos. La disponibilidad, integridad y confidencialidad de la informacin, son esenciales para mantener la operatividad, competitividad, efectividad, proactividad, confiabilidad, continuidad e imagen de PETROPER.

Para lograr este fin, es necesario contar con un documento normativo, el cual debe ser redactado de una manera clara y concisa, para comprensin y aplicacin de todos los usuarios. Se requiere educar y capacitar en forma clara y detallada, sobre las consecuencias de su inobservancia.

ARTCULO 3: mbito de la Aplicacin

El presente Reglamento ser de aplicacin general y obligatoria para Miembros del Directorio, Gerente General, Gerentes de Estructura Bsica y Complementaria, Trabajadores en General, Practicantes, Consultores, Prestadores de Servicios Profesionales, Personal de Contratistas y otros, en adelante usuarios, que necesiten tener acceso a la informacin o recursos de tratamiento de la informacin de PETROPER, mientras desempeen sus labores en la misma y exista vnculo laboral, civil o comercial y, de acuerdo a convenios o normatividad especfica, incluso cuando cese sus funciones.

ARTCULO 4: Base Legal y Normatividad Interna

4.1. Normas Legales Ley N 27785 Ley Orgnica del Sistema Nacional de Control de la Contralora

General de la Repblica. Ley N 27806 Ley de Transparencia y Acceso a la In formacin Pblica, TUO de

fecha 22.04.2003, y su Reglamento DS N 072-2003-PCM de fecha 06.08 .2003. Ley N 28716 Ley de Control Interno de las Entidad es del Estado.

GERENCIA GENERAL







Resolucin de Contralora General N 320-2006-CG d e fecha 11.10.2006. Aprueban las Normas de Control Interno, aplicables a las Entidades del Estado.

Resolucin Ministerial N 246-2007-PCM de fecha 22 .08.2007. Aprueba el uso obligatorio de la Norma Tcnica Peruana NTP-ISO/IEC 17799:2007.

Norma Tcnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la Informacin. Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin. 2 Edicin.

Resolucin de Contralora N 458-2008-CG de fecha 30.10.2008. Gua para la Implementacin de Control Interno en las Entidades del Estado.

4.2. Normatividad Interna Poltica Corporativa de Seguridad de la Informacin de PETROPER.

Aprobada con Acuerdo de Directorio N 040-2010 de f echa 29.04.2010. Cdigo de Integridad de PETROPER. Aprobado con Acuerdo de Directorio N

004-2010 de fecha 28.01.2010 y Acuerdo de Directorio N 019-2009 de fecha 12.03.2010.

Normas Internas de Conducta de PETROPER, para la Comunicacin de Hechos de Importancias, Informacin Reservada y otras Comunicaciones. Aprobada con Acuerdo de Directorio N 105-2009 de f echa 30.11.2009.

Cdigo de Buen Gobierno Corporativo de PETROPER. Aprobado con Acuerdo de Directorio N 107-2010-PP de fecha 30.11 .2010.

Reglamento Interno del Comit de Buenas Prcticas de Gobierno Corporativo de PETROPER. Aprobado con Acuerdo de Directorio N 044-2010 de fecha 12.05.2010.

Reglamento Interno de Trabajo de PETROPER. Poltica de Conflicto de Intereses de PETROPER. Reglamento de Organizacin y Funciones (ROF) de PETROPER. Aprobado

con Acuerdo de Directorio N 061-2009-PP de fecha 1 4.07.2009. Manual de Organizacin y Funciones (MOF) de PETROPER.

ARTCULO 5: Importancia de la Seguridad de la Informacin

La informacin es cada vez ms esencial en los procesos de negocio para conseguir y mantener la rentabilidad y competitividad, gestionar adecuadamente los recursos internos y externos, gestionar eficazmente las operaciones, obtener y mantener clientes y cuota de mercado, as como gestionar y mantener el conocimiento, entre otros.

Las organizaciones y su informacin enfrentan amenazas y vulnerabilidades crecientes que afectan los elementos de los procesos de negocio, los comnmente denominados fallos de seguridad que pueden ser variados, incluyendo fraudes informticos, fallo electrnico, espionaje, error humano, sabotaje, vandalismo, incendios, inundaciones u otros. Ciertas fuentes de daos como virus informticos y ataques de intrusin o denegacin de servicios se estn volviendo cada vez ms comunes, ambiciosos y sofisticados.

Dado que la informacin adopta diversas formas, puede estar impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o por medios electrnicos, mostrada en video o hablada en conversacin, sta deber protegerse

GERENCIA GENERAL







adecuadamente, cualquiera que sea la forma que tome o los medios por los que se comparta o almacene en PETROPERU.

Los usuarios deben ser conscientes, que la importancia de la informacin es proporcional al valor empresarial de sus procesos, lo que hace necesario adoptar mecanismos de gestin de seguridad de la informacin, entre los que se pueden contar la poltica, reglamento, procedimientos, estructura organizacional y soluciones tecnolgicas sobre la base de estndares probados y reconocidos, tanto a nivel nacional como internacional.

La seguridad de la informacin se define como la salvaguarda de la informacin para:

Su confidencialidad, asegurando que slo quienes estn autorizados puedan acceder a la informacin;

Su integridad, asegurando que la informacin y sus mtodos de proceso sean exactos y completos;

Su disponibilidad, asegurando que los usuarios autorizados tengan acceso a la informacin cuando la requieran.

ARTCULO 6: Organizacin y Funciones en Seguridad de la Informacin

La organizacin y funciones para la seguridad de la informacin se asignan de la forma siguiente:

6.1. Directorio Aprobar la Poltica Corporativa de Seguridad de la Informacin y sus

modificaciones. Aprobar el Reglamento de Seguridad de la Informacin y sus modificaciones.

6.2. Gerente General Difundir la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de

la Informacin. Aprobar los procedimientos y cualquier otra disposicin complementaria de

seguridad de la informacin, que las Gerencias de la Estructura Bsica propongan segn su competencia.

Aprobar las propuestas del Comit de Seguridad de la Informacin, para asegurar el correcto entendimiento de la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacin y, que todos los usuarios se comprometan razonablemente a su cumplimiento.

Aprobar las iniciativas para mejorar la seguridad de la informacin. Aprobar la evaluacin anual y el plan anual de la gestin de seguridad de la

informacin.

6.3. Gerentes de Estructura Bsica Difundir la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de

la Informacin, asegurando su razonable entendimiento y cumplimiento. Asignar recursos para el cumplimiento de la Poltica Corporativa, Reglamento y

Procedimientos de Seguridad de Informacin, requeridos por el Comit de Seguridad de la Informacin.

GERENCIA GENERAL







Proponer a Gerencia General, segn su competencia, la aprobacin de los procedimientos y cualquier otra disposicin complementaria de Seguridad de la Informacin.

6.4. Propietario del Activo de Informacin Velar por la seguridad del activo de informacin que est a su cargo. Supervisar la implementacin y el mantenimiento de los controles que aplican

al activo de informacin. Clasificar la informacin en trminos de su valor, confidencialidad, criticidad y

sensibilidad para PETROPER.

6.5. Oficinas de Tecnologas de Informacin y Comunicaciones Administrar, monitorear y operar en forma segura las redes y sistemas

informticos de PETROPER. Facilitar los mecanismos tcnicos que permitan dar cumplimiento a la Poltica

Corporativa, Reglamento y Procedimientos de Seguridad de la Informacin. Hacer cumplir las normas y procedimientos de Seguridad Informtica.

6.6. Usuarios Proponer alternativas de mejoras en la seguridad de la informacin. Reportar cualquier incidente de seguridad de la informacin a la Organizacin

de Seguridad de la Informacin o al Comit de Seguridad de la Informacin, segn procedimiento de gestin de incidentes.

Incluir la clusula confidencialidad y de seguridad de la informacin en los contratos con terceros, clientes y proveedores.

Asumir responsabilidad en la generacin, tratamiento, transmisin y almacenamiento de los activos de informacin que usan en el ejercicio de sus funciones.

6.7. Organizacin de Seguridad de la Informacin Proponer al Comit la actualizacin de la Poltica Corporativa, el Reglamento y

los Procedimientos de seguridad de la informacin. Revisar y proponer propietarios para cada activo de informacin. Formular criterios de clasificacin de la informacin. Revisar y mantener actualizado el inventario de activos de informacin. Presentar normas complementarias, prcticas de gestin y procedimientos,

diseados para proporcionar una conviccin razonable para que todos los usuarios cumplan la poltica, reglamento y procedimientos de seguridad de la informacin.

Analizar y hacer seguimiento sobre los incidentes en seguridad de la informacin.

Coordinar la ejecucin peridica de la evaluacin de riesgos y proponer controles de tratamiento de riesgos, en lnea con el Sistema de Control Interno.

Asegurar que la implementacin de controles de seguridad de la informacin sea ejecutada.

Desarrollar y proponer planes y programas de concientizacin y capacitacin en temas de seguridad de la informacin.

GERENCIA GENERAL







6.8. Comit de Seguridad de la Informacin Identificar las metas de seguridad de la informacin, relacionarlas con las

exigencias organizacionales e integrarlas en los procesos relevantes.

Planificar y coordinar la ejecucin peridica de la evaluacin de riesgos y proponer controles para el tratamiento de los mismos.

Proponer planes, programas y presupuesto para mantener la concientizacin de la seguridad de la informacin.

Proponer la actualizacin de la Poltica Corporativa, Reglamento y Procedimientos de seguridad de la informacin.

Proponer a la Gerencia General la inclusin de roles y responsabilidades de seguridad de la informacin en el Reglamento de Organizacin y Funciones, Manual de Organizacin y Funciones y, Descripciones de Puesto.

Monitorear el cumplimiento de la Poltica Corporativa, Reglamento y Procedimientos de seguridad de la informacin, verificando su efectividad y correcta implementacin.

Proponer convenios con especialistas en seguridad de la informacin para recibir asesora.

Solicitar los recursos necesarios para establecer y respaldar las iniciativas, para mejorar la seguridad de la informacin.

Reunirse ordinariamente, segn su plan anual de trabajo, por lo menos cada dos (2) meses, utilizando la facilidad de videoconferencia con la que cuenta PETROPER, de las cuales dos (2) sern presenciales; y, extraordinariamente cuando sea convocado por Gerencia General o alguno de sus miembros.

Los miembros designados en el Comit de Seguridad de Informacin, salvo los representantes de la Gerencia Departamento Tecnologas de Informacin y Comunicaciones y de la Unidad Seguridad de Oficina Principal, sern renovados cada dos (2) aos. La designacin es hecha por Gerencia General, conforme a la composicin establecida en el Anexo 6.

Lo no previsto expresamente en el presente Reglamento, ser resuelto por el Comit de Seguridad de la Informacin.

ARTCULO 7: Inobservancias a la Seguridad de la Informacin

El no cumplimiento de la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacin, as como de cualquier otro proceso, lineamiento o pauta de uso obligatorio, derivados de stos, puede resultar en una accin disciplinaria para el empleado o penalidad1 para el contratista por parte de PETROPER, dependiendo del tipo y severidad de la infraccin o de la inobservancia.

1 Adems de la separacin del colaborador infractor.

GERENCIA GENERAL







CAPTULO II: POLTICA

ARTCULO 8: Poltica Corporativa de Seguridad de la Informacin

Petrleos del Per PETROPER S.A. es una empresa estatal de derecho privado dedicada al transporte, refinacin y comercializacin de combustibles y dems derivados de petrleo, y gestiona la seguridad de la informacin relacionada con sus actividades, productos y servicios en forma responsable, en concordancia con la normatividad vigente y los siguientes lineamientos:

a. El establecimiento de un conjunto de actividades que permitan preservar y asegurar la confidencialidad, integridad y disponibilidad de la informacin, viabilizando la competitividad, rentabilidad, integridad y transparencia de la Empresa.

b. La peridica identificacin, evaluacin, tratamiento y monitoreo de los riesgos de seguridad de la informacin relevantes a la Empresa.

c. La investigacin, respuesta oportuna y recuperacin efectiva ante incidentes relacionados con la seguridad de la informacin.

d. La comunicacin oportuna y permanente de las polticas y procedimientos de la seguridad de la informacin definidos, asegurando razonablemente que sean comprendidos y se encuentren disponibles para todos los trabajadores y colaboradores de la Empresa.

e. La responsabilidad por el uso de la informacin crtica y sensible por todos los trabajadores y colaboradores de la Empresa.

f. El cumplimiento de los requerimientos dispuestos en las disposiciones legales y contractuales aplicables a la Seguridad de la Informacin, que comprenden a la Empresa.

g. El fortalecimiento de los valores, la sensibilizacin y el compromiso de todos los trabajadores y colaboradores, de velar por el cumplimiento de la presente poltica.

CAPTULO III: RECURSOS HUMANOS, COLABORADORES Y USUARIOS

ARTCULO 9: Requisitos de Seguridad de la Informacin en Contratos de Trabajo, Civiles y Comerciales

Objetivo: Controlar y mantener la seguridad, para que los activos y recursos de tratamiento de la informacin de PETROPER sean accesibles en forma segura por los usuarios. Establecer los requerimientos de confidencialidad que reflejen las necesidades de la organizacin para la proteccin de su informacin.

Alcance: Todos los usuarios de PETROPER.

GERENCIA GENERAL







a. Cuando el negocio requiera del acceso de colaboradores, se deber realizar una evaluacin del riesgo para determinar sus implicancias sobre la seguridad de la informacin y las medidas de control que requieren. Asimismo PETROPER deber evaluar y medir peridicamente el nivel de seguridad ofrecido por los servicios de terceros, incorporando mtricas para el monitoreo.

b. Asegurar que los usuarios y colaboradores entiendan su responsabilidad, dentro de las funciones y mbito para los que han sido contratados, reduciendo el riesgo de hurto, fraude o mal uso de las instalaciones y sus activos de informacin.

c. Los candidatos a ser contratados, empleados o colaboradores, para funciones donde se tendr acceso a informacin sensible, crtica o confidencial, deben ser evaluados y seleccionados en forma rigurosa.

d. La responsabilidad de los empleados con acceso a la informacin sensible o crtica o confidencial de PETROPER, deber estar definida en la Descripcin de Puesto y reflejarse en el Manual de Organizacin y Funciones. Los empleados debern observar las normas y mantener el debido cuidado con la comunicacin que fluye al exterior.

e. El acceso a los recursos de la informacin o archivos, debe limitarse al empleado contratado, que ha sido autorizado como responsable para la utilizacin o custodia de los mismos. La responsabilidad, en cuanto a la utilizacin y custodia, debe evidenciarse a travs de registros, inventarios o cualquier otro documento o medio que permita llevar un control efectivo sobre los recursos de la informacin o archivos.

f. Los empleados y practicantes de PETROPER y, los colaboradores con sus contratistas, deben firmar un acuerdo de confidencialidad al ser contratados. La funcin Recursos Humanos es responsable de realizar esta labor con los empleados y, el Administrador del Contrato con los colaboradores.

g. La funcin Recursos Humanos, al igual que el Administrador del Contrato, deben informar a las reas competentes sobre el personal y colaboradores que han culminado su vnculo laboral o relacin contractual respectivamente, con el fin de prevenir accesos no autorizados a la informacin, sistemas, oficinas o equipos de PETROPER.

h. Los empleados y colaboradores, que desarrollan programas o proyectos para PETROPER, deben firmar acuerdos de derecho de propiedad, reconociendo que dichos programas, patentes, inventos y proyectos son de propiedad integral de PETROPER.

i. La funcin Recursos Humanos debe incluir los temas de Seguridad de la Informacin en las charlas de induccin a todo el personal y practicantes que ingresan a PETROPER; y, deber considerar dentro del programa anual de

GERENCIA GENERAL







capacitacin, temas de seguridad de la informacin que comprenda difusin, evaluacin y monitoreo.

j. Las funciones Recursos Humanos y Legal deben revisar que en los contratos se incluya los acuerdos de confidencialidad y de derecho de la propiedad, cada vez que se produzcan cambios en la modalidad de contratacin de los empleados.

k. Los privilegios asignados a cada empleado deben ser revisados, cuando sean transferidos, cambien de puesto o modalidad de empleo.

l. Los empleados, cualquiera fuere su tipo de relacin laboral, deben comprender y familiarizarse con la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacin, el Cdigo de Integridad y el Reglamento Interno de Trabajo de PETROPER.

m. Todos los empleados, para no contravenir la Poltica y Normas sobre Conflicto de Intereses y, el Cdigo de Integridad, deben informar a la funcin Recursos Humanos sobre cualquier circunstancia personal que pueda generar una situacin de conflicto entre sus intereses personales y los intereses de PETROPER.

CAPTULO IV: SEGURIDAD FSICA Y DEL ENTORNO

ARTCULO 10: Seguridad de Equipos Fuera de las Instalaciones de PETROPER

Objetivo: Prevenir prdidas y daos o comprometer los equipos, as como la interrupcin de las actividades de la organizacin. El equipo deber estar fsicamente protegido de las amenazas. Tambin se deber considerar su instalacin, incluyendo su uso fuera del local, y disponibilidad. Pueden requerirse medidas o controles especiales contra riesgos de accesos no autorizados y la infraestructura necesaria para proteger los sistemas de apoyo.


a. El uso, fuera de las instalaciones de PETROPER, de cualquier equipo porttil que contenga informacin, se realizar de acuerdo a los niveles de autorizacin.

b. Las reas de Tecnologas de Informacin y Comunicaciones realizarn peridicamente una revisin de los equipos, evaluarn los riesgos y aplicarn los controles o acciones para preservar la integridad y el contenido de los equipos que salen fuera de las instalaciones de PETROPER.

c. Los usuarios no deben realizar cambios en los controles de seguridad, ni en las configuraciones de los equipos establecidas por las reas de Tecnologas de Informacin y Comunicaciones.

GERENCIA GENERAL







d. Los usuarios no deben dejar expuestos al uso y/o disposicin de terceros, en lugares de acceso pblico, los equipos informticos o de tratamiento de la informacin, de propiedad de PETROPER.

e. Todos los equipos de tratamiento de la informacin, que deban ser usados fuera de las instalaciones de PETROPER, deben contar con clave y una pliza de seguros de reposicin.

ARTCULO 11: Seguridad de los Centros de Cmputo

Objetivo: Prevenir y evitar prdidas, daos o eventos que comprometan las instalaciones, infraestructura, equipos, datos y servicios de los Centros de Cmputo de las Operaciones y del Centro de Cmputo Principal de PETROPER.

Alcance: Usuarios y terceros.

a. Los centros de cmputo de PETROPER deben estar instalados y protegidos en reas seguras, donde se proporcione un nivel de seguridad contra accesos no autorizados, robo, dao y otros, sobre la base de controles de acceso fsico perimetrales.

b. El Centro de Cmputo Principal de PETROPER debe contar con:

i. Un rea controlada y restringida slo a personas autorizadas, y que por sus funciones dentro de ella se le concede la autorizacin. Los derechos de acceso a esta rea, de todos los usuarios permitidos, deben ser revisados cada tres (3) meses.

ii. Un sistema de ingreso, a esta rea sensible y crtica, controlado en todo momento, con un registro de ingreso obligatorio que debe contener como mnimo la identificacin del usuario, fecha y hora de ingreso / salida, manteniendo un rastro de auditora de los accesos.

iii. Un registro de acceso de personas que ingresan por visita o trabajos especficos y que no pertenecen a esta rea. El permiso de ingreso ser otorgado por el Departamento Tecnologas de Informacin y Comunicaciones de PETROPERU. Estas personas, antes de ingresar, se debern registrar en la bitcora de ingreso y en todo momento estarn acompaadas por el Operador de Turno del Centro de Cmputo.

iv. Mecanismos de proteccin fsica contra daos por fuego, cuyo equipo contra incendios debe resguardar toda el rea del Centro de Cmputo Principal.

v. Controles de monitoreo de condiciones ambientales. La temperatura y humedad debern ser monitoreadas por el Operador de Turno y responder oportunamente ante las alertas.

vi. Aviso que indique, que est terminantemente prohibido ingerir alimentos y bebidas en el Centro de Cmputo Principal.

vii. Aviso que indique, que est terminantemente prohibido encender fuego y fumar en el Centro de Cmputo Principal.

GERENCIA GENERAL







viii. Equipos de suministro de energa elctrica, como UPS y generador elctrico, que se deben revisar y probar regularmente y en forma inopinada, para asegurar su capacidad y operatividad ante una contingencia elctrica.

ix. Un programa de mantenimiento preventivo para todos los equipos.

c. La Gerencia Departamento Tecnologas de Informacin y Comunicaciones deber establecer los mecanismos de control de activos y recursos informticos, as como las medidas de seguridad fsica para el acceso restringido a todos los Centros de Cmputo de PETROPER.

d. La seguridad fsica de los Centros de Cmputo de PETROPER, estar a cargo del rea responsable de la seguridad de instalaciones de Oficina Principal y las Operaciones.

e. Los acpites del literal b), en lo que corresponda, sern de aplicacin para los Centros de Cmputo y Salas de Telecomunicaciones de las Operaciones.

CAPTULO V: GESTIN DE COMUNICACIONES Y OPERACIONES

ARTCULO 12: Control de Riesgos de Seguridad de la Informacin de los Servicios de Ofimtica

Objetivo: Controlar los riesgos del negocio asociados con los sistemas de ofimtica que proporcionan facilidades para difundir ms rpidamente y para compartir la informacin del negocio usando una combinacin de documentos, estaciones de trabajo y comunicaciones mviles, correos escrito y de voz, comunicaciones de voz en general, multimedia, servicios y recursos postales y mquinas de fax, entre otros.


a. Es responsabilidad de cada usuario, recoger los documentos enviados a imprimir en las impresoras de PETROPER de manera inmediata.

b. Es responsabilidad de cada rea, destruir los documentos impresos que ya no sirven y que contienen informacin confidencial, crtica o sensible.

c. Los usuarios deben ubicar los sistemas y dispositivos de ofimtica a su cargo, impresoras, fax y fotocopiadoras, en ambientes controlados para evitar que la informacin sea interceptada por personal o colaboradores no autorizados, o por personas externas de PETROPER.

d. Los usuarios no deben enviar informacin confidencial para ser impresa en una impresora de red, sin que haya una persona autorizada que proteja su confidencialidad durante y despus de la impresin.

GERENCIA GENERAL







e. Las fotocopiadoras, escner, cmaras digitales o cualquier otra forma de tecnologa de reproduccin de PETROPER, deben ser utilizados solamente por las personas autorizadas.

ARTCULO 13: Intercambio de Software o de Informacin por Voz, Fax y/o Video

Objetivo: Evitar la prdida, modificacin o mal uso de la informacin intercambiada entre organizaciones. Controlar los intercambios de informacin y software entre organizaciones, con observancia de la legislacin legal aplicable.


a. Los usuarios no deben dejar mensajes grabados con informacin confidencial, crtica o sensible, en mquinas contestadoras o sistemas de correo de voz.

b. Los usuarios no deben conversar directa o telefnicamente temas sensibles, crticos o confidenciales, ante la presencia de terceros ajenos al tema, ni en lugares pblicos.

c. Los usuarios no deben discutir temas sensibles, crticos o confidenciales en conferencias telefnicas o videoconferencias, cuando todos los participantes no sean competentes en el tema.

d. Los usuarios deben evitar, en lo posible, discutir temas sensibles, crticos o confidenciales a travs de un telfono inalmbrico o un telfono celular.

e. Los usuarios no deben enviar informacin confidencial, por fax u otro medio de transferencia electrnica, a menos que cuenten con la autorizacin del propietario de la informacin y del receptor previamente a la transmisin y utilice una pgina inicial de proteccin de informacin.

ARTCULO 14: Transmisin de Informacin Confidencial, Sensible o Crtica

Objetivo: Evitar la divulgacin no autorizada, prdida, modificacin o mal uso de la informacin confidencial, sensible o crtica, generada y utilizada por personal de la organizacin y/o intercambiada entre Gerencias / Oficinas de PETROPER y otras organizaciones o instituciones.

Alcance: Todo el personal de PETROPER.

Est prohibido transmitir informacin confidencial, crtica o sensible de uso interno del rea / Operacin que no haya sido debidamente autorizada por el Gerente / Superintendente / Jefe o Supervisor inmediato, o por la Gerencia General de PETROPER.

ARTCULO 15: Uso de Correo Electrnico y Adjuntos

GERENCIA GENERAL







Objetivo: Evitar la prdida, modificacin o mal uso de la informacin intercambiada por correo electrnico dentro de PETROPER o con otras organizaciones o instituciones. Optimizar el uso del sistema de correo electrnico y sus adjuntos por parte de los usuarios del servicio.

Alcance: Todos los usuarios del servicio de correo electrnico de PETROPER.

a. El correo electrnico es personal e intransferible, los usuarios son responsables de todas las actividades que se realicen por medio de las cuentas de correo electrnico que les sean asignadas por PETROPER.

b. Los usuarios que tienen asignada una cuenta de correo electrnico de PETROPER, deben establecer una contrasea para poder ingresar y utilizar su correo, esta clave debe ser mantenida en secreto para evitar que dicha cuenta pueda ser utilizada por otra persona.

c. Las cuentas de correo electrnico concedidas al personal y colaboradores de PETROPER, deben usarse slo para las actividades que estn relacionadas con el cumplimiento de su funcin en PETROPER.

d. Est prohibido enviar por correo electrnico archivos adjuntos que no guarden relacin con el quehacer de PETROPER, tales como: archivos de msica, video, ejecutables y, cualquier archivo de contenido pornogrfico, profano o ertico y otros.

e. Se considera como falta laboral, en concordancia con el Reglamento Interno de Trabajo, el facilitar u ofrecer la cuenta y/o buzn del correo electrnico empresarial para uso de terceras personas, darle un uso comercial o de otra naturaleza fuera de sus funciones en PETROPER, distribuir mensajes con contenidos impropios y/o lesivos a la moral y realizar envos masivos de correos no solicitados (SPAM).

f. Los colaboradores, usuarios que no tienen la condicin de trabajadores de PETROPER, que faciliten u ofrezcan la cuenta y/o buzn del correo electrnico empresarial para uso de terceras personas, que le den un uso comercial o de otra naturaleza que no corresponde a las funciones que desarrolla, distribuyan mensajes con contenidos impropios y/o lesivos a la moral o realicen envos masivos de correos no solicitados (SPAM), se les resolver el contrato de locacin de servicios o se solicitar a su empleador su relevo.

g. Todo correo electrnico externo recibido de fuente desconocida, ser eliminado en forma definitiva.

h. El envo de informacin confidencial, sensible o crtica, a travs del correo electrnico, deber realizarse observando los procedimientos para transmisin de informacin confidencial, sensible o crtica.

GERENCIA GENERAL







i. El Administrador del Sistema de Correo Electrnico deber mantener la privacidad, confidencialidad y seguridad de la informacin almacenada en el servicio de correo electrnico y, slo la podr levantar o hacer de conocimiento del que la solicita, con autorizacin del usuario o por medio de una orden judicial.

ARTCULO 16: Retencin y Eliminacin de Registros

Objetivo: Proteger los registros fsicos y lgicos importantes de la organizacin frente a su prdida y destruccin, en concordancia con los requisitos regulatorios, contractuales y de negocio. Asegurar que los registros y documentos vitales estn adecuadamente protegidos y mantenidos, asegurando que los registros que ya no son necesarios para PETROPER y que carecen de valor, sean eliminados en el momento apropiado.

Alcance: Todas las reas / Operaciones de PETROPER

a. Todos los registros de PETROPER, incluyendo expedientes y documentos electrnicos, deben ser protegidos y mantenidos adecuadamente hasta que sean necesarios, de acuerdo a lo establecido por requerimientos operativos, administrativos, legales o contractuales, conforme a lo indicado en el Cronograma de Retencin de Registros.

b. El Cronograma de Retencin de Registros debe considerar, como periodos o tiempos de retencin, los plazos establecidos en la normatividad de las entidades reguladoras que ejercen control o supervisin sobre PETROPER. Estos registros no pueden ser eliminados o destruidos antes de culminado el periodo de retencin establecido.

c. El rea / Operacin responsable designada por Gerencia General es la encargada de la supervisin del cumplimiento del Cronograma de Retencin de Registros de su competencia, cronograma que en conjunto con los Gerentes de la Estructura Bsica y Gerente Departamento Legal definirn y revisarn, estableciendo los periodos de retencin para cada tipo de registro no contemplado en el inciso anterior.

d. El Cronograma de Retencin de Registros debe ser revisado y actualizado peridicamente, para garantizar que se mantiene vigente el esquema de clasificacin de los requerimientos legales y plazos establecidos por PETROPER.

e. Todas las reas / Operaciones deben adoptar mecanismos de proteccin necesarios para salvaguardar la integridad, confidencialidad y disponibilidad de los registros fsicos, expedientes y registros electrnicos que se encuentran bajo su custodia, de acuerdo a procedimiento.

GERENCIA GENERAL







CAPTULO VI: CONTROL DE ACCESOS

ARTCULO 17: Control de Accesos

Objetivo: Controlar el acceso a los servicios y recursos informticos previniendo el acceso no autorizado a los mismos. Mantener los accesos autorizados a la informacin sobre la base de los requisitos de seguridad de la informacin y del negocio, considerando los procedimientos de transmisin de la informacin y de autorizaciones.


a. Los propietarios de los activos de informacin de PETROPER deben controlar el acceso tanto a la informacin como a los recursos de tratamiento de informacin y autorizar el acceso a los usuarios segn los privilegios que les correspondan.

b. Las reas de Tecnologas de Informacin y Comunicaciones, de Oficina Principal y las Operaciones, as como las reas usuarias, segn su nivel de aprobacin, deben habilitar los accesos y privilegios con perfiles estandarizados segn las funciones del puesto o servicio contratado, y monitorear los registros o bitcoras de auditora de acceso a los sistemas de informacin.

c. Las reas de Tecnologas de Informacin y Comunicaciones debern revisar peridicamente las actualizaciones y modificaciones de los accesos otorgados, verificando que stos estn debidamente autorizados.

d. La Gerencia Departamento Tecnologas de Informacin y Comunicaciones, conjuntamente con las reas de Tecnologas de Informacin y Comunicaciones de las Operaciones, implementarn los controles de acceso a todos los recursos informticos bajo su control.

e. Los usuarios deben cumplir con los controles de acceso implementados por PETROPER y no intentar acceder a informacin y aplicaciones a las que no estn autorizados.

f. Los usuarios deben proteger la privacidad de las contraseas y cualquier otro mecanismo de control de acceso y autenticacin a los servicios informticos de PETROPER.

g. La Gerencia Departamento Tecnologas de Informacin y Comunicaciones deber mantener actualizado un registro lgico y/o fsico de las altas y bajas de los usuarios de los servicios y recursos informticos de PETROPER.

ARTCULO 18: Protector de Pantalla y Escritorio Limpio

GERENCIA GENERAL







Objetivo: Evitar el acceso de usuarios no autorizados y el uso indebido de la informacin, que se encuentra en todos los ambientes de procesamiento de la informacin, para evitar su divulgacin, alteracin, prdida o deterioro. Los usuarios deben ser conscientes de su responsabilidad en el mantenimiento de la eficacia de las medidas de control de acceso, en particular respecto al uso de contraseas y a la seguridad de la informacin puestas a su disposicin.


a. Los usuarios deben guardar los documentos y medios de almacenamiento de informacin: Disquete, CD, DVD, Memoria USB, Disco Duro Externo y otros, cuando no se estn utilizando.

b. La informacin confidencial, crtica o sensible del negocio debe custodiarse en ambientes controlados que garanticen su integridad.

c. Los usuarios deben autorizar y supervisar el uso de su estacin de trabajo, cuando el personal de Soporte Tcnico acceda local o remotamente al equipo.

d. Los usuarios deben evitar la grabacin de archivos importantes en el escritorio de la computadora. En caso se haga por necesidad urgente, debe ser retirado el mismo da.

ARTCULO 19: Uso Servicios de Red

Objetivo: Prevenir el acceso no autorizado a los servicios de red, controlar el acceso a las redes internas y externas, y asegurar que el acceso de los usuarios a las redes y sus servicios no comprometan la seguridad de dichos servicios, por medio de:

a) Interfaces adecuadas entre la red de la organizacin y la red pblica o la red privada de otras organizaciones.

b) Mecanismos adecuados de autenticacin para los usuarios y los equipos. c) Control de los accesos de los usuarios a los servicios de informacin.


a. Los usuarios deben contar con la autorizacin de su Gerente / Superintendente / Jefe de Departamento, segn corresponda, para poder hacer uso de cualquiera de los servicios de red con los que cuenta PETROPER.

b. Los usuarios no deben usar los servicios de red de PETROPER para ver, descargar, guardar, recibir o enviar material relacionado con:

i. Contenido ofensivo de cualquier clase, incluyendo material pornogrfico, profano, ertico y otros.

ii. Promover cualquier tipo de discriminacin, sea esta basada en la raza, el gnero, la nacionalidad, la edad, el estado civil, la orientacin o preferencia sexual, la religin y/o la discapacidad.

GERENCIA GENERAL







iii. Comportamiento violento o intimidante, apuestas, juegos o beneficio econmico personal.

iv. Archivos en cualquier formato cuyo contenido no tenga relacin con las actividades propias que realiza el usuario y/o PETROPER.

c. Los usuarios deben usar el servicio de Internet con que cuenta PETROPER para el cumplimiento de sus funciones. Slo en casos extraordinarios, donde no se disponga del servicio de Internet de PETROPER, se podr usar otro servicio.

d. Los usuarios no deben descargar o abrir archivos provenientes de Internet u otras redes externas sin tener activo y actualizado el software antivirus.

e. Los usuarios no deben tratar de violar la seguridad de las estaciones de trabajo, servidores o cualquier otro equipo de comunicaciones de PETROPER.

f. Las reas de Tecnologas de Informacin y Comunicaciones Oficina Principal y Operaciones- deben habilitar y controlar los accesos a los servicios de red, monitorear la actividad en la red interna y desde / hacia Internet, evaluar las vulnerabilidades y, proponer a la Gerencia Departamento Tecnologas de Informacin y Comunicaciones los mecanismos necesarios para reforzar el cumplimiento de la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacin.

ARTCULO 20: Informtica Mvil

Objetivo: Garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil: computador porttil, celular, acceso portable a datos (PDA), entre otros, que se conectan a la red interna o procesan informacin de PETROPER.

Alcance: Todos los usuarios que utilizan dispositivos de informtica mviles asignados por PETROPER o de su propiedad.

a. Las reas de Tecnologas de Informacin y Comunicaciones realizarn una revisin del dispositivo de informtica mvil y aplicarn los controles a los equipos, antes de autorizar su conexin a la red interna.

b. Es responsabilidad del usuario, utilizando para ello las facilidades tcnicas de almacenamiento recomendadas o proporcionadas o implementadas por las reas de Tecnologas de Informacin y Comunicaciones, realizar peridicamente una copia de respaldo de la informacin confidencial, crtica o sensible contenida en sus dispositivos de informtica mvil.

c. Es responsabilidad del usuario, utilizando para ello las facilidades tcnicas de cifrado proporcionadas e implementadas por las reas de Tecnologas de Informacin y Comunicaciones, proteger la informacin confidencial del negocio

GERENCIA GENERAL







que reside en los dispositivos de informtica mvil para evitar su divulgacin en caso de prdida o robo.

d. Los usuarios que utilizan dispositivos mviles de informtica, debern tener en cuenta el Procedimiento de Seguridad de Equipos fuera de las Instalaciones de PETROPER, cuando el caso lo amerite.

CAPTULO VII: ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Objetivo: Proteger la confidencialidad, autenticidad e integridad de la informacin. Se debern usar sistemas y tcnicas criptogrficas para proteger la informacin sometida a riesgo, cuando otras medidas y controles no proporcionen la proteccin adecuada.

Alcance: Gerencia Departamento Tecnologas de la Informacin y Comunicaciones, reas de Tecnologas de la Informacin y Comunicaciones de las Operaciones, y usuarios.

ARTCULO 21: Adquisicin y Desarrollo

Los proyectos relacionados con tecnologas de informacin y comunicaciones, involucran distintas fases durante su Ciclo de Vida, como son: Proceso de adquisicin y desarrollo de sistemas, pre-implementacin, implementacin, post implementacin y revisin de la calidad.

En cada una de estas fases se deber contemplar la implementacin de controles lgicos de aplicacin definidos en los requerimientos efectuados por los usuarios.

ARTCULO 22: Uso de Controles Criptogrficos

a. El uso de algoritmos de cifrado propietarios no est permitido para ningn propsito, a menos que sea revisado por personal experto y aprobado por la Gerencia Departamento Tecnologas de Informacin y Comunicaciones o las reas de Tecnologas de Informacin y Comunicaciones de las Operaciones.

b. La informacin sensible, crtica o confidencial debe ser cifrada antes de ser transmitida, en especial cuando se utilizan equipos de informtica mvil fuera de las instalaciones de PETROPER.

CAPTULO VIII: RECURSOS HUMANOS E INFORMACIN CONFIDENCIAL

ARTCULO 23: Proteccin de Datos y Privacidad de la Informacin Personal

Objetivo: Evitar el incumplimiento de la normatividad legal aplicable, requisitos reglamentarios u obligacin contractual, as como toda obligacin de seguridad de la informacin relacionada con la privacidad de la informacin personal.


GERENCIA GENERAL







a. Todos los datos personales, como es el caso de legajos de personal, exmenes mdicos, entre otros, son considerados confidenciales.

b. La recoleccin de datos personales no puede hacerse por medios desleales, fraudulentos, en forma contraria a las disposiciones de la ley o sin el consentimiento del titular o persona natural a la que estn referidos.

c. Los datos personales deben utilizarse solo para los fines para los cuales han sido recolectados, salvo que provengan o se hayan recolectado de fuentes accesibles al pblico o a travs de la Ley de Transparencia y Acceso a la Informacin Pblica.

d. Los datos personales sensibles, que revelan origen racial y tnico, opiniones polticas, convicciones religiosas, filosficas o morales, afiliacin sindical e informacin referente a la salud o a la vida sexual, slo pueden ser recolectados y ser objeto de tratamiento, cuando la ley lo autorice o exista mandato judicial o consentimiento del titular o cuando sean datos necesarios para la determinacin u otorgamiento de beneficios de salud que correspondan a sus titulares.

e. Los datos personales deben ser almacenados en reas seguras: i) Fsicas: restringiendo el acceso a personal no autorizado y, haciendo uso de mecanismos de proteccin que garanticen su privacidad, legitimidad, confidencialidad e integridad. ii) Lgicas: haciendo uso de contraseas para el acceso a las redes, sistemas de informacin, aplicaciones y/o bases de datos que contengan datos personales.

f. Las reas de Recursos Humanos son responsables del registro de los datos personales, as como de supervisar la implantacin de medidas tcnicas y organizativas que resulten necesarias para garantizar la integridad y confidencialidad de los datos personales, de modo de evitar su mal uso, adulteracin, prdida, as como consulta o tratamiento no autorizado.

g. La Gerencia Departamento Tecnologas de Informacin y Comunicaciones asesorar a la Gerencia Departamento Recursos Humanos, a su expresa solicitud, en la implementacin corporativa de controles de seguridad de la informacin, usando tecnologas de informacin y comunicaciones propias o contratadas por PETROPER.

h. Los datos personales confidenciales o reservados, slo podrn ser revelados por mandato judicial y/o cuando medien razones fundadas relativas a la seguridad pblica, la defensa nacional o la salud pblica.

CAPTULO IX: DISPOSICIONES COMPLEMENTARIAS

GERENCIA GENERAL







PRIMERA: Aplicacin Supletoria En todo lo no previsto expresamente en el presente reglamento, ser de aplicacin lo dispuesto en el Estatuto Social y/o norma aplicable a PETROPER.

SEGUNDA: Propuesta de Procedimientos, Formatos y Otros En un plazo de noventa (90) das de entrada en vigencia del presente reglamento, las Gerencias de la Estructura Bsica presentaran al Comit de Seguridad de la Informacin sus procedimientos tcnicos, formatos y otros, necesarios para la aplicacin del Reglamento de Seguridad de la Informacin.

TERCERA: Aprobacin de Procedimientos, Formatos y Otros Los Procedimientos, para la correcta aplicacin del presente reglamento, debern ser aprobados por Gerencia General en un plazo mximo de nueve (9) meses de entrada en vigencia del Reglamento de Seguridad de la Informacin.

CUARTA: Vigencia del Reglamento El presente reglamento entrar en vigencia a partir del dcimo quinto (15) da til de su aprobacin.

QUINTA: Difusin y Supervisin del Reglamento La difusin a todos los usuarios, estar a cargo de la Gerencia General, Gerencias de Estructura Bsica, Gerencias y Superintendencias de la Organizacin Complementaria, Jefes de Departamento / Unidad / Asesora / Oficina, y Supervisores, en forma de cascada.

El Comit de Seguridad de la Informacin promover la adecuada difusin del contenido y alcances del Reglamento, as como la supervisin de su estricto cumplimiento, para lo cual deber orientar la capacitacin a todo el personal, colaboradores y usuarios, a travs de las Oficinas de Recursos Humanos y los Administradores de Contratos.

El Comit de Seguridad de la Informacin podr revisar cuando se lo propongan o cuando el caso lo amerite el contenido del presente Reglamento, en coordinacin con las dependencias competentes de la Empresa, y propondr las modificaciones que correspondan, para garantizar la confidencialidad, integridad y disponibilidad de toda la informacin que almacena y procesa PETROPER.

GERENCIA GENERAL







CAPTULO X: ANEXOS

ANEXO 1: Glosario de Trminos

1. Activo de Informacin: Recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin alcance los objetivos propuestos.

2. Ambiente Controlado: Ambiente que puede ser de acceso restringido, donde existen controles para el ingreso de personal autorizado; o, abierto, de tal manera que est a la vista de varias personas, evitando el ingreso de algn intruso, todo ello de acuerdo a la sensibilidad de la informacin que se trate.

3. Anlisis de Riesgos: Es el estudio de las causas de las posibles amenazas, y los daos y consecuencias que stas puedan producir.

Para el anlisis de riesgos se utilizan herramientas informticas que automatizan las actividades de identificacin, evaluacin, y tratamiento de los riesgos, que permiten construir un registro histrico de los eventos de incidentes que ha tenido la organizacin, as como indicar y dejar registradas las medidas de mitigacin que se tomaron en cuenta para disminuir el impacto de las vulnerabilidades.

4. Autenticacin: Es el proceso de verificar la identidad digital del remitente de una comunicacin como una peticin para conectarse. El remitente siendo autenticado puede ser una persona que usa un computador o un programa del computador. En una Web, "autenticacin" es un modo de asegurar que los usuarios son quin dicen ser.

5. Asignacin de Recursos Informticos: Es el acto por el cual se entrega, a un determinado usuario, recursos informticos especficos, de acuerdo al pedido formulado por el rea donde presta servicio. Los autorizados a formular dicha solicitud, estn establecidos en el Cuadro de Niveles de Autoridad y Responsabilidad.

6. Cdigos Ocultos Maliciosos o Cdigo Troyano: Es un programa computacional que aparentemente es til pero que en realidad causa dao, los cuales pueden encontrarse en las aplicaciones software sin la autorizacin o desconocimiento de los usuarios o los administradores de la red de datos.

7. Confidencialidad de la Informacin: Se refiere a la gradualidad de la reserva de la informacin por parte del dueo de esta, para que sea usada solo por personas autorizadas que indique el dueo de dicha informacin.

8. Control:

GERENCIA GENERAL







Poltica, reglamento, procedimientos, prcticas y/o estructuras organizacionales diseadas para proporcionar una garanta razonable, que los objetivos del negocio se alcanzarn y los eventos no deseados sern prevenidos o detectados.

9. Control por Oposicin: Se establece para mantener una adecuada segregacin de funciones sobre una tarea o actividad, de tal forma que un usuario o un rea de la organizacin pueda iniciar y registrar las transacciones mientras un segundo usuario o rea de la gestin lo revisa de manera concurrente.

10. Contrasea: Es un cdigo o una palabra que se utiliza para acceder a datos restringidos de un ordenador. Mientras que las contraseas crean una seguridad contra los usuarios no autorizados, el sistema de seguridad slo puede confirmar que la contrasea es vlida, y no si el usuario est autorizado a utilizar esa contrasea.

11. Controles Criptogrficos: Son mecanismos establecidos para controlar o proteger la integridad, confidencialidad y autenticidad de la informacin o comunicaciones de los usuarios en una red de datos.

12. Correo Electrnico: Toda referencia al correo electrnico se entiende referida al correo electrnico que asigna PETROPER a sus usuarios, para fines propios del ejercicio de sus funciones. Dichos correos electrnicos utilizan el dominio petroperu.com.pe.

13. Criptografa: Es la rama del conocimiento que se encarga de la escritura secreta, originada en el deseo humano por mantener confidenciales ciertos temas. Este procedimiento permite asegurar la transmisin de informaciones privadas por las redes pblicas, desordenndola matemticamente encriptndola o cifrndola de manera que sea ilegible para cualquiera, excepto para la persona que posea la "llave" que pueda ordenar desencriptar o descifrar la informacin nuevamente.

14. Customisar: Modificar una herramienta u objeto para adaptarlo a las preferencias de un usuario o propietario, en especial de tal manera que se distinga de cualquier otro. Seleccionar las preferencias del producto o servicio fsico, o contenidos de informacin, que desea que le sean suministrados.

15. Cronograma Retencin de Registros: Intervalo de tiempo que almacenamos un registro antes de eliminarlo.

16. Empleado: Toda persona natural que presta servicios en PETROPER, con contrato de trabajo a plazo indeterminado o a plazo fijo.

17. Equipo Informtico:

GERENCIA GENERAL







Aquel bien que almacena, traslada y procesa informacin, sean stos propios o contratados bajo cualquier modalidad por PETROPER.

18. Estacin de Trabajo: Es el equipo computadora personal o porttil- asignado al usuario de PETROPER, conforme a los procedimientos derivados de la Poltica Corporativa y Reglamento de Seguridad de la Informacin.

19. Herramientas de Ofimtica: Permiten idear, crear, operar, transmitir y almacenar la informacin necesaria para la gestin de PETROPER, tales como: Procesamiento de textos. Hoja de clculo. Herramientas de presentacin multimedia. Utilidades: agendas, calculadoras, etc. Programas de e-mail, correo de voz, mensajeros, dispositivos

inalmbricos. Suite o paquete ofimtico: paquete de mltiples herramientas ofimticas

como Microsoft Office, OpenOffice, etc.

20. Informacin Crtica / Sensible / Confidencial: Informacin Crtica: Es indispensable para la operacin de

PETROPER. Informacin Sensible: Debe de ser conocida por personas autorizadas. Informacin Confidencial: Clasificacin de alta seguridad pero de

distribucin limitada.

21. Interfaz Grfica: Conocida como GUI, es un programa informtico que interacta con el usuario, utilizando un conjunto de imgenes y objetos grficos para representar la informacin y acciones disponibles en la interfaz. Su principal uso consiste en proporcionar un entorno visual sencillo, para permitir la comunicacin con el sistema operativo de una estacin de trabajo.

22. Llave: En encriptacin y firmas digitales, es un valor utilizado en combinacin con un algoritmo para encriptar (cifrar) o desencriptar (descifrar) informacin.

23. Log de Eventos: Registro escrito y permanente que recauda la informacin de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos informticos.

24. Log Servers: Se denomina Log Servers a los registros automticos que realizan los servidores para almacenar datos de identificacin como: procesos normales o fallidos del sistema informtico, registro de horas de ingreso y salida de los usuarios al sistema informtico, identificacin de aplicaciones que se usaron, que fallas y en que hora ocurrieron, as como referencias a dichas fallas, entre otros.

GERENCIA GENERAL







25. No Repudio / No Rechazo: Es la habilidad de identificar quien ha llevado a cabo acciones desde una computadora personal, con el objetivo de que los usuarios no puedan negar las responsabilidades de las acciones que ellos llevan a cabo. Generalmente utilizado en el sentido de crear una huella de auditoria indiscutible para identificar la fuente de una transaccin comercial o acciones maliciosas.

26. Propietario Activo de Informacin: Son los Gerentes o Superintendentes de la Organizacin Complementaria, los Jefes de Departamento, Unidad, Planta u Oficina y los Supervisores, quienes tienen la responsabilidad de gestionar la integridad, el uso y el reporte preciso de los datos, para ejecutar y para controlar el negocio, compromiso que incluye autorizar el acceso y asegurar que estn actualizadas las reglas de acceso cuando ocurran cambios de personal o colaboradores.

27. Recursos Informticos: Referido a la generalidad de equipos informticos (hardware) y programas de ordenador (software y sistemas de informacin), cuyo uso y aplicacin es normado por la Gerencia Departamento Tecnologas de Informacin y Comunicaciones.

28. Red de Datos: Consiste en la interconexin entre las estaciones de trabajo con que cuenta PETROPERU. La Red de Datos incluye tanto el hardware como el software necesarios para la interconexin de los distintos dispositivos y el tratamiento de la informacin.

29. Registro o Bitcora de Auditora: Registro cronolgico de las actividades de un sistema para permitir la reconstruccin y el examen de las actuaciones de los usuarios en el mismo.

30. Seguridad Fsica de los Recursos Informticos y de Telecomunicaciones: Son las medidas de seguridad externas o fsicas destinadas a proteger las instalaciones donde residen los equipos informticos y de telecomunicaciones con que cuenta PETROPER.

31. Seguridad Informtica: Son las tcnicas desarrolladas para proteger los equipos informticos o sistemas conectados en una red, frente a daos accidentales o intencionados.

32. Seguridad Lgica de los Recursos Informticos: Son los mecanismos destinados a proteger la informacin almacenada en los equipos informticos y la transmisin de datos de PETROPER.

33. Servicio de Ofimtica: Es el servicio que abarca el conjunto de tcnicas, aplicaciones y herramientas informticas que se utilizan en funciones de oficina para optimizar, automatizar y mejorar los procedimientos o tareas relacionadas.

34. Sistema de Deteccin de Intrusos:

GERENCIA GENERAL







Sistemas utilizados para detectar las intrusiones o los intentos de intrusin; cualquier mecanismo de seguridad con este propsito puede ser considerado un IDS, pero generalmente slo se aplica esta denominacin a los sistemas automticos (hardware o software).

35. Soporte Tcnico: Es el servicio de asesora, mantenimiento y reparacin que brinda la Gerencia Departamento Tecnologas de Informacin y Comunicaciones a los usuarios de PETROPER, en forma presencial o remota, mediante comunicaciones telefnicas, por correo electrnico o por cualquier otro medio de comunicacin interna.

36. Tratamiento de Informacin: Es una serie ordenada de operaciones realizadas sobre la informacin: captacin, almacenamiento, clasificacin, elaboracin y utilizacin de la informacin.

37. Usuario: Persona que cuenta con autorizacin para tener acceso a la informacin o recursos de tratamiento de la informacin de PETROPER. Ejemplo: Miembros del Directorio, Gerente General, Gerentes de Estructura Bsica y Complementaria, Trabajadores, Practicantes, Consultores, Prestadores de Servicios Profesionales, Personal de Empresas Contratistas, etc.

38. Virus Informtico Un virus informtico es un programa creado especialmente para invadir computadores y redes y crear el caos. El dao puede ser mnimo, como hacer aparecer una imagen o un mensaje en la pantalla, o puede hacer mucho dao alterando o incluso destruyendo archivos dentro de la computadora.

GERENCIA GENERAL







ANEXO 2: Modelo de Texto de Confidencialidad y Cuidado del Ambiente para Servicio de Correo Electrnico

El texto legal de confidencialidad ser pie de pgina de todos los correos que se emiten con el servicio de correos de PETROPER, estar redactado en espaol e ingles y llevar adicionalmente un mensaje sobre cuidado del ambiente.

Aviso Legal de Confidencialidad:

Este correo y la informacin contenida o adjunta al mismo es privada y confidencial y va dirigida exclusivamente a su destinatario. PETROPER informa a quien pueda haber recibido este correo por error que contiene informacin confidencial cuyo uso, copia, reproduccin o distribucin est expresamente prohibida.

Si no es usted el destinatario del mismo y recibe este correo por error, le rogamos lo ponga en conocimiento del emisor y proceda a su eliminacin sin copiarlo, imprimirlo o utilizarlo de ningn modo.

Privacy Disclaimer:

This mail and its attached information are private, confidential and it only has one addressee. If anybody receives this mail by error, PETROPERU informs the possible receiver that the use, copy, reproduction or distribution of it is forbidden.

Despite you are not the addressee of the e-mail and you receive it by error, we will appreciate you immediately inform the emitter and delete the mail without making a copy or impression, or use it in any way.

Cuidado del Ambiente:

Cuidar nuestro ambiente es tambin tu compromiso. Imprime este mensaje y/o sus adjuntos solo si es imprescindible hacerlo. Reducir el consumo innecesario de papel es tu decisin.

Care for the Environment:

Caring for our environment is also your commitment. Print this message and/or its attachments only if it is essential to do so. Reducing the unnecessary consumption of paper is your decision.

GERENCIA GENERAL







ANEXO 3: Requisitos de Seguridad de la Informacin con Empleados, Colaboradores, Usuarios y Otros Terceros

3.1. Los contratos de trabajo con empleados, convenios con practicantes, contratos de locacin de servicios y otros anlogos, deben contener segn corresponda las siguientes clusulas:

Contratos de Trabajo:

Es obligacin del contratado cumplir con la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacin de PETROPER y, mantener la confidencialidad y privacidad de la informacin recibida, en medios impresos o en formato digital, de proveedores, organismos reguladores, socios estratgicos o comunidad vinculada, que mantengan relacin con PETROPER.

No mantener el riguroso cuidado de los activos de informacin de PETROPER otorgados para su uso, ni avisar a tiempo de fallas en los mismos al rea de Tecnologas de Informacin y Comunicaciones de la dependencia donde presta servicios, es considerado un incumplimiento de la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacin de PETROPER.

Clusula sobre privacidad y confidencialidad empresarial:

El contratado tiene y asume la obligacin de guardar el secreto y la confidencialidad de toda la informacin de PETROPER a la que tenga acceso en virtud del presente contrato, esta obligacin subsistir an durante el plazo de un (1) ao despus de finalizada la relacin laboral. El contratado ser responsable de todos los daos y perjuicios que se deriven como consecuencia del incumplimiento doloso o culposo de dicha obligacin

Convenios de Prcticas:

Es obligacin del practicante cumplir con la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacin de PETROPER, guardar confidencialidad y reserva de la informacin a la que acceda en virtud del presente convenio, y reportar de inmediato cualquier irregularidad de seguridad de la informacin detectada.

No mantener el riguroso cuidado de los activos de informacin de PETROPER otorgados para su uso, ni avisar a tiempo de fallas en los mismos al rea de Tecnologas de Informacin y Comunicaciones de la dependencia donde desarrolla sus prcticas, es considerado un incumplimiento de la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacin de PETROPER.

Contratos con Terceros:

El contratista deber cumplir con la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacin de PETROPER, guardar confidencialidad y reserva de la informacin a la que acceda en virtud del presente contrato, y reportar de inmediato cualquier irregularidad de seguridad de la informacin detectada.

GERENCIA GENERAL







No mantener el riguroso cuidado de los activos de informacin de PETROPER otorgados para su uso, ni avisar a tiempo de fallas en los mismos al rea de Tecnologas de Informacin y Comunicaciones de la dependencia donde suministra servicios, es considerado un incumplimiento de la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacin de PETROPER.

Nota: Para los contratos vigentes, el Administrador del Contrato deber cursar una comunicacin adjuntando un ejemplar de la Poltica Corporativa, Reglamento y/o Procedimientos de Seguridad de la Informacin, en el ltimo caso conforme se aprueben cuando sean de aplicacin.

3.2. La Gerencia Departamento Recursos Humanos deber incorporar al Reglamento Interno de Trabajo las recomendaciones siguientes:

Captulo II: Derechos y Obligaciones de la Empresa, Artculo 7:

Brindar, desde la induccin, entrenamiento y capacitacin permanente sobre la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacin, que permita comprender los requisitos de seguridad de la informacin, responsabilidades legales y controles del negocio, as como las buenas prcticas en el uso de los recursos de tratamiento de la informacin.

Captulo IV: Obligaciones de los Trabajadores, Artculo 17:

a. Cumplir con la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacin.

b. Reportar cualquier incidente de seguridad de la informacin al Comit de Seguridad de la Informacin o Supervisor de Seguridad de la Informacin, segn el procedimiento de gestin de incidencias establecido.

c. Controlar los trminos de seguridad de la informacin en contratos con terceros y en la relacin con nuestros clientes.

d. Velar por la seguridad de los activos de informacin que estn a su cargo y bajo su responsabilidad, as como la del personal, colaboradores, usuarios y otros terceros, de la dependencia o rea bajo su supervisin.

GERENCIA GENERAL







ANEXO 4: Modelo Cronograma de Retencin de Registros

Relacin referencial de categorizacin de registros, documentos y periodos de retencin:

Ejemplo de categorizacin para registros o expedientes:

a. Contabilidad y Finanzas b. Documentos Electrnicos c. Expedientes Corporativos d. Correspondencia y Memorando Interno e. Contratos f. Expedientes Legales y Documentos g. Documentos de Pago h. Documentos de Pensiones i. Expedientes de Personal j. Expedientes de Impuestos

Ejemplo de documentos y periodos de retencin:

a. Contabilidad y Finanzas:

Ser determinado por la Gerencia rea Finanzas con sujecin al Artculo 16 del Reglamento.

Tipo de Registro / Expediente Periodo de Retencin Cuentas pagadas a proveedores. Siete (7) aos Cuentas recibidas por proveedores. Siete (7) aos Reportes anuales de auditora y estados financieros. Permanente Registros anuales de auditora, incluyendo papeles de trabajo y otros documentos relacionados a la auditora.

Siete (7) aos despus de culminada la Auditora

Planes anuales y presupuestos. Dos (2) aos Estados bancarios y cheques cancelados. Siete (7) aos

Nota: Los plazos dependern de la norma legal o poltica interna en casos no legislados.

b. Documentos Electrnicos:

Ser determinado por las gerencias competentes con sujecin al Artculo 16 del Reglamento.

Tipo de Registro / Expediente Periodo de Retencin Todos los e-mails recibidos y enviados fuera y dentro de PETROPER sern eliminados despus de un tiempo determinado.

Un (1) ao Los correos relacionados a temas de PETROPER deben ser bajados a un directorio o carpeta en un servidor de red.

Permanente

GERENCIA GENERAL







PETROPER retendr a travs de sus procesos de backup, los correos eliminados por los usuarios del servicio, despus de ese tiempo estos correos sern eliminados definitivamente.

Seis (6) meses

Nota: No todos los correos electrnicos deben retenerse, depende del asunto del mismo.

c. Documentos Impresos: Establecer pautas para los Archivos Centrales de OFP y las Operaciones, as como otros archivos bajo custodia de las Gerencias de Estructura Bsica.

d. Documentos en Archivos Compartidos: Establecer pautas para los lugares compartidos en la red y considerar un acpite en los Procedimientos de Seguridad de la Informacin.

GERENCIA GENERAL







ANEXO 5: Transmisin de Informacin Confidencial, Crtica o Sensible

El procedimiento de tratamiento de informacin confidencial, crtica o sensible, debe incluir:

a) La informacin impresa que sea clasificada como CONFIDENCIAL, CRTICA O SENSIBLE, adems de ser clasificada y rotulada de la misma manera en sobre cerrado, deber ser lacrada para evitar y/o detectar su lectura y/o difusin no autorizada; asimismo, cada hoja que la contiene deber poseer el sello de agua de CONFIDENCIAL, CRTICA O SENSIBLE, ello con el fin de mantener su carcter de reserva en caso sea reproducida por algn medio electrnico (fax, scanner, fotocopia, etc.)

b) Para el caso de envo de informacin, clasificada como CONFIDENCIAL, CRTICA O SENSIBLE, entre las diferentes reas de PETROPER, por medio del sistema de correo electrnico o a travs de cualquier sistema de directorio de archivos, el archivo que contiene la misma deber ser convertido a un formato seguro que evite su modificacin, copiado parcial o impresin del mismo, para ello se recomienda su conversin a formato PDF Seguro.

c) La informacin impresa que sea clasificada como CONFIDENCIAL, CRTICA O SENSIBLE, deber ser guardada en archivadores independientes y exclusivos en un lugar seguro y bajo llave.

d) Cualquier informacin considerada de carcter CONFIDENCIAL, CRTICA O SENSIBLE, solicitada por alguna organizacin pblica o privada, externa a PETROPER, deber ser canalizada y enviada al rea competente, la cual coordinar con la Gerencia General o la Gerencia de Estructura Bsica, segn fuere el caso, la decisin de entregarse o no.

e) Tratndose de informacin requerida por la administracin pblica, se deber brindar informacin documentada, de acuerdo a los procedimientos administrativos y/o legales establecidos.

GERENCIA GENERAL







ANEXO 6: Composicin del Comit de Seguridad de la Informacin

Miembros del Comit de Seguridad de la Informacin:

Presidente Representante 1 de Gerencia General Suplente Representante 2 de Gerencia General

Miembro Representante 1 de Gerencia Operaciones Talara Suplente Representante 2 de Gerencia Operaciones Talara

Miembro Representante 1 de Gerencia Operaciones Oleoducto Suplente Representante 2 de Gerencia Operaciones Oleoducto

Miembro Representante 1 de Gerencia Operaciones Selva Suplente Representante 2 de Gerencia Operaciones Selva

Miembro Representante 1 de Gerencia Operaciones Conchan Suplente Representante 2 de Gerencia Operaciones Conchan

Miembro Representante 1 de Gerencia Operaciones Comerciales Suplente Representante 2 de Gerencia Operaciones Comerciales

Miembro Representante 1 de Gerencia rea Produccin y Planeamiento Suplente Representante 2 de Gerencia rea Produccin y Planeamiento

Miembro Representante 1 de Gerencia rea Finanzas Suplente Representante 2 de Gerencia rea Finanzas

Miembro Representante 1 de Gerencia Departamento Legal Suplente Representante 2 de Gerencia Departamento Legal

Miembro (*) Gerente Departamento Tecnologas de Informacin y Comunicaciones

Miembro (*) Jefe Unidad Seguridad OFP

Coordinador (**) Representante Departamento Tecnologas de Informacin y Comunicaciones, quien participar del Comit con voz pero sin voto.

Equipo Interno de Seguridad de la Informacin: Compuesto por un (1) representante de cada una de las reas de Tecnologas de

Documents

ReglamentoSeguridadInformacionPETROPERU-28Dic2010