CARTA CIRCULAR N? 0 0 J -GCOI-ESSALUD-2005 uma, O07 ENE, 2005 Sefiores: Jetes de las Oficinas (0 Unidades) de Soporte Informdtico de las Redes Asistenciales. Presente, Asunto : Directiva N° 001-GCOLESSALUD-2005 - “Normas para el control de acceso a los Sistemas de Informacién de EsSalud”. De mi consideracién Tengo el agrado de dirigime a ustedes para saludaslos cordialmente y hacer de su conocimiento, que a partir de \a fecha deberan difundir y velar por el cumplimiento de la Directiva N° 001-GCOI-ESSALUD.2005, “Normas para el control de acceso a los Sistemas de Informacién de EsSalud”, la misma que ha sido aprobada mediante Resolucion N° 001-GCOFESSALUD-2005. Es importante senialar, que la presente directiva también se encuentra publicada en et Portal Intranet de nuestra Instituci6n, a fin de facilitar su conocimiento y cumplimiento, Sin otro particular, quedo de usted, Atentamente, YEP/PVC/LRA/PHC CC: Coordinadores I I ly IV Jefaturas Administrativas de las Redes Asistenclales Gerencia de Division de Administracion y Organizacion Gerencia de Linea de la GCO!RESOLUCION DE GERENCIA CENTRAL N°0@/ -GCOI-ESSALUD-2005 Lima, 07 ENE. 2005 CONSIDERANDO; Que, es indispensable gerantizar la integridad y confiabilidad de la informacion, a fin de protegerla y evitar los accesos por personas no autorizadas a los sistemas de informacién que se encuentran en explotacién; Que, es necesario establecer fos lineamientos que regulen los niveles de responsabilidad y supervisién sobre los ingresos y restricciones a los sistemas de informacion; Que, es necesario establecer las responsabllidades de los usuarios autorizados que accesan a los sistemas de informacién, a fin de resguardar la integridad de la informacién; Que, se hace necesario establecer las normas para el control de acceso a la informacion de EsSalud, en el Ambito nacional; Que de acuerdo a lo dispuesto en el literal c) det articulo 23° del Reglamento de Organizacién y Funciones de la Gerencia de Division de Administracion y Organizacién aprobado por Resolucién de Presidencia Ejecutiva N° 957-PE- ESSALUD-2003, es competencia del Gerente Central de Organizacién e Informatica formular y emitir directivas que permitan establecer una adecuada administracion, seguridad y gestion de los recursos informaticos de EsSalud, a nivel nacional; Estando a lo propuesto y en uso de las atribuciones conferidas; ‘SE RESUELVE: 1. APROBAR y poner en vigencia a partir de la fecha, la Directiva de Gerencia Central N0/-GCOI-ESSALUD-2005 - "Normas para el control de acceso a los Sistamas de Informacién de EsSalud” acjunta a la presente norma.DIRECTIVA DE GERENCIA CENTRAL N° 7 /-GCOLESSALUD-2005 NORMAS PARA EL CONTROL DE ACCESO A LOS SISTEMAS DE INFORMACION DE ESSALUD GERENCIA DE DIVISION DE ADMINISTRACION Y ORGANIZACION GERENCIA CENTRAL DE ORGANIZACION E INFORMATICA GERENCIA DE ORGANIZACION SUS GERENCIA NORMATIVA, PROCESOS Y METODOS ADMINISTRATIVOSDIRECTIVA DE GERENCIA CENTRAL N°OO/ -GCOI-ESSALUD-2005 NORMAS PARA EL CONTROL DE ACCESO A LOS SISTEMAS DE INFORMACION DE ESSALUD INDICE Paginas 1. Objetive 3 2. Finalidad 3 3. Base legal 3 4 Alcance 3 5. Responsabilidad 3 6. Conceptos de Referencia 4 7. Disposiciones Generales . 4 8, Disposiciones Especificas 51 2, DIRECTIVA DE GERENCIA CENTRAL N‘0s/-GCOI-ESSALUD-2005 NORMAS PARA EL CONTROL DE ACCESO A LOS SISTEMAS DE INFORMACION DE ESSALUD OBJETIVO Establecer los lineamientos que regulen fos niveles de responsabilidad y supervisién sobre los ingresos y restricciones a 'os sistemas de informacion de la Institucién. FINALIDAD Garantizar la integridad y confiabilidad de la informacion, a fin de protegerla y evitar los access por personas no autorizadas a los sistemas de informacion que se encuentran en explotacién, BASE LEGAL * Ley N° 27056, Ley de Greacién del Seguro Social de Salud (EsSatud) y su Reglamento aprobado por Decrato Supremo N’ 002-98-TR. * Ley N° 26790, Ley de Moderizacién de ta Seguridad Social en Salud y su Reglamenta aprobado por Decreto Supremo N° 009-97-SA. * Resolucién N° 1070-GG-ESSALUD-2000 que aprobé la Ditectiva N° 018-GG- ESSALUD-2000, Normas para la Formulacién de Documentos Técnicos Normativos de Gestion en ef Seguro Social de Salud (EsSaiud). + Normas Técnicas de Control Intemo para el Sector Publico — Nro. 500 * Resolucién de Presidencia Ejecutiva N° 927-PE-EsSalud-2003 que aprueba la Estructura Organica y el Reglamento de Organizacion y Funciones del Seguro Social de Salud (EsSalud). * Resolucién de Presidencia Ejecutiva N° 957-PE-EsSalud-2003 que aprueba la Estructura Organica y el Reglamento de Organizacién y Funciones de la Gerencia de Division de Administracién y Organizacién. ALCANCE, La presente Directiva serd de apiicaciin en las dependencias de EsSalud que cuenten con sistemas de informacién en explotacién, La difusién y supervision del cumplimiento de la presente directiva es responsabilidad de las Gerencias y Jefaturas, en el ambito de su gestion y @ nivel nacional, E} cumplimiento de fa presente directiva, es responsabilidad de: a. Los Jefes 0 encargados de fas Oficinas de Soporte Informatico de las Redes Asistenciales de EsSalud, b. Los Jefes o responsables de las areas y/o funciones informaticas de los Centros Asistenciales de EsSalud.¢, El Jefe o encargado del drea y/o de las funciones informéticas del Centro de Hemodiélisis. . El Jefe o encargado del area y/o de las funciones informaticas del Instituto Nacional del Corazén. ®. Las Jefaturas y/o responsables de las areas y/o de las funciones informaticas de las unidades erganicas de la Sede Central. 6. CONCEPTOS DE REFERENCIA % Clave de Acceso o Password o Contrasefia: Combinacién de caracteres (letras y/o némeros) que se asigna al usuario para dar acceso a una funcionalidad. Es de so exclusiva, personal e intransferible. Confidencialidad: La informacién debe ser accesada y manipulada linicamente por quienes tienen el derecho o la autorizacién de hacerlo, Control de Acceso: Mecanismo que protege los recursos del sistema asegurando que estos sélo puedan ser utilzados por personas o programas autorizados. Las téonicas de control de acceso puaden utlizarse para protager a una variedad de activos incluyendo hardware, sistemas operatives, centros de comunicaciones, programas y archivos de base de datos, © Propietario Corporativo: Es la unidad organica que en el Ambito institucional, es propietaria de la informacién de un sistema de informacién implantado y de utiizacién en ef Ambito nacional, ¢ Propietario Local: Es la unidad orgénica que a nivel local representa al Propietario Corporativo. # Sistema de Informacién (S/!): Conjunto de elementos fisicos, tégicos, de comunicacién y de datos que, interrelacionados, permiten el almacenamiento, transmisién y proceso de la informacion. ‘ Transacci6n: Operacién cuya funcion principal es permite realizar modificaciones, elirinecién yo procesos de datos, sin que estos rerdan consistence, dente de un A N. ¢ USERID 0 CODIGO DE USUARIO: Cédigo que se asigna a una persona para que 88a identiicada como usuario de un sistema y pueda acosear a 6 do acuerdo a los atributos 0 permisos oto-gados. 7. DISPOSICIONES GENERALES: 7-1 La Gerencia Central de Organizacién @ Informética (CON), a través de la Gerencia de Desarrollo de Sistemas, es el organo rector responsable de efectuar o supervisar en la Institucidn el desarrollo de todo sistema de informacién, a nivel nacional EI Propietario Corporativo y/o Propietario Local de un sistema de informacién, son responsables de autorizar a los usuarios el acceso a un sistema de informaci bajo su dmbito, formalizéndoio a través de una carta al Jefe de la Oficina de Soporte Informatio 0 quién haga sus veces dentro de su Ambito; salicitando ademés, ta asignacién de un Unico USER-ID para el acceso a un sistema de informacién para los usuarios autorizados. Cada usuario que esté autorizado a accesar a un determinado sistema _de informacién en explotacién, debe tener un unico USER-ID 0 CODIGO DE USUARIO. de acceso, Asimismo, sera responsable de:cz 8. DISPOSICIONES ESPECIFICAS & s ‘@. Mantener de uso personal, intransterible y confidencialidad su Contrasefia 0 Password de acceso a los sistemas de informacion. 'b, Usar una nica identificacion de usuario por aplicativo que acceda, ¢, Cambiar su Contrasefia 0 Password en los casos que se establezcan. 4. No dejar activa ninguna sesién de trabajo en su Pc cuando tenga que retirarse de ella por diferentes motives. @. Solicitar a su jefatura la activacién de su clave, cuando por seguridad haya sido bloqueada por el sistema, 7.4 Las Jefaturas, responsables 0 encargados de Ia gestién informatica en las Redes Asistenciales, Centros Asistenciales y demés unidades organicas de le Institucién, deben: a. Verificar periédicamente, en coordinaoién con el responsable del érea de Recursos Humanos, que Ios usuarios de los aplicativos en explotacién dentro de su émbito sean trabajadores activos y pertenezcan a su émbito. b, Inhabilitar o solicitar su inhabilitacién a quién corresponda, los accesos del personal que esté de vacaciones 0 de licencia, asi como, eliminarlos para aquellos trabajadores que ya no laboren en la Instiucion. ©. Supervisar que el acceso a los ambientes del Centro de Cémputo sdlo sea para #1 personal que trabaja en estos ambientes; estableciendo procedimientos de contral para casos excepcionales y que cuente con la autorizacion de las Jefaturas carrespondientes. 4. Controlar que el acceso a las bases de datos, programas y demas sofware en expiotacion dentro de sus ambitos, sea Unicamente a través de una clave de acceso formaimente autorizada por el Propietario Corporativo y/o Propietario Local y otorgada por ef personal de la Gerencia de Produccion de la GCOI, o quién esta unidad organica autorice formaimente, estableciendo los respectivos controles intemos, La generacién de backup 0 copias de respalda y su adecuada custodia, en el servidor 0 servidores de los érganos desconcentrados, debe ser realizada por el: a. Jefe o encargado de la Oficina (0 Unidad) de Soporte Informético, para las Redes Asistenciales. b. Responsable del area intormatica en los Centros Asistenciales pertenecientes a cada Red Asistencial. ¢. Jefe 0 encargado de la Oficina de Soporte Informdtico del Centro de Hemodialisis, 1d. Responsable del area informatica de! Instituto Nacionat del Corazén. PARA NUEVOS SISTEMAS DE INFORMACION 8.1. Todo nuevo sistema de informacién a implantar, desarrollado con recursos propios yio por terceros, cuando principalmente lleve @ cabo la actualizacién de sus bases de datos debe generar Ios registros 0 pistas de auditoria, que permitan identiicar plenamente a los usuarios y sus acciones realizadas en el sistema de informacién.8.2 Todo nuevo sistema de informacién a ser utilizado en cualquier unidad orgénica y/o centro de cémputo de ta Institucién, desarrollado con recursos propios y/o por toroeros, debe contar con un Médulo de Seguridad et cual, como minimo, tendra las siguientes opciones: MODULO DE SEGURIDAD; a. Control de Accesos: Que comprende las opciones y acciones necesatias para la Administracién de Usuarios y de sus claves de acceso. b. Pistas de Auditorla: Que comprende las opciones y acclones necesarias para realizar tas Consultas a las pistas de auditoria dal sistema de intormacién, 83 Las Jefaturas 0 responsables de las areas de informatica en las Redes Asistenciales, Centros Asistenciales y demds unidades organicas de la Institucién, dentro de su émbito, son responsables de administrar el adecuado uso de! Modulo de Seguridad. ‘8.4 Todo nuevo sistema de informacién a ser utilizado en Ja Institucién debe: bloquear el Jogin y desactivar la clave del usuario, cuando el usuario ha ingresado mal su contrasena tres (3) veces consecutivas; en este caso, el usuario debe solicitar formaimente 1a reactivacién de su clave al Jefe o responsable del drea de informética correspondiente, 8.5 En los nuevos sistemas de informacion a implantarse en la Instituci6n, el Propietario Corporativo y/o Propietaria Local de estos sistemas serén los Unicos que puedan “ autorizar la asignacién da un usuario para acceder a los sistamas de Su propiedad. El registro de estos usuarios lo hard la Gerencia de Produccion o quien ella designe, a través de la opcion de Control de Accesos del Médulo de Seguridad antes descrito, para lo cual deben implantar los controles interno necesarios.