Página principal



Para el Registro de Auditoría y Monitoreo

Descargar 5.03 Mb.

Para el Registro de Auditoría y Monitoreo





Descargar 5.03 Mb.
Página58/107
Fecha de conversión13.12.2018
Tamaño5.03 Mb.
1   ...   54   55   56   57   58   59   60   61   ...   107
10.1.4 Para el Registro de Auditoría y Monitoreo

 

106

La nueva solución de Core Bancario deberá contar con un módulo de seguridad para la gestión y monitoreo de los registros de eventos de auditoría, respecto a la disponibilidad, integridad y confidencialidad de los datos y/o información.

 

107

El módulo de seguridad deberá proveer mecanismos para la gestión que ayuden a determinar qué es lo que sucede en el sistema, qué es lo que hace cada uno de los usuarios o sistemas, los tiempos y fechas de dichas acciones, excepciones y eventos que ayuden en investigaciones y deberá cumplir con las siguientes características:

 

108

Ser fácilmente identificables a través de un código de identificación o similar. Deben ser fácilmente exportables a diferentes formatos digitales como un documento Word, Excel, Power Point, etc.

 

109

Indicar el inicio de sesión e intentos fallidos de acceso de los usuarios.

 

110

Incluir información que permita identificar las acciones realizadas en el procesamiento de datos en los sistemas de información, servicios informáticos y plataformas tecnológicas, según los siguientes criterios:
- ¿Quién lo hizo?: usuario, aplicación o proceso que inició el evento.
- ¿Qué hizo?: tipo de acción que representa el evento.
- ¿Cuándo lo hizo?: ¿Cuando ocurrió el evento? Bajo el siguiente formato: DD/MM/AAAA para la fecha y de HH:MM:SS para el tiempo.
- ¿Qué objeto se vio afectado?: un objeto puede ser cualquier tipo de archivo, base de datos, aplicación, permisos, etc. que fue manipulado por el evento.
- ¿Dónde lo hizo?: ¿Sobre qué equipo sucedió el evento? Que permita la identificación del equipo como dirección IP, puerto, dirección URL, etc.
- ¿Desde dónde lo hizo?, ¿Qué sistema es la fuente del evento?

 

111

Estar en formato de texto según la plataforma operativa donde resida la información, permitiendo leerlos y desplegarlos en formatos diferentes, y facilitando la emisión de reportes con criterios parametrizables.

 

112

Proporcionar datos que faciliten establecer la causa de un incidente de seguridad de la información.

 

113

Registrar las acciones realizadas con las cuentas de usuario final, principales, privilegiadas y de integración de los sistemas de información, servicios informáticos y plataformas tecnológicas.

 

114

Los registros de auditoria deben ser inalterables, inclusive los usuarios con cuentas privilegiadas no deben tener acceso para modificarlos.

 

115

Contar con facilidades para el almacenamiento de información histórica, así como para la recuperación de la misma en ambientes diferentes al de producción.

 

116

Registrar los cambios en la configuración de las aplicaciones del Nuevo Core Bancario.

 

117

Las operaciones financieras y consultas deberán ser registradas como eventos de auditoría desde su inicio hasta su culminación.

 

118

La fecha y hora deben estar sincronizadas en todos los componentes del sistema con una fuente que proporcione la hora exacta, para asegurar que los registros de eventos de auditoría reflejen el tiempo exacto de ocurrencia.

 

119

Los registros de eventos de auditoría de la solución propuesta deberán permitir recopilar, ordenar y correlacionar los eventos de seguridad del sistema, relacionados con las aplicaciones y los accesos del Nuevo Core Bancario

 

120

Los registros de eventDos de auditoría de la solución propuesta deberán permitir automatizar la colección de eventos del Nuevo Core Bancario y dispositivos de seguridad, de forma centralizada.

 

121

El módulo de seguridad deberá proveer mecanismos para monitorear el uso de las cuentas principales, integración, privilegiadas y de usuarios de los sistemas operativos, base de datos y aplicaciones, que permita, identificar la cuenta del usuario, fecha y hora de acceso, archivos a los cuales se tuvo acceso, acciones realizadas, programas y herramientas utilitarios utilizadas, direcciones y protocolos de la red. Este módulo también deberá alertar en tiempo real las violaciones a las políticas de seguridad de la información.

 


10 .1.5 Normativa Interna

 

122

El Contratista deberá tener en cuenta los lineamientos de seguridad de la información descritos en la normativa vigente y las que se desarrolle en relación a los controles de Seguridad de la Información del Banco de la Nación. Actualmente se cuenta con:
• Directiva, Banco de la Nación-DIR-2100 N° 113-01 Administración de Registros de Eventos de Auditoria en los Sistemas de Información, Servicios Informáticos y Plataformas Tecnológicas del Banco de la Nación.
• Directiva, Banco de la Nación-DIR-2100 N° 055-023 Gestión de Accesos e Identidades a los Sistemas de Información, Servicios Informáticos y Plataformas Tecnológicas del Banco de la Nación.
• Directiva, Banco de la Nación-DIR-2100 N° 112-01 Parámetros de Acceso a los Sistemas de Información, Servicios Informáticos y Plataformas Tecnológicas del Banco de la Nación.
• Circular Banco de la Nación-CIR-2100 N° 177-01 “Gestión de cuentas principales y de integración de los sistemas de información, servicios Informáticos y plataformas tecnológicas”.
• Directiva Banco de la Nación-DIR-2100 N° 121-01 “Clasificación de la información del Banco de la Nación”.
• Circular Banco de la Nación-CIR-2100 N° 274-01 ”Gestión de Incidentes de Seguridad de Información”.
• Directiva Banco de la Nación-DIR-2400 N° 147-01 ”Ciclo de Vida del Software”.
• Directiva Banco de la Nación - BN-DIR-2100N° 162-01 “Administración de Claves Criptográficas”.
• Manual de Políticas del Sistema de Seguridad de la Información BN-MAN-2100 N°001-01

 


10 .1.6 Acuerdos de Confidencialidad

 

123

El Contratista de la solución deberá firmar un compromiso de confidencialidad respecto de la información que se obtenga del Banco de la Nación, sea que la haya obtenido de manera directa o indirecta.
Cláusula de Confidencialidad de información:
• Por el presente instrumento, el Contratista se obliga a guardar estricta y severa reserva, confidencialidad y secreto respecto de la información de EL BANCO que se le proporcione o de la cual tome conocimiento, sea voluntaria o involuntariamente, con ocasión y a consecuencia de la prestación del servicio contratado, o por error de quien se la provee, bajo cualquier modalidad o vía de acceso, y aquella obtenida o producida por el Contratista (informes) para EL BANCO en razón de la prestación del servicio, siendo su compromiso formal utilizar dicha información exclusivamente para la prestación del servicio contratado y de ningún modo en perjuicio de EL BANCO.
• En este contexto, toda información referida a clientes, personal, contabilidad, finanzas, productos, tráfico de llamadas telefónicas, tráfico de Internet, mensajería electrónica, actividades de comercialización, planes de negocio, acuerdos y actas de directorio, técnicas de marketing, procesos, servicios, políticas de precios, estrategias, buenas prácticas, metodología de trabajo, especificaciones técnicas, hardware, software, diseños, planos, dibujos, prototipos, nombres o marcas comerciales, modelos, descubrimientos, investigaciones, desarrollos, procesos, procedimientos, propiedad intelectual, sistemas de seguridad, estructura y distribución de las oficinas, sucursales y agencias y también toda aquella información obtenida de terceras partes para EL BANCO, SE CONSIDERA CONFIDENCIAL Y ESTÁ CONSIDERADA COMO PARTE DE LA OBLIGACIÓN DE RESERVA ABSOLUTA QUE ASUME el Contratista POR EL PRESENTE CONTRATO, aún después de concluido el CONTRATO por cualquier causa.
• El Contratista declara tener total conocimiento que la infracción del compromiso de reserva, confidencialidad y secreto será considerado como incumplimiento contractual y, en consecuencia, será causal de resolución del contrato. No obstante, el Contratista queda exento de responsabilidad si la información o documentación es difundida por razón de mandato judicial, legalmente requerida, o por terceros sin vinculación a él.

 


10 .1.7 Mecanismos de Seguridad Informática

 

124

Dado que algunas de las características de los Web Services, como la accesibilidad a la información, el intercambio dinámico, la autonomía, no son contemplados dentro de los modelos y controles tradicionales de seguridad, se requiere de mecanismos que garanticen la confidencialidad e integridad de los datos que son transmitidos por los protocolos de Web Services. Bajo este contexto, además de la necesidad de sistemas de seguridad perimetrales como firewalls y sistemas de detección de intrusos o soluciones como TLS y SSL que trabajan asegurando comunicaciones punto a punto para proteger las arquitecturas basadas en servicios (SOA), se requiere asegurar mensajes SOAP y documentos XML para que puedan ser transmitidos a través de una infraestructura de conectividad segura entre aplicaciones.
Considerando que la nueva solución de Core Bancario estará basada en una Arquitectura Orientada a Servicios, en estándares y protocolos abiertos como XML, SOAP, UDDI, WSDL, entre otros, la solución propuesta debe proveer mecanismos de seguridad adecuados al manejo de Web Services, por lo cual debe incluir una capa de seguridad basada en estándares de seguridad de la industria como WS-Security (XML Digital Signature, para asegurar la integridad de los mensajes y XML Encryption, para garantizar la confidencialidad de los mismos), o su equivalente considerando que sean estándares abiertos. La nueva solución deberá permitir el uso de mecanismos basados en XML Key Management y SAML, y soportar el uso de mecanismos de refuerzo de seguridad de la información mediante el uso de firmas digitales, certificados digitales, cifrado de datos (AES, DES/Triple DES, RSA, TEA/XTEA), entre otros.

 


10 .2 Requerimientos de Contingencia

 

125

La nueva solución de Core Bancario deberá brindar un esquema de contingencia, que permita una continuidad operativa de sus servicios, cuando el Ambiente de Producción, o la red de comunicaciones hayan tenido incidentes que afecten su disponibilidad. Por tanto, el Nuevo Core Bancario deberá estar preparado para que cuando se presenten problemas con los componentes de hardware o de comunicaciones que forman parte de la infraestructura del Centro de Cómputo Principal, los servicios suspendidos deberán ser brindados en el Ambiente de Respaldo, manteniendo la continuidad del negocio, y permitiendo la recuperación, en casos de contingencia o una situación de desastre.

 

126

La nueva solución de Core Bancario deberá ofrecer facilidades para la replicación en línea de transacciones, y la obtención de respaldos “en caliente”, de modo de garantizar la redundancia del Ambiente de Respaldo, tanto para el caso de daños temporales del equipo principal, como para el caso de recuperación de desastres. El Contratista deberá aprovechar las facilidades que ya ofrece el Banco de la Nación, con sus dos Centros de Procesamiento y la interconexión con fibra óptica existente entre los dos.

 

127

La nueva solución de Core Bancario deberá permitir la implementación de esquemas de alta disponibilidad que permita la continuidad operacional en caso de fallas parciales o totales del sistema principal con facilidades para:

- Rápida replicación: los cambios realizados en el Ambiente de Producción Principal tienen que reflejarse en el Ambiente de Respaldo de manera oportuna. La nueva solución debe ser capaz de manejar la carga de trabajo calculada que se va a generar, abarcando diferentes entornos de proceso tales como el transaccional de día y los procesos batch. También debería haber la posibilidad de asignar prioridades a las cargas de trabajo de replicación en el sistema.

 

128

- Secuenciamiento transaccional: los cambios realizados en el Ambiente de Producción tienen que reflejarse en el Ambiente de Respaldo en la misma secuencia en que fueron generadas. La nueva solución debe garantizar que esto ocurra así incorporando controles de integridad internos y, en caso de producirse cualquier problema, avisar a los operadores inmediatamente.

 

129

- Cambio de rol: debe ser posible invertir el sentido de la replicación utilizando herramientas que formen parte de la nueva solución. Por ejemplo, en caso de que el Ambiente de Producción necesite una actualización de software, el Ambiente de Respaldo debe ser capaz de asumir la carga de trabajo del Ambiente de Producción e ir guardando todos los cambios generados de manera que el Ambiente de Producción pueda ser sincronizado posteriormente cuando vuelva a estar disponible.

 

130

- Replicación completa del entorno: la nueva solución debe ser capaz de replicar cualquier cambio realizado a cualquier objeto en el Ambiente de Producción al Ambiente de Respaldo incluyendo registro de usuarios y cambios de password de acceso.

 

131

- Herramientas de generación de informes y de rastreo: la nueva solución debe ser capaz de rastrear y documentar el estado de los Ambientes de Producción y de Respaldo. Debe ser capaz de reportar cuántos cambios se ha generado en el Ambiente de Producción, cuántos se han recibido en el Ambiente de Respaldo y cuántos se han aplicado en el Ambiente de Respaldo. Debe haber también un registro histórico de esta información.

 

132

- Manejo de errores: la nueva solución debe ser capaz de garantizar la entrega desde el Ambiente de Producción al Ambiente de Respaldo. Si se está enviando datos de un Ambiente de Producción al Ambiente de Respaldo y el enlace de comunicaciones falla, la nueva solución debe ser capaz de emitir alertas al operador de forma inmediata así como de reenviar los datos que no han sido recibidos correctamente en el Ambiente de Respaldo.

 

133

- Los valores máximos que el Banco de la Nación aceptará, en tanto sean atribuibles a la solución del nuevo Core Bancario son:
• Tiempo Objetivo de Recuperación (RTO): 15 minutos
• Punto Objetivo de Recuperación (RPO): no debe ser mayor de 5 minutos.

 



1   ...   54   55   56   57   58   59   60   61   ...   107

Similar:

Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconInstructivo para participar en el proceso de seleccióN: ¿Qué se debe hacer ?
Para participar por una plaza de trabajo, como Eduador/a del desarrollo infantil integral, el candidato debe cumplir con las siguientes...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconProceso de selección de voluntarios “¿Por qué necesitamos un proceso de selección?”

Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconPropuesta de documento guía del proceso de selección de estudiantes de la funlam
Se entiende por selección el proceso por medio del cual se escogen aquellos aspirantes con mejores características y perfiles para...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconAnexo n° 1 formato de solicitud de postulantes al proceso de selección y designación de delegados ad hoc de seguridad del cenepred
De profesión con Colegiatura N° solicito a usted señor Jefe del cenepred me admita al proceso de Selección y Designación de Delegados...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconCaratula de presentacion de postulacion al proceso de seleccion de cirujanos dentistas, para el ingreso a la etapa de desti
Proceso de seleccion de cirujanos dentistas, para el ingreso a la etapa de destinacion y formacion añO 2017, del articulo 8° de la...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconBases del proceso de selección de la empresa privada para el financiamiento, elaboración del expediente técnico y ejecución del proyecto de inversión pública en el marco de la ley n° 29230 proceso de seleccióN
Contratación de la elaboración del expediente técnico, ejecución y financiamiento del proyecto de inversión pública
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconLlamado a proceso de pre-seleccion de proveedor de servicio de moving de data center fisico
Registro Único de Contribuyentes (ruc) N°, presento la siguiente solicitud para intervenir en el Proceso de Pre-selección de Proveedor...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconOrganismo supervisor de las contrataciones del estado osce
Bases estándar de proceso de selección abreviado para la contratación de servicios o para consultoría en general
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconCapitulo L. Condiciones generales 6
El fondo adaptacióN en cumplimiento de lo dispuesto en la Ley 850 de 2003, convoca a las veedurías ciudadanas para ejercer el control...
Sección general disposiciones comunes del proceso de selección capítulo I etapas del proceso de seleccióN iconMinisterio de vivienda y urbanismo
Bases del proceso de selección para la contratacion de un profesional abogado permiso de maternal en la seremi de vivienda y urbanismo...


Descargar 5.03 Mb.