Resolución por la que se ponen en vigor los requisitos para los Sistemas Contable-Financieros soportados sobre Tecnologías de la Información, de 8 de abril de 2004.
Ministerio de Finanzas y Precios – Ministerio de la Informática y las Comunicaciones
POR CUANTO: El Acuerdo nº 2817 del Comité Ejecutivo del Consejo de Ministros de fecha 25 de Noviembre de 1994, en su apartado Tercero, inciso 4, autoriza a los Ministros de Finanzas y Precios y de Informática y las Comunicaciones a dictar, en el límite de sus facultades y competencias, Reglamentos, Resoluciones y otras disposiciones de obligatorio cumplimiento para el sistema del Organismo y en su caso, para los demás Organismos, los órganos locales del Poder Popular, las entidades estatales, el sector cooperativo, mixto, privado y la población.
POR CUANTO: El Acuerdo nº 3736 del Comité Ejecutivo del Consejo de Ministros, de fecha 18 de julio del 2000, faculta al Ministerio de la Informática y las Comunicaciones, para establecer y controlar las normas y regulaciones relativas a la integridad de la información, la seguridad e invulnerabilidad de las redes de infocomunicaciones; el diseño y la documentación de los sistemas informáticos.
POR CUANTO: El Acuerdo nº 3944 del Comité Ejecutivo del Consejo de Ministros, de fecha 19 de marzo del 2001, faculta al Ministerio de Finanzas y Precios, elaborar y en su caso, proponer la legislación y los sistemas que aseguren la integridad y el control financiero de los intereses del Estado cubano en entidades públicas, privadas y asociaciones con capital extranjero, incluyendo los principios, normas y procedimientos de contabilidad, costos y control interno.
POR CUANTO: La Resolución Conjunta del Comité Estatal de Finanzas, actualmente, Ministerio de Finanzas y Precios, en lo adelante MFP y el Instituto Nacional de Sistemas Automatizados y Técnicas de Computación, actualmente extinto y cuyas funciones asume el Ministerio de la Informática y las Comunicaciones, en lo adelante MIC, de fecha 1ro. de agosto de 1991, puso en vigor los requisitos mínimos que deberán cumplir los sistemas automatizados para garantizar el Control Interno y la Auditoría.
POR CUANTO: El Acuerdo nº 092 del Consejo de Ministros, de fecha 2 de junio del 2002, aprobó las Medidas Complementarias para dar continuidad a los esfuerzos dirigidos al fortalecimiento de la Contabilidad y el Control Interno en las entidades y dentro de ellas considera instrumentar la certificación de los sistemas contables – financieros soportados sobre las tecnologías de la información y las comunicaciones.
POR CUANTO: Se hace necesario actualizar los requisitos que deberán cumplir los sistemas contables – financieros soportados sobre las tecnologías de la información y establecer el proceso de certificación de estos sistemas.
POR TANTO: En el ejercicio de las facultades que nos están conferidas,
RESOLVEMOS:
PRIMERO: Poner en vigor los “Requisitos para los Sistemas Contables – Financieros soportados sobre las tecnologías de la información”, que como Anexo nº 1, forma parte integrante de esta Resolución.
SEGUNDO: Los requisitos a que se refiere el apartado anterior serán de obligatorio cumplimiento para todas las personas naturales y jurídicas que diseñen, elaboren o exploten, sistemas y programas contables – financieros soportados sobre tecnologías de la información.
TERCERO: Las personas jurídicas que explotan sistemas y programas contables – financieros sustentados en las tecnologías de la información están obligadas a imprimir al cierre del ejercicio económico anual, los registros contables con independencia del sistema que esté en explotación y a conservar los listados y la información en soporte electrónico según la legislación vigente.
CUARTO: Se establece la obligatoriedad de que todos los sistemas contables – financieros soportados sobre las tecnologías de la información, cuenten con una CERTIFICACIÓN otorgada por la entidad ministerial que se designe al efecto, previo dictamen de una comisión “ad-hoc” integrada por Especialistas de ambos Ministerios, sobre:
Seguridad y protección del sistema.
Grado de adaptación a las normas contables cubanas.
QUINTO: En los casos en que se considere necesario, podrán participar en la comisión especialistas de otros organismos de la administración central del Estado.
SEXTO: La Agencia de Control y Supervisión del MIC habilitará un Registro de Control de las certificaciones expedidas.
SÉPTIMO: A todos los efectos de este proceso, el Ministerio de la Informática y las Comunicaciones y el Ministerio de Finanzas y Precios, dictarán los procedimientos que se requieran.
OCTAVO: Los productores o representantes de Sistemas Contables – Financieros soportados sobre las tecnologías de la información que estén en explotación al momento de la promulgación de esta resolución, tendrán un plazo máximo de un año para certificar el sistema, informar a sus clientes del resultado y continuar su comercialización si se certifica el sistema.
NOVENO: Los jefes de las entidades, en el momento de seleccionar un sistema, deberán exigir a los productores o representantes de Sistemas Contables – Financieros soportados sobre las tecnologías de la información, la documentación que acredita que el sistema está certificado por la autoridad competente.
DÉCIMO: Se delega en los viceministros que atienden a la Dirección de Normas Contables del Ministerio de Finanzas y Precios y el que atiende la Oficina Nacional de Seguridad para las Redes Informáticas del Ministerio de la Informática y las Comunicaciones, la facultad para dictar cuantas instrucciones resulten necesarias para el mejor cumplimiento de la presente.
UNDÉCIMO: Se deroga la Resolución Conjunta CEF – INSAC, de fecha 1ro. de agosto de 1991 y cuantas más normas y disposiciones se opongan a lo dispuesto.
COMUNIQUESE la presente Resolución a cuantas personas naturales y jurídicas deben conocer de la misma.
PUBLÍQUESE en la Gaceta Oficial de la República y archívense los originales en las Direcciones Jurídicas de ambos Ministerios.
Dada en la ciudad de La Habana, a los ocho días del mes de abril del 2004.
Georgina Barreiro Fajardo Ignacio González Planas
Ministra Ministro
Ministerio de Finanzas y Precios Ministerio de la Informática y las
Comunicaciones
REQUISITOS PARA LOS SISTEMAS CONTABLES FINANCIEROS SOPORTADOS SOBRE LAS TECNOLOGÍAS DE LA INFORMACIÓN.
Introducción
La utilización de los sistemas contables financieros soportados sobre las tecnologías de la información esta sujeta al cumplimiento de las exigencias vigentes en materia de seguridad informática para estas tecnologías, no obstante, a partir de la importancia que para cualquier organización representa este tipo de sistemas y de sus particularidades, resulta conveniente especificar los principales requerimientos que en los mismos deben ser considerados.
Sobre esta base, el presente documento expresa los requisitos que deben tenerse en cuenta durante el ciclo de vida de los sistemas contables financieros soportados sobre las tecnologías de la información y las comunicaciones.
Responsabilidades
Los usuarios de las tecnologías de la información para la Explotación de un Sistema Contable Financiero en una entidad tienen las siguientes obligaciones principales:
Adquirir la preparación necesaria y los conocimientos de Seguridad Informática imprescindibles para el desempeño
de su trabajo.
Contar con la autorización expresa del jefe facultado, para obtener acceso a cualquier activo o recurso.
No divulgar la información a que tiene acceso sin la autorización del Jefe facultado.
Cumplir los procedimientos establecidos para el empleo de las contraseñas y para la salva de programas y datos.
No introducir ni utilizar en las tecnologías ningún producto ni modificar la configuración de las mismas, sin la
correspondiente autorización del jefe facultado.
No intentar transgredir ninguna de las medidas de seguridad establecidas.
Proteger las tecnologías o la terminal de red que le ha sido asignada y colaborar en la protección de cualquier otra,
para evitar que sea robada, dañada o usada la información que contiene o utilizado el sistema al que esté conectada.
Informar al dirigente facultado de cualquier anomalía de seguridad detectada.
Identificación, Autenticación y Control de Acceso
El acceso de los usuarios a los sistemas contables financieros de una entidad tiene que estar aprobado previamente por la dirección de la misma y constar evidencia documental de ese acto.
El equipamiento utilizado en los sistemas contables financieros no podrá ser utilizado por personal que no esté debidamente autorizado.
En cada entidad se definirán los procedimientos que se requieran para otorgar o suspender el acceso de los usuarios a los sistemas contables financieros y los perfiles de trabajo de los mismos. Estos procedimientos incluirán la conformación de un listado de usuarios autorizados con sus derechos de acceso, garantizando la eliminación de aquellos que ya no los requieran por razones de trabajo o por no laborar en la entidad, así como de los identificadores, junto a todos los derechos de acceso que le fueron concedidos.
A las tecnologías de información utilizadas para la explotación de los sistemas contables financieros se les implementarán mecanismos para identificar y autenticar a los usuarios, así como para garantizar el registro y conservación de todos los accesos e intentos fallidos de acceso.
Para la protección de los sistemas y la protección del propio usuario, las contraseñas:
Tienen que ser privadas e intransferibles.
Su estructura y fortaleza estará en correspondencia con el acceso que protegen.
No pueden ser visualizadas en pantalla mientras se teclean.
No pueden ser almacenadas en texto claro (sin cifrar) en ningún tipo de tecnologías de información.
Se guardará copia de las mismas, de forma que se garantice su privacidad, para su empleo como excepción en caso de
ausencia del usuario.
De la integridad de los sistemas, ficheros y datos.
Se implementarán los mecanismos de seguridad que eviten la modificación, destrucción y pérdida de los ficheros y datos vinculados con los sistemas contables financieros.
Se establecerán, por las entidades, las medidas para proteger los programas del sistema y sus procedimientos de control para evitar que puedan ser violados, borrados o modificados con el fin de evadir los controles de seguridad.
Los programas, ficheros y datos de los sistemas contables financieros, incluyendo las copias de respaldo no pueden ser, en ningún caso:
Accedidos públicamente sin la debida autorización.
Los accesos temporales tienen que estar plenamente justificados y aprobados, así como ser eliminados
inmediatamente después de terminar la necesidad de su uso.
Las actividades de uso y acceso realizadas por los usuarios, tienen que ser registradas y revisadas.
Se garantizará la existencia de pistas o rastros de seguimiento que posibiliten las investigaciones más comunes que se realizan sobre las operaciones, tales como las cuentas que fueron afectadas por una transacción, la emisión de una factura, las retenciones que afectaron el salario devengado, y otras similares.
Del trabajo en sistemas multiusuarios.
En las tecnologías de información que brindan servicio a varios usuarios, como sistemas multiusuarios, servidores de bases de datos, aplicaciones con más de un operador y otros casos similares, se implementarán mecanismos de control que permitan contar con una traza o registro de los principales eventos que se ejecuten, por lo que:
En los sistemas de redes se controlará el acceso al servidor o a las terminales.
Estará debidamente compartimentado y controlado el acceso a los ficheros o bases de datos de los sistemas de forma
tal que se garantice la identificación de dicho acceso.
De los procedimientos de salva de los ficheros de datos y el sistema.
En cada entidad se establecerán los procedimientos que garanticen:
La obtención de copias de seguridad actualizadas de programas y datos.
La frecuencia con que se realicen.
Los responsables de la ejecución de los procedimientos.
La cantidad de copias, según su importancia.
Que cada salva esté adecuadamente identificada.
Se mantengan copias de seguridad para datos y programas en algún soporte magnético externo.
Las copias de seguridad se conserven en locales alejados de donde se procesa habitualmente.