Autoritatea de Supraveghere Financiară,
PROIECT
Autoritatea de Supraveghere Financiară,
În temeiul prevederilor art. 3 alin. (1) lit. b), coroborate cu prevederile art. 6 alin. (2) și art. 14 din Ordonanţa de urgenţă a Guvernului nr. 93/2012 privind înfiinţarea, organizarea şi funcţionarea Autorităţii de Supraveghere Financiară, aprobată cu modificări și completări prin Legea nr.113/2013, cu modificările şi completările ulterioare;
În temeiul Hotărârii Parlamentului României nr. 60/2013 privind numirea membrilor Consiliului Autorităţii de Supraveghere Financiară, publicată în Monitorul Oficial al României, Partea I, nr. 680 din 5 noiembrie 2013;
În urma deliberărilor Consiliului Autorității de Supraveghere Financiară din cadrul ședinței din data de ... 2014,
Autoritatea de Supraveghere Financiară adoptă următoarea
Instrucțiune
privind adecvarea sistemelor informatice utilizate de entităţile reglementate, autorizate/avizate şi supravegheate de Autoritatea de Supraveghere Financiară
CAPITOLUL I
Dispoziții generale
Art. 1.– (1) Prezenta instrucţiune stabileşte cerinţele la nivelul entităţilor autorizate/avizate, reglementate și supravegheate de către Autoritatea de Supraveghere Financiară, denumită în continuare A.S.F., pentru identificarea, prevenirea şi reducerea impactului potenţial negativ al riscurilor operaţionale generate de utilizarea tehnologiei informaţiei și comunicaţiilor la nivel de oameni, procese, sisteme și mediu extern, inclusiv fapte ce țin de criminalitatea informatică.
(2) Cerințele minime se stabilesc şi se implementează de către entitățile autorizate/avizate, reglementate și supravegheate de către A.S.F. în funcţie de expunerea sistemică și gradul de risc și maturitate al acestora, pe baza celor mai bune practici în domeniu.
Art. 2.– (1) Prezenta instrucţiune stabilește parametrii utilizați pentru evaluarea, supravegherea și controlul riscurilor operaţionale generate de utilizarea sistemelor informatice și ale securităţii informatice.
(2) Riscurile operaționale generate de sistemele informatice și de comunicații se evaluează periodic și se monitorizează continuu.
(3) Categoria de risc a fiecărui tip de entități autorizate/avizate, reglementate şi supravegheate de A.S.F. se stabilește de către A.S.F. în funcţie de obiectul activităţii acestora și de riscurile care pot apărea.
(4) Fiecare entitate trebuie să dezvolte un sistem de colectare, analizare, monitorizare și raportare a evenimentelor cu risc operaţional și sistemic.
(5) Entitățile se asigură că în cazul activităților IT externalizate, în conformitate cu prevederile legale, furnizorii respectă cerințele prevăzute în prezenta instrucțiune pentru serviciile furnizate.
Art. 3. – (1) Entitățile evaluează periodic riscurile operaționale generate de utilizarea sistemelor informatice, prioritizează resursele, implementează măsuri de securitate informatică şi monitorizează eficacitatea acestora, prin aplicarea managementului de risc.
(2) Modalitatea de implementare a măsurilor de securitate informatică este stabilită de fiecare entitate, în funcție de profilul de risc, de riscurile identificate, de incidentele apărute, în conformitate cu cerințele legale aplicabile.
Art. 4. - În înţelesul prezentei instrucţiuni, termenii şi expresiile de mai jos au următoarele semnificaţii:
1. activități de control informatic - politici, proceduri și practici aplicate pentru atingerea obiectivelor entității și pentru îndeplinirea strategiilor de eliminare a riscurilor, concepute pentru atingerea fiecărui obiectiv de control pentru eliminarea riscului identificat;
2. acord de nivel al serviciului agreat (SLA) - un acord între un furnizor de servicii IT și un client, care descrie unul sau mai multe servicii IT, documentează norma nivelului de servicii și specifică responsabilitățile furnizorului de servicii IT și ale clientului;
3. arhivare electronică - conform prevederilor Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, cu modificările și completările ulterioare;
4. ameninţări - capacităţi, strategii, intenţii, planuri ce potenţează un pericol la adresa infrastructurilor, materializate prin atitudini, gesturi, acte, fapte, cu impact asupra securităţii activității entităților și a integrității sectorului în care activează;
5. analiză de risc - analizarea scenariilor de ameninţări semnificative, pentru a evalua vulnerabilitatea și impactul potenţial al perturbării sau al distrugerii infrastructurii;
6. angajați cheie – persoane cu funcții de conducere/persoane relevante/persoane semnificative, care au autoritatea şi responsabilitatea de a planifica, conduce şi controla activităţile entităţii;
7. atac etic/test de penetrare - test al reţelei informatice realizat printr-o simulare a unui atac real asupra reţelelor, sistemelor şi programelor informatice utilizate de entitatea testată sau auditată, după caz;
8. audit informatic (audit IT) - activitatea de colectare şi evaluare a unor probe pentru a determina dacă sistemul informatic respectă parametrii de proiectare și de lucru la care a fost proiectat, asigură funcționalitățile necesare cerințelor de afaceri și respectarea legislației în domeniu, este securizat, menţine integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale entităţii şi utilizarea eficientă a resurselor informaţionale;
9. auditor (auditor IT) - persoana fizică sau juridică autorizată, care derulează o activitate de auditare reglementată pe baza prezentei instrucțiuni și bunelor practici în domeniu, necesitând un certificat de auditor al sistemelor informatice (ISACA CISA - Certified Information Systems Auditor sau COBIT Certified Assessor sau CRISC – Certified in Risk and Information Systems Controls sau altă certificare echivalentă recunoscută internațional pe baza unui standard specific) şi care este înscrisă în Registrul public al A.S.F.;
10. audit IT cu resurse interne– audit care se realizează de personal certificat în domeniul auditării IT conform definiției de la pct.9, angajat în cadrul entității sau în cadrul unei companii din cadrul aceluiași grup financiar, aplicând prevederile prezentei instrucțiuni și metodologii certificate internațional.
11. bază de date – structură de organizare a informaţiei într-unul sau mai multe domenii de aplicare, în scopul de a le face accesibile în permanenţă către utilizatori prin ansamblul de programe informatice;
12. bune practici – activități sau procese certificate care au fost folosite cu succes în mai multe organizații și au căpătat o largă recunoaștere, precum ISO 27.002, ITIL/ISO 20.000-2, ISACA – COBIT, RiskIT, TIA-942, EN 50.600, dar fără a se limita la acestea;
13. centru de date - locaţie fizică dedicată stocării, procesării şi transmiterii informaţiilor în format digital, care se implementează respectând standarde specifice, utilizând conceptul de nivel sau un echivalent al acestuia, precum, dar fără a se limita la, standardele EN 50600 (European Standard - Data Centers Facilities and Infrastructures) sau ANSI/TIA-942 (Telecommunications Infrastructure Standard for Data Centers);
14. centrul principal de date – centru de date care asigură serviciile IT și procesează pentru prima data datele, tranzacțiile și operațiunile entității;
15. CERT/ Echipă sau centru de răspuns la incidente de urgență aferente securității informatice – entitate organizațională specializată în vederea colectării, analizării, identificării, prevenirii și reacției la incidente cibernetice cu impact semnificativ;
16. ciclu de viață - diferitele stadii din viața unui serviciu IT, a unui element de configurație, a unui incident, a unei probleme, a unei schimbări, fără a se limita la acestea;
17. cloud computing – infrastructură informatică, cu resurse de calcul configurabile, care permite furnizarea la cerere de servicii IT și este asigurată prin centre de date distribuite, altele decât infrastructura informatică proprie entității, prin intermediul unui furnizor extern, ca un ansamblu distribuit de servicii de calcul, programe informatice, acces la informații și stocare de date;
18. COBIT / Obiective de Control pentru Tehnologia Informaţiilor și Tehnologii Conexe –furnizează îndrumare și bună practică pentru managementul controalelor proceselor IT, fiind publicat de către ISACA în colaborare cu IT Governance Institute (ITGI);
19. comunicaţii/telecomunicații/ reţea de comunicaţii electronice – sisteme de transmisie, precum şi orice alte resurse, care permit transportul semnalelor prin fir, radio, fibră optică sau orice alte mijloace electromagnetice, precum și tehnologiile utilizate în cadrul proceselor de comunicare, care presupun existenţa unui mediu informatic constituit din echipamente hardware, proceduri software specializate, precum şi dispozitive electronice de transmisie/recepţie date;
20. controale informatice - totalitatea politicilor, procedurilor, practicilor și a structurilor organizaționale informatice proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele afacerii vor fi atinse și evenimentele nedorite vor fi prevenite sau detectate și corectate;
21. date (informatice) - orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic, incluzându-se şi orice program informatic care poate determina realizarea unei funcţii similare de către un sistem informatic;
22. disponibilitate- o abordare, o calitate sau o măsură ce minimizează ori ascunde utilizatorilor unui serviciu informatic sau de comunicații efectele defectării unui element de configurație definit conform ISO 20.001 și care reprezintă timpul neîntrerupt de funcţionare raportat la durata unui an calendaristic;
23. externalizare (IT și/sau de comunicaţii) - utilizarea de către o entitate a unui furnizor extern, în vederea desfăşurării de către acesta, pe bază contractuală, în mod continuu sau pentru o perioadă, a unor activităţi efectuate în mod obişnuit de către entitatea financiară în cauză, cu respectarea prevederilor legale;
24. externalizare în lanţ- externalizare în cadrul căreia furnizorul extern subcontractează cu alţi furnizori externi elemente componente ale serviciilor prestate entității;
25. factori de risc - situaţii, împrejurări, elemente, condiţii sau conjuncturi interne și externe, uneori dublate și de acţiune, ce determină ori favorizează materializarea unei ameninţări la adresa infrastructurilor importante, în funcţie de o vulnerabilitate determinată, generând efecte de insecuritate;
26. furnizor extern sau de servicii externalizate – persoană juridică externă, furnizoare de bunuri, precum hardware, licențe software, componente, dar fără a se limita la acestea, şi servicii informatice sau de comunicații, care, în funcţie de activitatea externalizată, poate fi o entitate autorizată/avizată sau nu de către A.S.F., o entitate afiliată în cadrul unui grup financiar ori o entitate din afara grupului fianciar, care deţine expertiză în domenii specializate, în condițiile respectării cadrului legal aplicabil și a autorizării primite;
27. hardware - ansamblul elementelor fizice şi tehnice cu ajutorul cărora datele se pot culege, verifica, prelucra, transmite, afişa şi stoca, inclusiv suporturile de memorare a datelor, precum şi echipamentele de calculator auxiliare;
28. incident privind securitatea informaţiilor/incident de securitate – unul sau mai multe evenimente nedorite şi neprevăzute privind securitatea informaţiilor, cu probabilitate semnificativă de a compromite activitatea entității;
29. indicatori cheie de performanță (KPI) - parametri analitici reprezentativi selectați pentru monitorizarea unor activități și procese cheie pentru entități, oferind o privire de ansamblu asupra performanței;
30. indicatori cheie de risc (KRI) – parametrii care măsoară efectiv riscurile aferente procedurilor și activităților entității, furnizând în timp semnalări corespunzătoare ale consecințelor cu efect negativ, care pot genera potențiale pierderi directe sau indirecte;
31. indisponibilitate (ca durată în timp) - intervalul de timp din cadrul perioadei agreată ca disponibilitate a serviciului, în care un serviciu IT sau un alt element de configuraţie este indisponibil;
32. informație – rezultatul prelucrării datelor printr-un sistem informatic care sunt baza pentru asigurare cunoașterii prin intermediul unor elementele noi în raport cu cunoștințele prealabile;
33. infrastructura informatică sau cibernetică – elemente ale bazei tehnico-materiale, pe componente sau ca sistem care susţin culegerea, stocarea și managementul datelor, precum și integrarea, căutarea și vizualizarea datelor și alte calcule și servicii de procesare a informaţiei distribuite utilizând tehnologii informatice, deţinute sau contractate extern de către entitate și necesare bunei funcţionări a acesteia;
34. infrastructură esențială/critică - un sistem sau o componentă a acestuia, o infrastructură informatică esenţială pentru menţinerea funcţiilor infrastructurii financiare, a căror perturbare afectează semnificativ buna funcționare a acesteia, cu un impact semnificativ ca urmare a incapacităţii de a menţine respectivele funcţii;
35. infrastructură importantă – infrastructură informatică proprie sau externalizată, care asigură funcționarea activităților și serviciilor principale ale entității;
36. integritate – păstrarea datelor electronice, digitalizate, nealterate pe timpul comunicației dintre corespondenți sau pe perioada de stocare a datelor;
37. Internet – reţea internaţională de calculatoare, formată prin interconectarea reţelelor globale (Wide Area Network – WAN) independente (particulare, comerciale, academice sau guvernamentale), destinată facilitării schimbului de date şi informaţii între utilizatori;
38. ISACA (Asociaţia de Audit şi Control al Sistemelor Informatice/Information Systems Audit and Control Association) - organizaţie profesională internaţională care grupează şi certifică specialişti în domeniul auditului sistemelor informatice şi care are ca scop asigurarea guvernanţei, controlului, securităţii sistemului informatic, precum şi a auditului profesional;
39. ISO/IEC 27001 - standard care stabileşte cerinţele pentru un sistem de management al securităţii informaţiei.
40. ISO/IEC 27002 - cod de practică internaţională pentru managementul securităţii informaţiei, având specificaţia ISO/IEC 27001;
41. ISO/IEC 20000 (ITIL)- standard care stabileşte cerinţele pentru un sistem de management al serviciilor IT, bazat pe setul de publicaţii de bune practici ITIL;
42. management de risc IT - procesul care permite managerilor IT să asigure un echilibru între costurile operaţionale și resursele financiare pentru măsurile de protecţie și atingerea obiectivelor privind protejarea datelor și sistemelor IT care susţin activitatea entității;
43. managementul schimbării - procesul responsabil cu controlarea ciclului de viață al tuturor schimbărilor pentru a permite implementarea schimbărilor benefice cu minimum de întrerupere a serviciilor IT;
44. marca temporală– conform prevederilor Legii nr. 451/2004 privind marca temporală;
45. nerepudiere – acţiunea de prevenire a unei entităţi de a nega o acţiune întreprinsă în context informaţional;
46. obiectiv de control informatic – scop și mijloc care se reflectă în punctele de control din care se extrag indicatori cheie de risc;
47. plan de cooperare în domeniul securității rețelelor și a informației - un plan care stabilește un cadru pentru rolurile organizaționale, responsabilitățile și procedurile de menținere sau de restabilire a funcționării rețelelor și sistemelor informatice în cazul în care acestea sunt afectate de un risc sau de un incident;
48. program informatic - ansamblu de instrucţiuni care poate fi executat de un sistem informatic în vederea obţinerii unui rezultat determinat;
49. raport de audit IT - instrumentul prin care se comunică scopul auditării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, întinderea, procedurile, constatările şi concluziile auditului, precum şi orice rezervă pe care auditorul IT o are asupra sistemului informatic auditat;
50. raport de testare IT - instrumentul prin care se comunică scopul testării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, întinderea, procedurile, constatările şi concluziile testării, precum şi orice rezervă pe care echipa de testare o are asupra sistemului informatic testat;
51. resurse informaţionale - totalitatea informaţiilor şi a documentelor, conform cerinţelor stabilite de legislaţia în domeniu;
52. reţea – ansamblu de echipamente legate între ele prin canale de transmisie, precum, dar fără a se limita la, o reţea de calculatoare;
53. risc aferent tehnologiei informaţiei (IT) - subcomponentă a riscului operaţional care se referă la riscul actual sau viitor de afectare negativă a profiturilor şi capitalului entității sau a investitorilor, participanților sau asiguraților, determinat de inadecvarea strategiei şi politicilor IT, a tehnologiei informaţiei şi a procesării acesteia, din punct de vedere a capacității de gestionare, integritate, controlabilitate şi continuitate, sau de utilizare necorespunzătoare a tehnologiei informaţiei;
54. risc de securitate - orice circumstanță sau eveniment care are un efect negativ potențial asupra securitătii sistemelor informatice;
55. riscul sistemic - riscul de afectare a unei zone importante a sistemului financiar sau a unei piețe financiare, cu potenţial de consecinţe negative serioase pentru piaţa internă și economia reală, instabilitate a sistemului financiar, posibil catastrofică, cauzată sau accentuată de evenimente idiosincratice sau de condiții ale entităților financiare;
56. riscuri semnificative - riscuri cu impact însemnat asupra situaţiei financiare, patrimoniale şi/sau reputaţionale a entităților;
57. securitate (cibernetică) - capacitatea unei rețele sau a unui sistem informatic, rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive, de a rezista, la un nivel de încredere dat, unei acțiuni accidentale sau răuvoitoare care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise, ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv, sau accesibile prin intermediul acestora;
58. semnătură electronică (digitală) – atribut indispensabil al documentului electronic, obţinut în urma transformării criptografice a acestuia, cu utilizarea cheii private, conform prevederilor Legii nr. 455/2001 privind semnătura electronică, cu modificările și completările ulterioare;
59. serviciu IT – combinație de persoane, procese și tehnologii furnizate în interiorul entității sau de către un furnizor de servicii IT, care se bazează pe folosirea tehnologiei informației și care asigură suportul tehnic necesar desfăşurării activităţii entităţii, și care ar trebui să fie definită într-un acord al nivelului agreat de serviciu (SLA);
60. sistem informatic - ansamblu de elemente intercorelate funcţional în scopul automatizării obţinerii informaţiilor necesare activităţilor operaționale și manageriale într-o entitate, prin intermediul echipamentelor hardware și produselor software, proceduri manuale, baze de date și modele matematice pentru analiză, planificare, control și luarea deciziilor, utilizând componente de introducere și prelucrare date, componente de procesare precum servere, calculatoare, sisteme software de operare de bază, programe informatice, reţele de calculatoare și telecomunicaţii, componente de stocare și utilizatori, fără ca enumerarea să fie limitativă;
61. sistem informatic de management al securităţii (SMIS, transpus de ISO 27.001) - un set de instrumente, date și informaţii utilizate pentru a susține managementul securităţii informaţiei;
62. sistem informatic/program informatic important – sistem/program informatic esențial pentru derularea în bune condiții a activității entității, pentru susținerea strategiei și obiectivelor de afaceri și pentru asigurarea raportării către A.S.F., sau folosite în activitatea financiar-contabilă a entităţii;
63. sistem informaţional - ansamblul datelor, informaţiilor, fluxurilor şi circuitelor informaţionale, procedurilor şi mijloacelor de tratare a informaţiilor menite să contribuie la stabilirea şi realizarea obiectivelor unei entități;
64. software - toată gama de produse program, care cuprinde cel puţin următoarele elemente: sisteme de operare, drivere sau programe informatice;
65. soluție informatică – un produs de tip sistem informatic, o combinație de produse, sau o combinație de produse și servicii informatice care sunt furnizate de un producător sau furnizor de servicii informatice sau de comunicații
66. tehnologia informaţiei (IT) sau tehnologia informaţiei şi a comunicaţiilor - tehnologia necesară pentru prelucrarea (procurarea, procesarea, stocarea, convertirea şi transmiterea) informaţiei, în particular prin folosirea calculatoarelor electronice și a programelor corespunzătoare;
67. vulnerabilităţi - stări de fapt, procese și fenomene care diminuează capacitatea de reacţie a infrastructurilor la riscurile existente ori potenţiale sau care favorizează apariţia și dezvoltarea lor, cu consecinţe în planul funcţionalităţii și utilităţii.
Art. 5. - Prezenta instrucțiune se aplică următoarelor categorii de entităţi autorizate/avizate, reglementate şi supravegheate de A.S.F., denumite în continuare entităţi:
a) operatori de piaţă/operatori de sistem;
b) organisme de plasament colectiv (O.P.C.) care se autoadministrează;
c) societăţi de administrare a investiţiilor (S.A.I.), administratori de fonduri de investiţii alternative (A.F.I.A.), inclusiv sucursale ale S.A.I. şi A.F.I.A. din alte state membre şi state nemembre;
d) depozitari centrali, case de compensare/contrapărţi centrale;
e) intermediari - societăţi de servicii de investiţii financiare (S.S.I.F.) încadrate la art. 7 alin. (1) din Legea nr. 297/2004 privind piaţa de capital, cu modificările şi completările ulterioare, inclusiv sucursale ale firmelor de investiţii din alte state membre, intermediari din state nemembre și instituţii de credit care prestează activităţi şi servicii de investiţii financiare prevăzute de Legea nr. 297/2004, cu modificările și completările ulterioare, şi anume:
1. intermediari care prestează servicii în numele clienţilor şi care nu prestează servicii pe cont propriu;
2. intermediari care tranzacţionează fără facilităţi de tranzacţionare prin Internet (ADP/AS) – platforme de preluare și transmitere a ordinelor;
3. intermediari care folosesc facilităţi de tranzacţionare prin Internet (ADP/AS) – platforme de preluare și transmitere a ordinelor;
4. intermediari care au calitatea de market makeri și/sau furnizori de lichiditate;
f) intermediari care au calitatea de operator independent (systematic internaliser);
g) traderi;
h) fondul de compensare a investitorilor;
i) societăţi de asigurare / reasigurare;
j) brokeri de asigurare /reasigurare;
k) societăţi de administrare a fondurilor de pensii private;
l) alte entităţi autorizate/avizate de A.S.F., precum consultanţii de investiţii, dar nelimitâdu-se la aceștia.
Art. 6.- În cazul instituţiilor de credit autorizate de Banca Naţională a României care prestează servicii de investiţii financiare pe piaţa de capital, sunt aplicabile atât reglementările emise de aceasta în domeniul auditării sistemelor informatice, cât şi prevederile prezentei instrucţiuni.
CAPITOLUL II
Încadrarea entităților în categorii de risc
Art. 7.– (1) În scopul prezentei instrucțiuni, în funcţie de complexitatea activităţilor și serviciilor desfăşurate şi în funcţie de nivelul riscurilor pe care le pot induce în sistemul financiar, entităţile prevăzute la art. 5 se includ în patru categorii de risc: “risc major”, ”risc important”, ”risc mediu”, ”risc scăzut”, după cum urmează:
a) entităţile prevăzute la art. 5 lit. a), d), e) pct.4 şi lit. f) reprezintă entităţi încadrate în nivelul de “risc major”;
b) entităţile prevăzute la art. 5. lit. b), c), e) pct.3, lit. g) şi i) reprezintă entităţi încadrate în nivelul de “risc important”;
c) entităţile prevăzute la art. 5 lit. e) pct.1 şi 2, precum şi lit. h) reprezintă entităţi încadrate în nivelul de “risc mediu”;
d) entităţile prevăzute la art. 5 lit. j) şi l) reprezintă entităţi încadrate în nivelul de “risc scăzut”.
(2) Entitatea care se încadrează în mai multe categorii de risc dintre cele menţionate anterior va fi clasificată la categoria de risc cea mai ridicată.
CAPITOLUL III
Activitățile desfășurate de entități
Art. 8.– (1) Conform parametrilor generali descriși în anexa nr.1 la prezenta instrucțiune, entităţile desfășoară cel puțin activităţile obligatorii corespunzătoare categoriei proprii de risc, astfel cum sunt prevăzute și marcate cu „x” în tabelul nr. 1.
(2) Parametrii generali descriși în anexa nr.1 la prezenta instrucțiune au rolul de îndrumare și interpretare a activității efectuate în vederea reducerii riscului operaţional generat de utilizarea tehnologiei informaţiei şi a comunicaţiilor de către entități.
Art. 9.- (1) Modul de îndeplinire de către entităţi a tuturor activităţilor stabilite conform prezentei instrucțiuni se evaluează de către A.S.F..
(2) Pentru a se încadra în cerinţele stabilite de către A.S.F. prin prezenta instrucţiune, entităţile trebuie să obţină cel puțin 90% din punctajul minim prevăzut în tabelul nr.1.
Art. 10. - Pe lângă activitățile obligatorii prevăzute în tabelul nr. 1 din prezenta instrucțiune, entitățile menționate la art.5 lit. a)–g) au obligația să asigure și următoarele:
a) respectarea condiţiilor tehnice şi operaţionale aferente utilizării conturilor globale, efectuării operaţiunilor de vânzare în lipsă și/sau de împrumut de valori mobiliare şi de constituire a garanţiilor asociate acestora, prevăzute de reglementările A.S.F.;
b) verificarea prin testare conform art. 14 a sistemelor informatice utilizate la fiecare modificare a oricăror parametri, prin teste de control și consemnarea verificării printr-un proces verbal;
c) păstrarea, pe o perioadă de cel puţin 5 ani de la închiderea contului clientului sau de la realizarea tranzacției pe contul propriu, a informaţiilor şi datelor privind serviciile de investiţii financiare prestate în legătură cu un instrument financiar tranzacţionat. Păstrarea se poate realiza inclusiv în formă digitală, în conformitate cu legislația aplicabilă cu privire la arhiva electronică digitală și la utilizarea semnăturii electronice extinse.
Tabel 1. Activități obligatorii ale entităților, pe categorii de risc și punctajul aferent
|Nr. |Activitate |Categoria de risc a entității |Punctaj |
| | |Majoră |Importantă |Medie |Scăzută |Maxim |
|A) Evaluare internă a riscului operațional și |x |x |x |x |10 |
|registrul riscurilor | | | | | |
|B) Organizare pe procese |
|1 |Management disponibilitate |x |x |x | |2 |
|2 |Management incidente și probleme |x |x |x | |3 |
|3 Management schimbare |
|a) |Management ciclu viață programe |x |x |x |x |8 |
| |informatice | | | | | |
|b) |Management versiuni |x |x |x |x |2 |
|c) |Management testare |x |x |x |x |4 |
|4 |Management capacitate |x |x |x | |3 |
|5 |Management configurații |x |x | | |2 |
|6 |Management niveluri servicii (SLA) |x |x |x | |5 |
|7 Management securitate |
|a) |Cerințe generale |x |x |x |x |4 |
|b) |Securitate acces la piețe |x |x |x |x |3 |
|c) |Teste de penetrare |x |x | | |4 |
|8 |Management continuitate |x |x |x | |5 |
|C) Puncte de control și măsură |
|a) |Controale generale |x |x |x | |7 |
|b) |Controale program informatic |x |x | | |8 |
|c) |Controale flux financiar |x |x |x |x |5 |
|D)Implementare KPI |x | | | |5 |
|E)Implementare KRI |x |x |x |x |5 |
|F) Managementul securității sistemului informatic |
|a) |Măsuri organizatorice |x |x | | |1 |
|b) |Manual și proceduri de securitate |x |x |x |x |5 |
|c) |Plan de combatere a riscurilor |x | | | |5 |
|d) |Plan de cooperare |x |x |x |x |4 |
| Punctaj minim pe categorie de risc |100 |90 |75 |50 |100 |
CAPITOLUL III
Auditarea și testarea sistemului informatic
Secțiunea 1 – Auditarea entităților
Art. 11. - (1) Entităţile încadrate la categoria de risc major au obligaţia de a audita extern sistemul informatic utilizat, cu periodicitate anuală.
(2) Entităţile încadrate la categoria de risc important au obligaţia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, cu periodicitate anuală.
(3) Entităţile încadrate la categoria de risc mediu și scăzut au obligaţia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, cel puțin o dată la trei ani.
(4) Dacă în două raportări consecutive sau în urma constatărilor în cadrul activităților de control periodic, inopinat sau permanent desfășurate de A.S.F., o entitate, indiferent de categoria de risc în care se încadrează, a obținut un punctaj sub minimul prevăzut la art.9 alin(2), aceasta are obligația auditării externe sau cu resurse interne a sistemului informatic.
(5) În termen de 60 de zile de la notificarea A.S.F. privind obligaţia de auditare a sistemului IT, entitatea notificată va transmite la A.S.F. raportul de audit.
(6) Auditul extern se efectuează în baza unui contract încheiat între entitatea care a solicitat auditarea și unul dintre auditorii IT înscriși în Registrul public al A.S.F.. Entităţile nu vor contracta auditul IT cu același auditor IT pentru o perioadă mai mare de 3 ani consecutivi.
(7) Contractul de audit IT va cuprinde în mod obligatoriu clauze cu privire la răspunderea auditorului IT pentru respectarea cerinţelor necesare efectuării auditului sistemului informatic, în conformitate cu prezenta instrucțiune și cu bunele practici în domeniu.
(8) Contractul încheiat cu auditorul va conţine o clauză expresă prin care auditorul se obligă să notifice A.S.F., în regim de urgenţă, cu privire la orice fapt sau act în legătură cu sistemul informatic și de comunicații utilizat de entitate, fapt sau act care:
a) este de natură să afecteze continuitatea activităţii entităţii reglementate auditate;
b) poate conduce la o opinie de audit cu rezerve, la imposibilitatea exprimării unei opinii profesionale sau la o opinie negativă.
(9) De asemenea, contractul încheiat cu auditorul va cuprinde o clauză expresă prin care, la solicitarea scrisă a A.S.F., auditorul se obligă:
a) să prezinte A.S.F. orice raport sau document ce a fost adus la cunoştinţa entităţii auditate;
b) să prezinte A.S.F. o declaraţie care să indice motivele de încetare a contractului de audit, indiferent de natura acestora;
c) să prezinte A.S.F. orice alte informaţii sau documente solicitate în legătură cu activitatea de audit IT la care s-a angajat conform contractului.
(10) Respectarea prevederilor alin. (8) şi (9) nu contravine dispoziţiilor Codului privind conduita etică și profesională a auditorilor sau clauzelor de confidenţialitate stipulate în contractele încheiate între auditori şi entităţi.
Art. 12. –(1) În vederea înscrierii în Registrul public al A.S.F., auditorul IT va depune la A.S.F. o documentaţie care să cuprindă următoarele informaţii şi documente, după caz:
a) datele de identificare ale societății:
i. sediul societății (adresa completă - stradă, număr, bloc, scară, etaj, apartament, oraş, judeţ/sector, cod poştal, după caz);
ii. datele înregistrarii fiscale;
iii. adresa unde îşi desfăşoară activitatea;
iv. telefon/fax, e-mail, adresa paginii de Internet;
v. dovada experienței și a specializării societății pe domeniul de audit al sistemelor informatice;
b) minimum 3 referinţe privind auditarea sistemelor IT din domeniul financiar-bancar;
c) informaţii privind numărul de personal angajat, pe categorii profesionale;
d) numele şi prenumele auditorului persoană fizică certificată și a reprezentantului societății, care vor semna raportul de audit, împreună cu următoarele documente:
i. copia actului de identitate a auditorului;
ii. curriculum vitae al auditorului, datat şi semnat, cu prezentarea experienţei profesionale;
iii. certificatul de auditor IT în copie legalizată, în perioada de valabilitate a acesteia;
iv. certificatul de cazier judiciar şi certificatul de cazier fiscal, în original sau copie legalizată, aflate în termenul de valabilitate, dincare să rezulte că nu a fost condamnat definitiv pentru gestiune frauduloasă, abuz de încredere, fals, uz de fals, înşelăciune, delapidare, mărturie mincinoasă, dare sau luare de mită, precum şi alte infracţiuni de natură economică;
e) copia contractului/poliţei de asigurare de răspundere civilă profesională a auditorului IT , pentru suma asigurată de minimum 100.000 euro;
f) copia documentului de plată a tarifului de înscriere în Registrul public al A.S.F.
(2) În cazul modificării unor informații sau documente, copia sau originalul documentelor modificate se vor depune la A.S.F., în termen de maximum 30 de zile calendaristice de la data modificării.
(3) Radierea auditorului IT din Registrul public al A.S.F. se realizează în oricare dintre următoarele cazuri:
a) la cerere;
b) în caz de declanșare a procedurilor de faliment, insolvență sau lichidare;
c) în cazul în care se constată existența unor modificări necomunicate în mod repetat de către auditor în legătură cu informațiile și documentele transmise conform prevederilor alin. (1);
d) în cazul în care se constată necomunicarea de către auditorul IT a informaţiilor sau documentelor prevăzute la art. 11 alin. (8) şi (9), precum şi în cazul nerespectării de către auditorul IT a obligaţiilor stabilite în sarcina sa de prezenta instrucţiune;
e) din alte cauze prevăzute de legislaţia in vigoare.
(4) Pentru toate situațiile menționate la alin (3) lit. c)-e), A.S.F. va transmite o notificare prealabilă auditorului IT prin care se aduc acestuia la cunoştinţă faptele pentru care se va proceda la radierea sa din Registrul public al A.S.F.
(5) Entitățile adoptă toate măsurile necesare pentru evitarea conflictelor de interese ce pot interveni în desfășurarea activității de audit IT.
(6) Activitatea de audit trebuie să fie independentă față de activitatea auditată pentru finalizarea cu obiectivitate a misiunii de audit. Auditorii trebuie să fie independenți şi obiectivi în toate aspectele legate de misiunea de audit.
(7) Entitățile sunt obligate să furnizeze auditorului informaţii complete, corespunzătoare, relevante și în timp util, pentru a permite efectuarea în bune condiții a activității de audit IT.
(8) Entitățile se asigură că auditorul IT va derula fiecare activitate de audit în așa fel încât să respecte:
a) dispozițiile legale aplicabile şi standardele profesionale de audit;
b) prevederile prezentei instrucțiuni;
c) verificarea completitudinii și corectitudinii raportărilor conform art 15 alin. (9) aferente perioadei dintre misiunile de audit;
d) documentarea adecvată a misiunii de audit şi cerinţele de raportare.
(9)La încheierea auditului IT auditorii IT au obligaţia de a întocmi un raport de audit, care trebuie să cuprindă cel puţin următoarele elemente:
a) titlul raportului, identificarea și descrierea entității auditate, respectiv beneficiarul raportului;
b) destinatarii raportului și orice restricții privind conţinutul şi circulaţia raportului;
c) domeniul auditat, obiectivele activității, perioada auditată;
d) natura, cronologia şi gradul de acoperire al procedurilor de audit efectuate;
e) orice calificare de opinie sau limitare a ariei acoperite de audit;
f) datele de identificare ale membrilor echipei de audit (cel puţin numele, telefon, fax, e-mail şi adresa unde îşi desfăşoară activitatea);
g) semnătura coordonatorului certificat al echipei de audit și semnătura reprezentantului legal al auditorului persoană juridică;
h) locul auditării;
i) data raportului;
j) descrierea ariei auditului, incluzând:
i) descrierea sistemelor auditate;
ii) măsurile organizatorice: politicile aplicabile şi procedurile implementate;
iii) identificarea aplicaţiilor utilizate şi a persoanelor implicate;
iv) componentele sistemelor informatice utilizate;
v) un sumar conținând analiza riscurilor aferente activității, a posibilelor deficiențe ale sistemului informatic auditat şi a măsurilor de reducere a riscurilor asociate (controale generale sau specifice conform prezentei intrucțiuni);
vi) o referire cu privire la corectitudinea raportărilor efectuate în conformitate cu art. 15 alin. (9) aferente perioadei dintre două activități de auditare IT;
vii) o descrierea modului prin care s-a efectuat atacul etic /testul de penetrare;
k) concluziile detaliate ale echipei de audit privind îndeplinirea cerinţelor prevăzute in prezenta instrucțiune (pentru fiecare cerinţă, cu menţiunea: DA/NU, precum şi motivaţia);
l) afirmaţia de conformitate (opinia pozitivă), cu privire la conformarea parţială/totală referitoare la obiectivele auditului, indicând punctele care trebuie îmbunătăţite (opinia cu rezerve/calificată), sau de neîndeplinire a obiectivelor testate/auditate (opinia negativă);
m) o anexă la raportul de audit IT, însuşită de entitatea auditată prin semnarea acesteia de către un reprezentant legal al entităţii, conţinând:
i) constatările şi concluziile;
ii) neconformitățile, lipsa controalelor sau controale ineficiente;
iii) importanța neconformității sau deficienței de control;
iv) probabilitatea ca aceste constatări să aibă un impact semnificativ și riscuri asociate;
v) recomandările pentru acţiuni corective şi răspunsul managementului entităţii auditate pentru fiecare constatare din raport, inclusiv termenul de aplicare;
vi) rezultatul obţinut la atacul etic/testul de penetrare.
n) declaraţia pe proprie răspundere a auditorului IT cu privire la faptul că auditul a fost efectuat în conformitate cu prezenta instrucțiune și cu standardele de audit în vigoare la momentul realizării auditului, cu menționarea acestora;
o) declaraţia auditorului IT pe propria răspundere sub semnătură olografă, că nu se află în relaţii, care ar putea afecta activitatea de audit, cu entitatea auditată sau cu angajaţii entităţii care ar putea să îi afecteze independenţa sau obiectivitatea;
p) alte menţiuni.
Secțiunea a 2-a
Cerințe referitoare la utilizarea de către entități a serviciilor informatice sau de comunicații contractate de la furnizorii externi
Art. 13. - (1) Entitățile se asigură că furnizorii externi și furnizorii de servicii externalizate inclusiv prin externalizările în lanţ, cu excepția celor de hardware și licențe software, îndeplinesc și respectă următoarele cerințe:
a) în activitatea de furnizare a soluțiilor/programelor/serviciilor respectă aceleași cerinţe ca și cele solicitate entității prin prezenta instrucţiune, inclusiv cerinţele pentru auditare, în legătură cu serviciile furnizate, indiferent de tipul entității care primește serviciile;
b) prezintă la solicitarea A.S.F. modalitatea îndeplinirii cerinţelor adresate entității prin prezenta instrucțiune pentru serviciile furnizate entităţilor;
c) permit A.S.F., și auditorului IT împuternicit de către A.S.F., să verifice și/sau auditeze îndeplinirea condiţiilor minimale necesare pentru furnizarea de servicii conform prezentei instrucțiuni;
d) înscrierea în Registrul public al A.S.F..
(2) În vederea înscrierii în Registrul public al A.S.F., furnizorul de soluţii și/sau servicii informatice și de comunicaţii trebuie să depună la A.S.F. o cerere care să cuprindă următoarele informaţii şi documente anexate, după caz:
a) descrierea soluțiilor sau/și a serviciilor care vor fi prestate/furnizate;
b) datele de identificare ale societății:
i. sediul societății, respectiv adresa completă - stradă, număr, bloc, scară, etaj, apartament, oraş, judeţ/sector, cod poştal, după caz;
ii. datele înregistrării fiscale;
iii. telefon/fax, e-mail, pagina de Internet;
iv. dovada specializării, a experinței, precum şi dovada experienței personalului societății în domeniul pentru care se solicită înscrierea;
c) recomandări în domeniul pentru care se solicită înscrierea;
d) certificări în funcție de tipul serviciului sau activității desfășurate:
i. ISO 27001 și ISO 20001;
ii. pentru furnizarea și dezvoltarea de programe informatice software - certificări aferente;
iii. pentru furnizarea de servicii externalizate - certificări aferente,
iv. pentru furnizarea de servicii de găzduire sau externalizare prin intermediul centrelor de date, inclusiv pentru servicii de tip cloud computing– certificare minimum nivel doi (Telecommunications Infrastructure Standard for Data Centers TIA-942) sau echivalent;
v. pentru furnizarea de servicii de arhivare electronică prin centre de date– autorizare conform prevederilor legale;
vi. pentru furnizarea de servicii externalizate de tip cloud computing se prezintă dovezi ale respectării legislației europene și certificate de audit, specifice activităților externalizate, după caz, în copie legalizată, precum şi dovada faptului că certificarea este activă;
e) contract de asigurare de răspundere profesională de minimum 100.000 euro, în copie;
f) certificatul de cazier judiciar şi certificatul de cazier fiscal, fără mențiuni, în original, în termen de valabilitate;
g) dovada achitării tarifului de înscriere în Registrul public al A.S.F., în copie.
(3) În cazul modificării unor informații sau documente, copia sau originalul documentelor modificate se va depune la A.S.F., în termen de maximum 30 de zile calendaristice de la data modificării.
(4) Radierea furnizorilor de soluţii și servicii informatice și de comunicaţii din Registrul public al A.S.F. se realizează în următoarele condiţii, după caz:
a) la cerere;
b) în caz de declanșare a procedurilor de faliment, insolvență sau lichidare;
c) în cazul în care A.S.F. constată necomunicarea în mod repetat de către furnizorul extern a modificărilor, conform prevederilor alin. (3);
d) în cazul constatării existenței unor nereguli în activitatea desfășurată de către furnizorul extern, a unor reclamații repetate din partea entităților cu privire la nerespectarea obligațiilor contractuale de către furnizor;
e) în cazul nerespectării prevederilor alin.(1) lit. b) şi c), precum şi în cazul neîndeplinirii altor solicitări ale A.S.F.;
f) în cazul nerespectării prevederilor prezentei instrucțiuni;
g) din alte cauze prevăzute de lege.
Secțiunea a 3-a
Cerințe cu privire la testarea și asigurarea calității programelor informatice
Art. 14. - (1) Entitățile testează programele informatice dezvoltate la cerere cu resurse interne sau de la furnizori externi, utilizate pentru activitatea desfășurată.
(2) Documentele aferente ariei de testare cuprind cel puțin următoarele:
a) descrierea entităţii testate;
b) descrierea sistemelor testate;
c) identificarea aplicaţiilor utilizate şi persoanele implicate;
d) componentele sistemelor informatice utilizate: aplicaţie/ server/ sistem de operare/ detalii configurare/ locaţie/ administrare;
e) analiza riscurilor implicate de modificarea sistemului / programului informatic, a posibilelor vulnerabilităţi ale sistemului informatic testat şi a măsurilor de reducere a riscurilor asociate prin controale de sistem sau de program informatic;
f) descrierea modului prin care s-au efectuat testele de securitate, scenariile de test şi rezultatul obţinut;
g) concluzia detaliată a echipei de testare privind îndeplinirea cerinţelor prevăzute în prezenta instrucțiune și constatările, riscurile asociate, recomandările pentru acţiuni corective şi răspunsul managementului entităţii testate și alte observații;
(3) Rezultatul testării se consemnează într-un raport care cuprinde cel puţin următoarele elemente:
a) titlul raportului şi denumirea entităţii testate, respectiv beneficiarul raportului;
b) datele de identificare ale membrilor echipei de testare precum nume,telefon, fax, e-mail şi adresa unde îşi desfăşoară activitatea;
c) semnătura membrilor echipei de testare;
d) destinatarii raportului şi restricţiile privind distribuţia raportului;
e) locul testării;
f) data raportului;
g) perioada acoperită de testare;
h) descrierea ariei testării.
(4) Rapoartele referitoare la testare se păstrează la entitate și sunt puse la dispoziția auditorului IT. În situaţia în care testarea sistemului informatic este efectuată de o echipă formată din mai multe persoane, acestea răspund solidar pentru asigurarea derulării și finalizării corecte a procesului de testare, indiferent dacă acestea reprezintă resurse umane interne sau externe entităţii testate.
(5) Auditorii IT notifică A.S.F., în regim de urgenţă, orice fapt sau act în legătură cu sistemul informatic utilizat de entitate şi care este de natură să afecteze continuitatea activităţii entităţii supuse testării, poate aduce atingere intereselor entității, clienților acesteia sau corectitudinii și exactității raportărilor către A.S.F. sau poate genera un risc sistemic.
CAPITOLUL IV
Cerinţe de raportare
Art. 15. – (1) Entităţile care se încadrează în categoria de risc major au obligaţia evaluării interne a riscurilor operaţionale generate de utilizarea sistemelor informatice și de comunicații pe baza prezentei instrucțiuni și a auditării externe a sistemului informatic cel puţin anual, cu transmiterea către A.S.F. a rezultatului evaluării interne, precum și a raportului de audit până la data de 31 martie a anului curent, pentru anul anterior.
(2) Entităţile care se încadrează în categoria de risc important au obligaţia evaluării interne a riscurilor operaţionale pe baza prezentei instrucțiuni și auditării IT externe sau cu resurse interne, în condițiile art. 11 alin. (2) și (5), a sistemului informatic cel puţin anual, cu transmiterea către A.S.F. a rezultatului evaluării interne, precum și a raportului de audit până la data de 31 martie a anului curent, pentru anul anterior.
(3) Entităţile care se încadrează în categoria de risc mediu și scăzut au obligaţia evaluării interne a riscurilor generate de sistemele informatice pe baza prezentei instrucțiuni și a auditării IT cu resurse interne sau a auditării externe, sau a testării sistemului informatic cel puţin o dată la trei ani, cu transmiterea către A.S.F. a rezultatului evaluării interne precum și a raportului de audit până la data de 31 martie a anului curent, pentru perioada auditată.
(4) Entitatea depune odată cu raportul de testare/auditare IT o declaraţie pe proprie răspundere prin care confirmă faptul că a reluat procesul de testare și că a remediat vulnerabilitățile evidenţiate în sistemul informatic utilizat, având în vedere recomandarea făcută de echipa de testare sau auditor IT, după caz, şi inclusă în raportul de testare/audit IT.
(5) În cazul în care entitatea a optat pentru o soluție diferită de rezolvare decât cea recomandată de auditor, declarația va cuprinde motivele adoptării unei astfel de soluții, descrierea succintă a acesteia, termenul și efectele implementării soluției, precum și declarația pe proprie răspundere că soluția adoptată are aceleași rezultate precum cea recomandată inițial.
(6) În cazul în care la nivelul entităţii se hotărăște realizarea unor schimbări majore în structura sistemelor informatice, acestea trebuie testate sau auditate intern sau extern. Raportul privind testarea sau auditarea, cu resurse interne sau externe, se trimite la A.S.F. în termen de 90 de zile de la finalizarea schimbării structurii informatice.
(7) Schimbările majore prevăzute la alin. (6) se referă la:
a) schimbarea integrală a unor programe informatice importante pentru derularea activității sau folosite în contabilitatea entităţii;
b) schimbarea procedurilor de arhivare şi/sau de restaurare a datelor importante sau esențiale pentru derularea activității sau folosite pentru evidența contabilă;
c) schimbarea unuia dintre serverele care rulează programele informatice importante pentru derularea activității sau folosite pentru evidența contabilă.
(8) Rapoartele privind evaluarea internă a riscurilor operaţionale, testările sau auditul sistemelor informatice prevăzute în prezenta se depun la A.S.F. într-un exemplar original în format hârtie, precum şi în format electronic cu semnatură electronică extinsă.
(9) Entităţile transmit până la data de 25 ale lunii următoare trimestrului o raportare electronică trimestrială cu indicatorii menționati în anexa nr.2.
CAPITOLUL V
Sancţiuni
Art. 16. - Nerespectarea prevederilor prezentei instrucțiuni de către entitățile prevăzute la art. 5 constituie contravenție și se sancționează, după caz, în conformitate cu:
a) prevederile art. 39 alin. (2) lit. a) din Legea nr. 32/2000 privind activitatea de asigurare și supravegherea asigurărilor, cu modificările și completările ulterioare;
b) prevederile art. 272 alin. (2) lit. a) din Legea nr. 297/2004 privind piața de capital, cu modificările și completările ulterioare.
CAPITOLUL VI
Dispoziţii tranzitorii şi finale
Art. 17. – (1) Până la data de 31 decembrie 2014, entităţile prevăzute la art. 5 iau măsurile necesare pentru implementarea cerințelor prezentei instrucțiuni.
(2) Entitățile vor realiza două teste ale raportărilor prevăzute la art. 15 alin. (9) în lunile septembrie și decembrie ale anului 2014.
(3) Entitățile transmit A.S.F. rezultatul testelor menţionate la alin. (2) în termenul prevăzut la art. 15 alin. (9).
(4) Începând cu 1 ianuarie 2015, toate entitățile prevăzute la art. 5 se supun obligațiilor instituite de prezenta instrucțiune și raportează la termenele prevăzute la art. 15.
(5) Pentru toate entitățile, prima evaluare internă a riscurilor operaționale generate de utilizarea sistemelor informatice, prima auditare IT sau testare IT se vor realiza cel mai târziu la data de 31 martie 2015, dacă nu se înregistrează situațiile prevăzute la art. 15 alin (6).
Art. 18. – La data intrării în vigoare a prezentei instrucţiuni se abrogă:
a) Instrucţiunea C.N.V.M. nr.2/2011 privind auditarea sistemelor informatice utilizate de entitățile autorizate, reglementate și supravegheate de Comisia Naționalã a Valorilor Mobiliare, aprobată prin Ordinul preşedintelui Comisia Naționalã a Valorilor Mobiliare nr. 10/2011, cu modificările şi completările ulterioare;
b) art.25 alin (2) din Norma nr. 7/2009 privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfăşurarea activităţii de audit intern la asigurători/reasiguratori, aprobată prin Ordinul preşedintelui Comisiei de Supraveghere a Asigurărilor nr. 18/2009, cu modificările şi completările ulterioare;
c) orice dispoziție contrară sau care se suprapune prevederilor prezentei instrucțiuni din reglementarile emise de Comisia de Supraveghere a Asigurărilor şi Comisia Naționalã a Valorilor Mobiliare.
Art. 19. – Anexele 1 și 2 fac parte integrantă din prezenta instrucțiune.
Art. 20 - (1) Prezenta instrucţiune se publică în Monitorul Oficial al României, Partea I, precum şi în Buletinul A.S.F. .
(2) Prezenta instrucţiune intră în vigoare la data de 1 ianuarie 2015.
ANEXĂ nr. 1
Parametrii
A) Evaluarea internă a riscurilor operaţionale și registrul riscurilor
A.1) Entităţile sunt obligate să își evalueze intern riscurile operaţionale generate de utilizarea tehnologiei informaţiilor și comunicaţiilor și să constituie un Registru al riscurilor operaţionale generate de utilizarea sistemelor informatice de către oameni, procese, sisteme şi mediul extern.
Entitățile identifică toate categoriile relevante de risc, le menționează în registrul riscurilor pe patru categorii: oameni, procese, sisteme/tehnologii și mediul extern, ținând cont de riscurile activităților externalizate către furnizorii de produse şi servicii informatice și de comunicaţii.
A.2) Riscuri aferente oamenilor pot fi, fără a se limita la: nerespectarea proceselor/procedurilor, erori de introducere manuală, cunostințe, experiență și pregătire insuficientă, personal insuficient, angajați cheie, lipsă de comunicare și cooperare, neraportare, conflict de interese, automulțumire, fraudă, operațiuni suspecte de spălarea banilor și finanțarea actelor de terorism, nerespectarea regimului de sancțiuni internaționale.
Riscuri aferente proceselor pot fi, fără a se limita la:
a) Riscuri de model: lipsa proceselor organizatorice (cel puţin referitoare la managementul schimbării, al incidentelor, al problemelor, al nivelurilor de servicii, al versionărilor, al capacităţii, al disponibilităţii, al proiectelor), erori de metodologie sau model, erori de evaluare, disponibilitatea rezervelor pentru acoperirea pierderilor, complexitatea modelelor, control inadecvat al proceselor, software neadecvate obiectivelor de activitate, insuficienţa guvernanţei corporative în acest domeniu;
b) Riscuri tranzacționale: erori de execuție, erori de înregistrare, managementul inadecvat al datelor și informațiilor, erori de matching, compensare, colateral, complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri de confidențialitate, fraude;
c) Riscuri aferente controlului operațiunilor: lipsa separării drepturilor și atribuțiilor, depășirea limitelor, riscuri de volum, riscuri de securitate, riscuri de raportare, riscuri contabile, control inadecvat al activităților externalizate, întreruperea furnizării serviciilor, neidentificarea operațiunilor în speță în funcție de indicatorii de risc și variabile analitice prestabilite.
Riscuri aferente sistemelor/tehnologiei pot fi, fără a se limita la: sistem inadecvat de management al tehnologiei și securității, lipsa metodologiilor de dezvoltare si testare, capacitate insuficientă de procesare, întreruperi în funcționarea sistemelor (hardware, software, stocare, telecomunicații), căderi de rețea, întreruperii în furnizarea serviciilor prestate de furnizorii externi, sisteme inadecvate, protecție inadecvată împotriva malware, riscuri de compatibilitate, riscuri generate de furnizori/vânzători, erori de programare, coruperea datelor, riscuri de recuperare după dezastre, testare necorespunzătoare a recuperării în caz de dezastru, sistem inadecvat de actualizare tehnologica, sisteme învechite, servicii necorespunzătoare de suport pentru sisteme.
Riscuri aferente mediului extern pot fi, fără a se limita la: pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate de oameni, întreruperi în furnizarea serviciilor prestate de furnizori externi, fraude și activități criminale externe, expuneri externe ale securității sistemelor, atacuri teroriste clasice sau informatice, criminalitate economică și/sau informatică, căderi ale alimentarii cu electricitate.
A.3) Entitățile identifică sursele şi cauzele eventualelor riscuri cheie care pot afecta activitatea, stabilitatea financiară şi protecţia investitorilor, asiguraților sau participanților, de exemplu:
a) modificări în produsele, serviciile, personalul şi procesele existente;
b) dezvoltări de noi produse şi procese;
c) noi activități sau servicii;
d) afectarea activităţii de potenţiale catastrofe sau atacuri externe.
Evaluarea de risc va identifica și evalua natura riscului operațional plecând de la, fără a se limita la:
a) categoriile de risc
b) conectivități și interdependențe;
c) modificări în modelul de lucru, precum introducerea unui nou sistem informatic, complexitatea produselor, proceselor sau tehnologiilor și autosatisfacție, respectiv management ineficient;
d) frecvența și severitatea riscului;
e) riscul operațional după acțiunile de diminuare a riscurilor.
Riscurile cheie se identifică prin chestionare de evaluare internă.
A.4) Materialele și informațiile suport pentru evaluarea internă sunt, după caz:
a) strategia și obiectivele afacerii
b) apetitul la risc
c) analiza proceselor şi identificarea riscurilor
d) date despre evenimentele care au generat pierderi
e) date despre indicatorii cheie de risc
f) analiza cauzelor şi categoriile evenimentelor de risc
g) evaluările/rapoartele interne anterioare de risc
h) planurile de management a riscurilor
i) audituri interne și/sau externe
A.5) Riscurile se colectează pe o structură de șablon, pe baza unor criterii standard și se evaluează luând în considerare riscurile inerente (înaintea aplicării controalelor) şi riscurile reziduale (după ce controalele au fost aplicate).
Măsurarea acestor riscuri se face plecând de la rezultatele scenariilor testelor de stress, acolo unde este cazul. Se alocă responsabilități de risc persoanelor cu atribuții în administrarea riscurilor.
A.6) Entitățile evaluează frecvenţa apariției riscurilor și severitatea eventualelor pierderi în cadrul registrului riscurilor.
A.6.1) Evaluarea frecvenţei apariţiei riscurilor se bazează pe rapoartele interne și externe, precum, fără a se limita la: rapoarte de audit, solicitări ale autorității, deviaţii față planul de afaceri, planuri operaţionale, bugete, opinii ale experţilor și cele mai bune practici.
A.6.2) Evaluarea severităţii pierderilor potențiale se poate stabili pe baza, fără a se limita la: interviurile cu angajați cheie, ex ante și ex post, variațiile bugetelor, sesizările externe, istoria pierderilor.
A.6.3) Evaluarea de risc va ține cont de probabilitatea ca riscul să apară în următoarele 12 luni și de impactul, respectiv consecințele asupra îndeplinirii strategiei și obiectivelor de afaceri.
Probabilitățile se împart în categorii exprimate în marje procentuale, iar impactul se împarte pe niveluri, precum: fără impact material, impact material fără risc major, risc semnificativ, risc major care afectează entitatea.
A.6.4) Evaluarea de risc se efectuează regulat, dar cel puţin anual. Funcția de administrare a riscului integrează toate riscurile semnificative pentru entitate pe o hartă ce reprezintă profilul de risc al entității. Profilul de risc este analizat şi discutat oricând au loc schimbări importante în entitate.
A.6.5) În cazul unei expuneri la risc mai mare decât apetitul pentru oricare riscuri se elaborează strategii și planuri de acțiune pentru reducerea riscurilor și implementarea de controale suplimentare.
B) Organizarea managementului sistemelor informatice pe procese
a) Entităţile organizează managementul sistemelor informatice pe procese, utilizând cele mai bune practici, precum dar fără a se limita la referențialul ITIL/ISO 20.000-2, în funcție de profilul si apetitul la risc, de dimensiunea entităţii si de categoria de risc alocată de catre A.S.F..
b) Entitățile implementează activități în conformitate cu tabelul nr.1 aferente proceselor precizate mai jos, dar nelimitându-se la ele, luând suplimentar în considerare obiectivele de control și activitățile reieșite din evaluarea internă precizată la litera A).
Managementul disponibilității
B.1.1) Entităţile implementează un proces documentat de management al disponibilității in vederea asigurării funcționării sistemelor informatice pentru asigurarea serviciilor contractate de către clienți și a raportărilor către A.S.F..
Activitățile aferente procesului managementului disponibilității definesc, analizează, planifică, măsoară și îmbunătățesc aspectele legate de disponibilitatea unui serviciu IT.
B.1.2) Entitățile definesc nivelurile de servicii referitoare la disponibilitatea centrelor de procesare si stocare date (centre de date), proprii sau externalizate. Entitățile utilizează centre de date echipate pentru a asigura un timp neîntrerupt de funcţionare raportat la durata unui an calendaristic la nivel 2 din 4 nivele maxim posibile (precum dar nu limitat la nivel 2 conform standardelor EN 50600 (European Standard - Data Centres facilities and infrastructures), sau TIA-942 (Telecommunications Infrastructure Standard for Data Centers)). Furnizorul trebuie să fie organizat prin implementarea unor cadre de referință acceptate internațional, precum dar fără a se limita la Cobit 5, ISO 27002 si ITIL/ISO 20.000-2.
B.1.3) Entităţile iau în considerare următoarele cerinţe pentru operarea unui centru de date:
a) locaţia fizică a centrului de date nu este expusă riscului de inundaţii, cutremure, alunecări de teren, incendii;
b) locaţia fizică a centrului de date este securizată prin mijloace de protecţie la efracţie, de detecţie şi stingere automată a incendiilor;
c) centrul de date previne indisponibilitatea echipamentelor datorită incidentelor electromagnetice externe
d) în locaţia fizică a centrului de date există un sistem de climatizare;
e) sistemul de alimentare cu energie electrică este prevăzut cu surse de curent neîntreruptibile şi generator electric care preiau întreaga sarcină (inclusiv alimentarea sistemului de climatizare) conform planului de recuperare in caz de dezastre. Entitățile din categoria de risc major au două sisteme redundante de alimentare cu energie electrică;
f) pentru a asigura redundanţa, canalele de transmisie a informaţiilor, ce intră şi ies din centrul de date, sunt asigurate de mai mulţi furnizori de servicii, pe diferite medii (precum dar fără a se limita la: cupru, fibră optică, radio);
g) echipamentele din centrul de date, precum dar fără a se limita la servere, routere, switch-uri, dispun de fiabilitate ridicată. Fiabilitatea unui centru de date este dată de fiabilitatea celei mai slabe componente.
B.1.4) Entităţile care externalizează activitățile centrului de date pentru servicii IT sau de comunicații, pentru arhivare electronică sau pentru activități de recuperare în caz de dezastru, vor contracta cel puțin același nivel de cerințe, în cadrul acordului agreat pentru nivelurile serviciilor, ca cele solicitate prin prezenta instrucțiune. Entitățile vor contracta furnizori care implementează standardele ISO 27000-2 și ISO 20.000-2, precum și cerințele art. 13. In cazul externalizărilor în lanț cerințele trebuie să se regăsească corespunzător în toate contractele de pe lanțul externalizării.
Managementul incidentelor și problemelor
B.2.1) Entităţile implementează un proces documentat de management al incidentelor în vederea colectării, analizării si rezolvării incidentelor care afectează buna funcționare a activității personalului propriu, a sistemelor informatice și de comunicații, a asigurării serviciilor către clienți, a raportărilor către A.S.F.. Entitățile implementează un punct unic de contact.
B.2.2) Entităţile implementează un proces documentat de management al problemelor in vederea rezolvării situațiilor în care incidentele se repetă ca număr de la o singura sursă (angajat, sistem) sau de la mai multe surse (mai multe departamente reclamând același incident), cu obiectivul principal de a preveni ca incidentele să se producă și de a minimiza impactul incidentelor care nu pot fi prevenite.
Managementul schimbării
B.3.1) Entităţile implementează un proces documentat de management al schimbării în vederea asigurării controlului asupra implementării modificărilor/schimbărilor solicitate de strategia si planurile de afaceri și operaționale, la nivelul organizației, al personalului, al proceselor, al sistemelor și al operării cu furnizorii externi. Entităţile implementează procesul de management al schimbării pentru asigurarea trasabilității, transparenței, documentării și evidenței, a minimizării dependențelor și reducerea erorilor, a întârzierilor și a fraudelor.
B.3.2) Entităţile implementează schimbări prin intermediul principiilor managementului proiectelor.
Managementul ciclului de viață al programelor informatice
i. Entităţile implementează un proces documentat de colectare a cerințelor de afaceri, de analizare a lor, de redactare a specificațiilor de afaceri și tehnice, de alocarea resurselor, de dezvoltare software a programului informatic, de testare, promovare, de suport după implementare și de primire de noi cerințe pentru modificarea celor inițiale după ce acestea operează deja în producție. Entitățile iau în considerare:
a) Identificarea/documentarea schimbărilor;
b) Proceduri de clasificare, prioritizare și urgență;
c) Evaluarea impactului;
d) Autorizarea schimbării;
e) Managementul versiunilor;
f) Distribuția de software;
g) Managementul configurațiilor;
h) Scenarii de returnare la situația anterioară;
i) Conectarea procedurală cu managementul incidentelor/problemelor.
ii. Entităţile aplică cerinţele generale privind programele informatice utilizate în activitatea financiară şi contabilă, cuprinse în cap. G şi H din anexa nr. 1 la Ordinul ministrului economiei şi finanţelor nr. 3.512/2008 privind documentele financiar-contabile, cu completările ulterioare.
iii. Măsurile tehnice aplicate de entităţi pentru îndeplinirea cerinţelor sunt în concordanţă cu evoluţia tehnologică în domeniu.
Managementul versiunilor
Entităţile implementează un proces documentat în vederea managementului promovărilor (punerii în funcțiune operațională) a noilor programe informatice, sau a versiunilor acestora în urma unor modificări. In acest sens:
a) Fiecare versiune a unui program informatic va primi un cod unic;
b) Problemele de nefuncționare sunt rezolvate in faza de testare;
c) Testele de acceptanță sunt finalizate si semnate de utilizatorii de test și responsabilii de activitate de afaceri;
d) Toate versiunile trebuie aprobate înaintea implementării.
Managementul testării și asigurării calității programelor informatice
i. Entităţile au obligaţia de a testa sistemul informatic utilizat în conformitate cu art. 14 al prezentei instrucțiuni, cu resurse umane și tehnice interne sau externe entităţii.
ii. Testarea se va efectua în baza unei proceduri scrise și a unui scenariu formalizat de testare, prin care să se asigure că testarea răspunde cerinţelor impuse la managementul securitaţii, art. B.7).
Managementul capacității
Entităţile implementează un proces documentat privind asigurarea înțelegerii performanței, scalabilității si a capacității serviciilor IT asigurate de infrastructura informatică pentru prevenirea afectării parțiale sau totale a capacității de procesare, stocare, sau furnizare a serviciilor către beneficiari, sau a raportărilor către A.S.F.. Caracteristicile tehnice ale sistemelor informatice folosite de către fiecare serviciu IT și modul folosirii acestora de-a lungul timpului sunt colectate, înregistrate și analizate pentru folosirea lor in planul de asigurare a capacității.
Managementul configurațiilor
Entităţile implementează un proces documentat pentru evidența activelor tangibile și intangibile informatice și de comunicații, inclusiv utilizatori, manuale de utilizare si documentații ale programelor informatice.
Managementul nivelurilor de servicii
B.6.1) Entităţile implementează un proces documentat privind încadrarea în nivelurile agreate de servicii (SLA) stabilite cu utilizatorii interni, responabilii activității de afaceri, beneficiarii finali, pentru cerințele de raportare solicitate de A.S.F., inclusiv monitorizarea gradului de satisfacție a beneficiarilor serviciilor. Entităţile implementează un proces documentat privind definirea nivelurilor agreate de servicii aferente furnizorilor de servicii externalizate.
B.6.2) Toate cerinţele de securitate, sau măsurile interne de securitate, trebuie să se regăsească în acordul încheiat cu furnizorul. Entităţile identifică şi aplică măsuri de securitate pentru gestionarea accesului furnizorilor la mijloacele de procesare a datelor și la informaţii.
B.6.3) Entităţile se asigură că furnizorul extern este conştient de obligaţiile care îi revin şi acceptă responsabilităţile şi obligaţiile implicate de accesarea, procesarea, comunicarea sau gestionarea informaţiilor entității şi a facilităţilor sale de procesare a datelor.
B.6.4) Entităţile se asigură contractual împotriva prevenirea pierderilor directe și indirecte, financiare și de reputație în relația cu furnizorii externi, asigurarea responsabilității legale, planificarea perioadei de tranziţie şi rezolvarea problemele potenţiale ale întreruperii operaţiunilor pe parcursul acestei perioade, acorduri de planificare pentru situaţii neprevăzute, culegerea de informaţii și monitorizarea privind incidentele de securitate şi managementul acestora. Entităţile planifică şi gestionează tranziţia spre un acord de servicii IT externalizate şi aplică procese adecvate pentru managementul schimbării şi renegocierea/rezilierea acordurilor.
B.6.5) Acordul de servicii externalizate prevede procedurile pentru continuarea procesării în cazul în care furnizorul devine incapabil să mai furnizeze serviciile, pentru a se evita orice întârziere în obţinerea unor servicii înlocuitoare.
B.6.6) Acordurile de servicii externalizate pot implica şi alte părţi. Acordurile care oferă acces unei terţe părţi trebuie să includă posibilitatea de desemnare a altor părţi eligibile, criteriile precum şi condiţiile pentru accesul şi implicarea acestora.
Managementul securităţii
a) Cerințe generale
i. Entitățile se asigură că sistemele informatice utilizate îndeplinesc următoarele cerinţe, dar nelimitându-se la acestea:
a) asigură integritatea, confidenţialitatea, securitatea, disponibilitatea datelor în orice circumstanţe, precum şi prelucrarea acestora în conformitate cu reglementările A.S.F., luând în considerare posibilitatea actualizării acestora, în funcţie de modificările intervenite în legislaţia incidentă.
b) asigură respectarea conţinutului de informaţii prevăzut în formularele de raportare corespunzătoare entităţilor, aşa cum sunt prevăzute în legislaţia specifică, precum şi alte raportări solicitate prin reglementările A.S.F.;
c) asigură în orice moment reconstituirea rapoartelor şi informaţiilor supuse verificării;
d) asigură stocarea și păstrarea datelor înregistrate şi jurnalizate de către sistemele de tranzacţionare şi back-office într-un sistem de tip bază de date pentru o perioadă de timp în conformitate cu legislaţia aplicabilă în vigoare. Acest sistem de păstrare a datelor trebuie să asigure posibilitatea ca aceste date să poată fi transmise sau puse la dispoziţia A.S.F. la cerere;
e) asigură posibilitatea de reintegrare în sistem a datelor arhivate pe suport digital extern, precum dar fără a se limita la informaţii, date introduse, situaţii financiare sau alte documente;
f) asigură elemente de identificare a datelor supuse prelucrării sau verificării. Sistemele informatice asigură identificarea exactă a timpului conform unei mărci temporale, la care înregistrările au fost efectuate şi identificarea utilizatorilor sistemului la acel moment;
g) asigură confidenţialitatea şi protecţia informaţiilor şi a programelor prin parole, coduri de identificare pentru accesul la informaţii, precum şi realizarea de copii de siguranţă pentru programele şi informaţiile deţinute;
h) asigură mecanisme de securitate şi control al sistemelor informatice, pentru asigurarea păstrării în siguranţă a datelor şi informaţiilor stocate, a fişierelor şi bazelor de date, inclusiv în situaţia unor evenimente de risc.
ii. Entitățile asigură:
a) păstrarea la sediul propriu a documentaţiei complete și actualizate, pe fiecare nivel de acces, a programelor informatice utilizate;
b) asigură respectarea oricăror altor cerinţe care rezultă din dispoziţiile legale în vigoare, aplicabile în funcţie de obiectul de activitate al entităţii;
c) asigură reguli și proceduri de evidenţă și păstrare a datelor în conformitate cu prevederile art. 29 din Regulamentul (UE) nr. 648/2012, ale art. 12-16 din Regulamentului delegat (UE) nr. 153/2013.
b) Securitatea accesului la piețe
Sistemele informatice care oferă intermediarilor şi clienţilor lor accesul la pieţe, instrumente și operaţiuni asigură cel puţin, fără a se limita la:
a) integritatea şi securitatea datelor trimise la şi recepţionate de la piaţă în sisteme de baze de date care funcţionează în regim de replicare şi care să poată fi certificate în orice moment;
b) securitatea şi integritatea datelor procesate prin folosirea unei scheme de criptare, atât asupra datelor trimise către pieţe, cât şi asupra datelor recepţionate de la pieţe;
c) mecanisme care să garanteze nerepudierea tranzacțiilor. Nerepudierea va fi asigurată utilizând tehnici de semnătură electronică (nerepudierea originii mesajelor) și de marcare temporală (asigurarea existenței datei la un moment de timp).
d) jurnalizarea în timp real a informaţiei despre ordinele plasate pe piaţă, a stării acestor ordine, respectiv a modificărilor care se aduc acestor ordine în decursul existenţei lor de către clienţii ce utilizează aceste sisteme informatice;
e) asigură mecanisme de nerepudiere a integrității înregistrării operațiunilor (logurilor) de sistem informatic. Integritatea datelor logurilor va fi asigurată utilizând tehnici de semnătură electronică.
c) Teste de penetrare
Entitățile adoptă măsuri pentru implementarea unui proces de testare a posibilității de penetrare a sistemelor, din interiorul entității și din exteriorul entității la nivel de aplicație, sisteme de operare, baze de date, rețea. Metodologia utilizata pentru testarea de penetrare este cel puțin de tip „cutie albă”. Scopul testului de penetrare este de a determina daca se poate obține accesul neautorizat la sistemele entității,f ără a fi furnizate celui care efectuează testul, de către entitate, conturi de acces la sisteme. Conținutul raportului de testare a penetrării este următorul: analiza și comentarea vulnerabilităților majore; sumarul scenariilor posibile de penetrare, dacă există; listarea detaliată a informațiilor obținute in timpul testării; listarea vulnerabilităților găsite și descrierea lor; modalitatea de rezolvare a vulnerabilităților confirmate.
Managementul Continuității
B.8.1) Sistemele informatice ale entităților trebuie să fie sigure, monitorizate independent şi susţinute de planuri alternative corespunzătoare, care să le permită continuarea activităţii în cazul apariţiei unor situaţii neprevăzute.
B.8.2) Entitățile asigură replicarea datelor și a sistemelor informatice importante. Pentru sistemele importante, entitățile asigură:
a) o disponibilitate ridicată la sediul principal de procesare a entităţii (propriu sau externalizat),
b) un sistem de recuperare în caz de dezastru situat fie într-o altă locaţie a entităţii, fie prin intermediul unui furnizor extern de servicii, care să minimizeze riscul de dezastru natural.
c) furnizorul extern de servicii trebuie să respecte cerințele de la managementul disponibilității prevăzute la cap. B.1.2) al prezentei anexe.
B.8.3) Funcţionarea planurilor alternative de recuperare și continuitate a afacerii trebuie testată periodic, cel puțin anual, pe baza unor scenarii practice și reale, cu continuarea operaţiunilor pe sistemele de rezervă pe parcursul a cel puțin unei zile calendaristice de lucru.
B.8.4) Entitățile își continuă activitatea in caz de avarie sau dezastru, prin intermediul unui centru de recuperare in caz de dezastru, cu reluarea activității intr-un interval de timp foarte scurt, definit în cadrul profilului de risc. Pentru entitățile încadrate în categoria de risc major acest timp nu depășește două ore. Pentru entitățile încadrate în categoria de risc important acest timp nu depășește o zi. Pentru entitățile încadrate în categoria de risc mediu acest timp nu depășește două zile. Pentru entitățile încadrate în categoria de risc scăzut acest timp nu depășește trei zile.
B.8.5) Planul de acțiuni pentru implementarea centrului de recuperare în caz de dezastru respectă următoarele etape:
a) identificarea programelor informatice importante a căror replicare este necesară;
b) descrierea infrastructurii IT din cadrul entității;
c) definirea evenimentelor majore de tip dezastru;
d) analiza de risc și impactul riscurilor
e) descrierea sistemului de recuperare implementat;
f) definirea nivelelor de servicii (SLA) in vederea asigurării calității serviciului IT atât cu furnizorii de echipamente, cât și cu furnizorii de servicii;
g) descrierea personalului disponibil in cadrul entității pentru susținerea recuperării;
h) descrierea modului de monitorizare în operarea curentă a sistemului de recuperare;
i) definirea activităților, a părților și a procedurilor care compun planul de continuitate a afacerii.
B.8.6) Entitățile urmăresc următoarele caracteristici ale centrului de date și a planului de recuperare:
a) Este permanent operațional, pe perioada de definire a serviciilor (număr zile pe săptămână, număr ore pe zi) și asigură toate activitățile susținute de sistemele importante, în timpul angajat prin registrul riscurilor și comunicat către A.S.F.;
b) Este sincronizat cu sistemul principal pentru a se asigura același nivel de servicii pentru serviciile replicate;
c) Asigură comutarea și continuarea activității in locația alternativă, în timpul prevăzut în profilul de risc al entității, evaluat și comunicat către A.S.F., dar acesta nu va putea depășii două ore pentru entitățile încadrate în categoria de risc major și una, două, respectiv trei zile pentru celelalte entități din momentul incidentului;
d) Comutarea este transparentă utilizatorilor, aceștia nefiind nevoiți să își schimbe modul de lucru.
B.8.7) Locația centrului de recuperare în caz de dezastru îndeplinește condițiile:
a) este monitorizată și administrată din locația principală sau din altă locație proprie sau a unui terț contractat ca furnizor de servicii externalizate;
b) nu este expusă acelorași riscuri principale de securitate, precum, dar neliminitându-se la, a nu se afla in aceeași clădire sau zonă cu risc seismic identic sau mai mare cu locația principală.
B.8.8) Planul de continuitate a afacerii al entităților are următoarele caracteristici:
a) definește modul de continuare a afacerilor in situații de criză sau dezastru și a modului de acțiune a angajaților nominalizați și instruiți în a aplica planul;
b) reduce timpul necesar reluării operațiilor de afaceri ale companiei prin definirea pașilor și a procedurilor care se vor executa in cazul apariției unui eveniment de tip dezastru;
c) minimizează riscurile care pot apare in procesul de reluare a operațiunilor de afaceri ale entității prin stabilirea pașilor și a deciziilor în avans în condiții normale de activitate.
d) modul si periodicitatea testării planului, cel puțin anual.
B.8.9) Principalele aspecte luate în considerare în cadrul planului de continuitate sunt:
1. asigurarea disponibilități ridicate pentru accesul la programe informatice indiferent de cauza întreruperii. Sistemul de disponibilitate ridicată este plasat în general în locaţia centrului de date principal;
2. asigurarea continuității activităților pentru a menține funcționarea normală a serviciilor IT cu excepția operațiunile planificate de întreținere;
3. asigurarea recuperării in caz de dezastru.
B.8.10) Entitățile definesc un proces de control al incidentului în cadrul planului de continuare a activității, prin intermediul unui plan de urgență pentru administrarea situației de criză. La producerea unui incident se are în vedere prevenirea extinderii acestuia și evitarea generării unui eveniment major de tip dezastru.
B.8.11) Procesul de control al incidentului identifică răspunsul la o situație de criză care poate apare in locația primară, pentru prevenirea accidentelor, pentru distribuirea materialelor de protecție, evacuarea în ordine a personalului dacă situația o impune, prevenirea extinderii situației într-un incident major, reducerea și controlul efectelor incidentului, asigurarea pornirii procesului de salvare și recuperare.
C) Puncte de control si măsurare
C.1) Entitățile implementează următoarele tipuri de controale:
a) Controale preventive care blochează încercările de încălcare a politicii de securitate informatică precum, dar fără a se limita la, controlului accesului la sisteme informatice, criptarea, autentificarea.
b) Controale de avertizare care semnalizează asupra încălcărilor sau încercărilor de încălcare a politicii de securitate informatică precum, dar fără a se limita la, înregistrările cronologice ale evenimentelor de securitate care dovedesc evidența documentară a secvențelor de activități care pot afecta în orice moment operațiunile specifice, procesele și procedurile, sau metode pentru detectare a intruziunilor.
C.2) Entităţile care utilizează sisteme informatice de prelucrare automată a datelor dispun de un sistem informatic evaluat intern, testat sau/și auditat intern sau/și extern, care este supus la teste de penetrare, după caz, în funcție de tipul entității menționat la art.5 al prezentei instrucțiuni, care să certifice adecvarea acestuia la specificul şi volumul activităţii, gradul de securitate a informaţiei, capacitatea de a furniza raportările solicitate de A.S.F., capacitatea de transmitere electronică a raportărilor, capacitatea de stocare/arhivare/replicare a datelor, îndeplinirea de către sistemele informatice a criteriilor prevăzute de prezenta instrucțiune și a reglementărilor în vigoare pentru prelucrarea automată a datelor în domeniul financiar-contabil.
C.3) Entitățile controlează eficient riscurile generate de utilizarea sistemelor informatice, prin obiective de control și implementarea de către entitate, sau de furnizorul extern de servicii, de puncte de control, prin monitorizarea acestora si a indicatorilor cheie de risc. În acest scop, se implementează atât controale generale la nivelul sistemului informatic, cât şi controale specifice la nivelul fiecărei componente a acestuia, după caz. Informaţiile din punctele de control vor fi colectate lunar sau trimestrial, păstrate la dispoziţia entității si raportate către A.S.F. pe baza cerințelor de reportare.
C.4) Entitățile identifică riscurile operaţionale inerente si reziduale tuturor proceselor informatice si de comunicaţii care pot avea impact material asupra produselor, activităţilor, proceselor și sistemelor.
C.5) Entitățile selecționează și implementează controale, ca măsuri de reducere a riscurilor identificate în funcție de vulnerabilități, pe care le consideră relevante pentru riscurile evaluate, precum cele din tabelul nr.2 al prezentei anexe, dar fără a se limita la acestea.
C.6) Entitățile aplică proceduri operaționale in domeniul combaterii spălării banilor și finanțării actelor de terorism precum si regimului de sancțiuni internaționale ca parte integrată a politicilor emise de ASF.
Tabel nr. 2 Riscuri, vulnerabilități și măsuri potențiale
|Nr. |Risc |Vulnerabilitate |Măsură implementată pentru reducerea riscului (control) |
|1 |Riscul de securitate |Neimplicarea managementului executiv |Supravegherea video a accesului fizic in centrul de date |
| |informatică – |în coordonarea activităților legate |Acces fizic controlat in sediu si centru de date |
| |confidențialitate, |de securitatea informatică |Monitorizarea sistemelor și programelor in vederea identificării funcționarii |
| |integritate și |Accesul fizic necontrolat |anormale |
| |disponibilitate |Lipsa politicilor și procedurilor de |Măsuri specifice pentru asigurarea securității prin configurarea accesului la |
| |Acces neautorizat asupra|securitate |sisteme: |
| |sistemului |Mecanisme slabe de autentificare/ |Autentificare |
| |Riscul de securitate |autorizare |Autorizare |
| |informațională |Configurații de securitate neconforme|Politici de parole |
| | |cu cele mai bune practici |Managementul utilizatorilor și a utilizatorilor privilegiați (administratori) |
| | |Rețea neprotejată față de |Monitorizarea activității administratorilor de aplicații, baze de date, rețea și |
| | |intruziunile externe |sisteme |
| | |Acces necontrolat al |Revizuirea periodică a drepturilor utilizatorilor în sistemele informatice |
| | |administratorilor la sistemele și |Implementarea unor măsuri de securitate și control care să asigure următoarele: |
| | |bazele de date |securizarea accesului |
| | |Platforme hardware și/sau software |protejarea bazelor de date |
| | |neactualizate |Software de tip antivirus si firewall, sisteme de detectare a intruziunilor și |
| | |Vulnerabilități majore in sistemul de|existența unei proceduri de raportare a incidentelor |
| | |securitate |Politici și proceduri de securitate |
| | | |Existența jurnalelor de audit |
| | | |Auditarea externă a sistemelor și programelor |
| | | |Evaluarea periodică conform cu standardele recomandate a infrastructurilor |
| | | |hardware și software folosite si stabilirea de responsabilități clare pentru |
| | | |actualizarea acestora |
| | | |Acorduri de niveluri de servicii (SLA) semnate |
| | | |Evaluarea periodică a sistemului pentru determinarea vulnerabilităților |
| | | |Verificarea măsurilor de securitate implementate și eventual actualizarea lor |
| | | |dacă este cazul |
| | | |Plan de recuperare în caz de dezastru |
| | | |Monitorizarea sistematică a rețelei de comunicații de date și a logurilor de |
| | | |sistem |
| | | |Auditarea internă sau externă |
|2 |Risc de program |Lipsa unui proces formalizat de |Documentarea programelor și a modului cum acestea comunică intre ele |
| |informatic |management al schimbărilor si |Testarea internă IT a programelor, inclusiv la nivel de utilizator în procesul de|
| |Risc de programator (de |configurațiilor |dezvoltare înainte de promovarea in producție. |
| |concepție) |Introducerea în sistemele de |Respectarea regulilor și standardelor de securitate |
| |Risc hardware și |producție a modificărilor de |Management al schimbărilor |
| |comunicații |aplicație neaprobate, insuficient |Management al configurațiilor |
| |Întreruperi neprogramate|testate sau fără o evaluare de impact|Managementul versiunilor |
| |in funcționarea |asupra securității |Managementul riscurilor legate de proiectele de implementare sau modificare a |
| |programelor sau |Modificarea neautorizată a |programelor si sistemelor |
| |sistemelor |configurațiilor |Service Level Agreements (SLA) semnate cu furnizorii de programe sau sisteme |
| |Pierderea unor date |Lipsa de trasabilitate asupra | |
| |importante |schimbărilor | |
|3 |Fraude comise de |Monitorizare insuficientă a |Implementarea fluxurilor de aprobare la nivelul sistemelor informatice. |
| |angajați |managementului și sistem de control |Politica și procedurile de personal și securitate |
| | |intern deficitar |Control intern, monitorizarea rețelei și a sistemelor, înregistrarea accesului la|
| | |Neaplicarea principiului separării |sisteme și stocarea acestuia în vederea investigării ulterioare in cazul unui |
| | |responsabilităților |incident. |
| | |Monitorizarea insuficientă a |Dreptul de monitorizare și revocare pentru oricare activitate privind resursele |
| | |sistemelor și programelor informatice|organizației, comunicată angajaților |
| | |Pregătire profesională insuficientă a|Audituri interne și externe |
| | |angajaților și management defectuos |Existența unor facilități de înregitrare a logurilor și auditare incluse in |
| | |Cunoșterea insuficientă de către |programele utilizate |
| | |utilizatori a practicilor uzuale de |Verificarea logurilor de tranzacții in programele de afaceri |
| | |securitate |Înregistrarea și păstrarea tuturor jurnalelor de acces în vederea auditării |
| | |Lipsa politicilor și procedurilor de |ulterioare la nevoie |
| | |securitate |Verificarea logurilor de securitate (control acces) sisteme și aplicații |
| | | |Instruirea echipei în acord cu tehnologiile folosite |
| | | |Instruirea managementului |
| | | |Certificarea personalului în tehnologiile folosite și/sau produsele hardware și |
| | | |software |
| | | |Informarea utilizatorilor despre existența monitorizării tranzacțiilor și a |
| | | |accesului la programe |
|4 |Încălcarea legilor, |Existența incertitudinilor cu privire|Analizarea jurisdicției și implementarea unui proces de gestionare a aspectelor |
| |reglementărilor și a |la aplicarea legilor și normelor |juridice |
| |contractelor |interne entității |Verificarea periodică a legislației in vigoare |
| | |Instruire insuficientă |Solicitarea interpretării textului legislativ din partea autorităților competente|
| | |Neavizarea juridică a contractelor |și cand este cazul actualizarea instrucțiunilor interne |
| | |Inexistența funcției de conformitate |Existența ofițerului responsabil cu conformitatea și a ofițerului de securitate |
| | |Sistem de control intern deficitar |Existența politicilor de securitate care au prevederi clare referitoare la |
| | |Pregătire profesională insuficientă a|administrarea datelor cu caracter personal |
| | |angajaților și management defectuos |Auditarea internă și auditarea externă conform cerințelor |
| | |Cunoașterea insuficientă de către |Plan de restabilire a serviciilor in caz de dezastru |
| | |utilizatori a practicilor uzuale de |Instruirea personalului |
| | |securitate |Instruirea echipei în acord cu tehnologiile folosite |
| | | |Instruirea managementului |
| | | |Certificarea personalului în tehnologiile folosite și/sau produsele hardware si |
| | | |software |
| | | |Informarea utilizatorilor despre practicile corecte de gestionare a informațiilor|
| | | |confidențiale. |
| | | |Implementarea măsurilor de securitate fizică necesare. |
|5 |Indisponibilitatea |Lipsa mentenanței operaționale |Existența contractelor de service și suport, cu furnizori externi, care acoperă |
| |sistemului |Neurmărirea performanțelor sistemului|eventualele situații anormale |
| |Performanța insuficientă|din perspectiva funcționării in |Obligația contractuală a furnizorilor de a monitoriza capacitatea bazelor de date|
| |a sistemului |parametrii normali | |
| |Împiedicarea realizării |Vulnerabilitatea la atacuri DoS ale |SLA |
| |sarcinilor la parametrii|sistemelor |Plan de restabilire a serviciilor in caz de dezastru |
| |de performanță |Distrugerea liniilor de comunicație |Testarea sistemului atât pe durata implementării cat si după finalizarea acesteia|
| |Riscul de dependență |Existența unor condiții de | |
| |tehnologică |funcționare anormală a sistemului |Existența unei arhitecturi de salvare de rezervă a datelor folosind echipamente |
| | |informatic |diferite |
| | |Lipsa unor proceduri de salvări date |Plan de recuperare în caz de dezastru |
| | |adecvate |Asistența de tip centru de suport proactivă |
| | |Lipsa unui plan de recuperare in caz |Existența unui firewall, si a sistemelor de prevenire a intruziunilor |
| | |de dezastru |Plan de continuitate a afacerii |
| | |Lipsa unui plan de continuitate a |Proces de monitorizare automată a capacității sistemelor |
| | |afacerii |Proceduri de securitate |
| | | |Sisteme și linii de comunicație redundante |
| | | |Migrarea programelor pe tehnologii mai noi |
|6 |Risc de furnizor |Existența unor legături sistemice cu |Monitorizarea activității furnizorilor |
| |Efect negativ asupra |terți |Evaluarea periodică a riscurilor in relațiile cu terții |
| |relațiilor cu terții |Contracte insuficient analizate |Implicarea departamentului care asigură respectarea legislației în domeniu |
| |Expunerea juridică către|juridic |Cooperarea cu reprezentanții autorităților in domeniul combaterii criminalitatii |
| |alte entități externe |Neimplementarea SLA-urilor in |finaciar – bancare și împotriva spălării banilor |
| |Efect negativ asupra |contracte conform nevoilor de afaceri|Revizuirea periodică și actualizarea la nevoie a procedurilor prevederilor |
| |relațiilor cu clienții |ale entității si conform contractelor|contractuale existente |
| |Consecințe financiare |cu clienții |Existența ofițerului responsabil cu conformitatea și a ofițerului de securitate |
| | |Informarea incorectă sau incompletă a|Existența unui contract și SLA referitor la distribuția de produse și servicii |
| | |clienților |Analizarea situațiilor care pot conduce la interferențe juridice și legislative |
| | |Posibilitatea folosirii incorecte a |față de entități externe ăi monitorizarea eventualelor incidente care pot genera |
| | |sistemului pentru operațiuni |astfel de situații |
| | |frauduloase de tip spălare de bani |Evaluarea concretă și clară a costurilor și beneficiilor |
| | |Posibilitatea încălcării dreptului la|Distribuirea de informații publice despre produse |
| | |confidențialitate al clientului |Existența unor reglementări conforme cu legislația și vigoare care asigură |
| | |acordat de către normele care |confidențialitatea datelor personale |
| | |reglementează confidențialitatea |Implementarea politicilor de securitate și a procedurilor operaționale conforme |
| | |datelor personale |Instruirea formală a angajaților in domeniul clasificării datelor din perspectiva|
| | |Lipsa politicilor și procedurilor de |asigurării confidențialității datelor personale |
| | |securitate |Implementarea măsurilor de securitate și monitorizarea continuă a respectării |
| | |Instruire insuficientă |procedurilor de securitate |
| | | |Verificarea periodică a angajaților și a procedurilor din perspectiva respectării|
| | | |legislației în vigoare |
| | | |Instruirea formală și periodică a angajaților pentru a fi la curent cu legislația|
| | | |in vigoare |
|7 |Risc de eroare umană |Operațiuni suspecte de spălarea |Validări in programe informatice |
| |Nerespectarea regimului |banilor si de finanțtarea actelor de |Raportarea operațiunilor către ASF |
| |de sancțiuni |terorism |Existența unor metode tehnice specifice de identificare a clienților |
| |internaționale |Lipsa de control sau control |Politici și proceduri care să prevadă raportarea activităților suspecte |
| | |neadecvat asupra operațiunilor |Identificarea operațiunilor in speţă in funcție de indicatorii de risc și |
| |Capacitate (capabilitate|financiare esențiale |variabile analitice prestabilite |
| |) operațională |Integritatea sistemului / securitatea|Nu permite intervenția operatorului (sau o limitează) pentru a modifica |
| |(capacitate de filtrare |tehnica |caracteristici operaționale (prevenirea intervenției în sistem pentru a modifica|
| | | |sfera de variabile/alerte , pentru a nu raporta o anumita operațiune) |
| | | |Implicarea departamentului care asigură respectarea legislației în domeniu |
| | | |Existența unei limite de sumă pentru tranzacții |
| | | |Cooperarea cu reprezentanții autorităților în domeniul combaterii criminalității |
| | | |financiar-bancare pentru prevenirea spălării banilor si finanțării actelor de |
| | | |terorism |
| | | |Revizuirea periodică și actualizarea la nevoie a procedurilor și recomandărilor |
| | | |existente privind combaterea activităților de spălare a banilor |
| | | |Existența ofițerului responsabil cu conformitatea și a ofițerului de securitate |
| | | |Existența unor metode tehnice specifice de identificare a clienților |
| | | |Politici și proceduri care să prevadă raportarea activităților suspecte |
| | | |Existența unei limite de sumă pentru tranzacții |
| | | |Revizuirea periodică și actualizarea la nevoie a procedurilor și recomandărilor |
| | | |existente privind combaterea activităților de spălare a banilor |
|8 |Devastarea /distrugerea |Evaluarea riscurilor potențiale este |Proceduri pentru salvarea datelor |
| |proprietății (daune |inexistentă sau incompletă |Existența locațiilor alternative de operare sisteme de producție |
| |fizice) |Lipsa unor proceduri adecvate pentru |Evaluarea amenințărilor și a riscurilor potențiale |
| |Distrugere fizică a |salvarea datelor |Plan de recuperare in caz de dezastru |
| |serverelor de producție |Lipsa unui plan de recuperare in caz |Proceduri de securitate |
| |Distrugere fizică a |de dezastru |Măsuri pentru asigurare a securității fizice |
| |echipamentelor |Lipsa unui plan de continuitate a |Utilizarea serverelor pentru salvarea datelor importante stocate în echipamentele|
| |utilizatorilor |afacerii |utilizatorilor |
a) Controale generale
1) Controalele generale, la nivelul entităţilor sau al furnizorilor de servicii externi, sunt proiectate astfel ca informaţiile financiare generate de sistemele informatice ale entității să fie de încredere, reale și corecte. Controalele generale includ:
a) controale referitoare la sincronizarea de timp la o unitate de timp recunoscută naţional sau internaţional;
b) controale asupra operării centrului de date (precum dar fără a se limita la programări activităţi, acţiuni operatori, procedurile de salvare date și recuperare după dezastru);
c) controale asupra sistemelor de aplicaţii (precum dar fără a se limita la achiziţie, implementare și întreţinere software, managementului bazelor de date, software de telecomunicaţii, de securitate şi utilităţi);
d) controale asupra securităţii accesului (precum dar fără a se limita la prevenirea accesului necorespunzător sau neautorizat la sistemele informatice);
e) controale asupra dezvoltării, administrării și întreţinerii programelor informatice (precum dar fără a se limita la metodologiile de proiectare, dezvoltare, versionare, testare, implementare, cerinţelor de documentare, managementul schimbării, evoluţia activităţilor de proiect);
2) Entitățile adoptă măsuri pentru identificarea şi gestionarea evenimentelor care pot prejudicia continuitatea activităţii, precum ar fi, dar fără a se limita la incendii, defecţiuni la sistemele hardware sau software, erori operaţionale din partea utilizatorilor, introducere involuntară de componente străine care să creeze daune sistemului informatic sau reţelei. Entitățile asigură condiţii de securitate pentru zonele în care sunt accesate informaţii cu caracter confidenţial.
3) Controalele generale includ şi verificarea existenţei şi aplicării unei strategii de informatizare, a politicilor de aprobare si efectuare a achiziţiilor, a externalizărilor serviciilor informatice, inclusiv prevenirea riscului sistemic datorat criminalităţii informatice.
b) Controale programe informatice
1) Entitățile implementează controale la nivelul programelor informatice prin proceduri de validare şi control incluse în codul software utilizat, prin includerea punctelor de control în codul software pentru prevenirea și detectarea tranzacţiilor neautorizate, precum și proceduri manuale de verificare a modului de procesare a tranzacţiilor şi a efectuării operaţiunilor.
2) Entitățile implementează controale aferente separării mediului de dezvoltare a programelor informatice, de mediul de testare a programelor informatice si de mediul de operare a programelor informatice. Accesul la diversele medii trebuie reglementat şi controlat prin întocmirea de proceduri, ţinând cont de exigenţa limitării riscurilor şi a fraudei. Aceste proceduri susțin siguranţa datelor si a informațiilor, separarea de atribuții in funcție de cele trei tipuri de medii, limitând accesul persoanelor neautorizate la informații și in mediul de operare şi înregistrând toate tentativele de acces neautorizate.
3) Entitățile elaborează proceduri pentru asigurarea siguranţei fizice a sistemelor hardware, software şi a bazelor de date, pentru prevenirea utilizării necorespunzătoare a informaţiei de către personalul entității în vederea obţinerii unor beneficii personale sau prejudicierea reputaţiei societăţii.
4) Entitățile se asigură că furnizorii de programe informatice dezvoltate la cerere de către entități utilizează obiectivele de control recomandate de standardul COBIT pentru controalele aferente programelor informatice:
a) Autorizarea și pregătirea datelor sursă: documentele sursă sunt pregătite de personal calificat și autorizat urmărind proceduri specifice, luând in considerarea segragarea atribuțiilor. Erorile și omisiunile pot fi reduse prin proiectarea inițiala corespunzătoare, acestea trebuind a fi raportate și colectate;
b) Colectarea și introducerea datelor sursă. Datele de intrarea să fie introduse corespunzător și in timp de personal autorizat și calificat;
c) Verificarea acurateții, completitudinii și autenticității. Se asigură că tranzacțiile sunt corecte, complete și valide. Validarea datelor trebuie realizată cat mai aproape de momentul generării lor;
d) Validarea și integritatea procesării. Se menține integritatea și validitatea datelor în timpul ciclului de procesare. Detectarea tranzacțiilor eronate nu afectează procesarea tranzacțiilor valide;
e) Revederea rezultatelor, operarea reconcilierilor și a erorilor. Se stabilesc proceduri și responsabilități pentru asigurarea operării rezultatelor procesării in mod autorizat, livrarea către primitorul corespunzător si transmisiunea protejată. Se verifică acuratețea ieșirilor, verificarea, detectarea și eventuala corectare;
f) Integritatea și autentificarea tranzacției. Înainte de transferarea datelor tranzacției dintre programele informatice interne și funcțiile de afaceri/operaționale (sau in exteriorul entității), se verifică datele referitor la adresarea corectă, autenticitatea originii și integritatea conținutului. Se menține autenticitatea și integritatea tranzacției pe timpul transmisiei sau a transportului.
c) Controale de flux financiar
1. Entitățile implementează controale de flux financiar pentru verificarea periodică, din perspectiva procesării electronice, a fluxurile de date dintre datele din contabilitate, datele din activitățile operaționale, datele de la parteneri, cu:
a) Verificarea zilnică a tranzacțiilor
b) Verificarea zilnică a soldurilor totale
c) Verificarea zilnică a soldurilor la bănci față de soldurile din contabilitate corespondente
d) Verificarea zilnică a soldurilor clienților din contabilitate față de disponibilitățile bănești din contabilitate
e) Verificarea zilnică a soldurilor operaționale față de soldurile din contabilitate cu două zile in urmă.
D) Elemente de control tip indicatori de performanta (KPI) pe procese
Entitățile selecționează indicatorii cheie de performanță (KPI) pe care îi consideră relevanți pentru procesele proprii, precum cei de mai jos, dar fără a se limita la aceștia:
1) KPI Managementul incidentelor
a) Număr incidente petrecute într-o lună;
b) Număr incidente importante închise;
c) Număr incidente acoperite de SLA;
d) Timpul de rezolvare al incidentelor deschise pe servicii esențiale să se încadreze in timpii prevăzuți in SLA;
e) Completarea informației privind cauzele principale și soluționare incidentelor
f) Număr incidente mai vechi de 7 zile.
2) KPI Managementul Problemelor
a) Timp mediu de așteptare pană la rezolvarea unei probleme;
b) Timp mediu de lucru în cadrul unei probleme;
c) Timp total de rezolvare a unei probleme (minim/maxim/mediu), raportat la rezultatele înregistrate anterior;
d) Grad de încadrare în termenul de finalizare;
e) Număr probleme cu termen de rezolvare depășit.
3) KPI Managementul Schimbării/Modificării
a) Număr cereri de schimbare;
b) Modificări autorizate într-o anumită perioadă de timp ;
c) Modificări intrate în producţie într-o anumită perioadă de timp;
d) Modificări care vor intra în producţie într-o anumită perioadă de timp;
e) Modificări de urgenţă într-o anumită perioadă de timp;
f) Numărul de întoarceri in dezvoltare survenite in urma promovărilor;
g) Număr de probleme închise;
h) Procent de încadrare a schimbării în termene;
i) Durată medie închidere a unei cereri de schimbare (pe subcategorii);
j) Număr de modificări neautorizate/neaprobate in programe/sisteme IT;
k) Timpul de livrare la nivel de ciclu de viața al dezvoltării software (cerere dezvoltare, analiză, livrare);
l) Gradul de satisfacție a beneficiarilor.
4) KPI Managementul Configurației
a) Număr elemente de configurație (precum echipamente, sisteme, programe, pachete software, utilizatori) luate în evidență într-o lună;
b) Procentul licențelor raportat la număr total de licențe introduse intr-o luna;
c) Procentul elementelor de configurație nerelaționate la un utilizator sau serviciu.
5) KPI Managementul disponibilității
a) Număr întreruperi majore in funcționarea sistemelor, nerezolvate in 2 ore ;
b) Număr evenimente majore de disponibilitate;
c) Număr alerte automate declanșate de evenimente.
6) KPI Managementul Capacității
a) Numărul de evenimente cauzate de capacitate/performanță;
b) Număr evenimente de capacitate;
c) Număr evenimente majore de capacitate;
d) Număr alerte automate referitoare la evenimente de capacitate;
e) Procent de menținere a utilizării infrastructurilor in pragurile obligatorii.
7) KPI Managementul versiunilor
a) Număr de modificări in programe informatice ;
b) Încadrarea in termene ;
c) Număr de modificări in programe informatice care au trecut prin procesul de testare;
d) Număr de modificări in programe informatice care nu au trecut prin procesul de testare.
8) KPI Managementul Securității Informației
a) Număr de riscuri identificate;
b) Valoarea medie a riscului;
c) Valoarea medie a riscului în comparaţie cu număr riscurilor;
d) Top 10 riscuri pe reponsabil de risc;
e) Număr de atacuri malware ce au afectat simultan mai mult de 10 computere;
f) Număr de încercări neautorizate de acces în centrul de date;
g) Număr de vulnerabilități majore identificate pe servere;
h) Număr de incidente soldate cu scurgeri de informații confidențiale;
i) Număr de încercări nereușite de autentificare la sistem informatic.
9) KPI Zona audit
a) Număr de audituri interne anuale;
b) Număr de vulnerabilități identificate și tratate pe sistemele informatice în urma procesului de audit;
c) Număr de vulnerabilități identificate și netratate în sistemele informatice in urma procesului de audit.
E) Indicatori cheie de risc (KRI) aferenți punctelor de control
1) Entitățile urmăresc riscurile operaționale din perspectiva expunerii și a schimbărilor în profilul de risc operațional prin indicatori de risc. Indicatorii de risc asigură un sistem de avertizare timpurie pentru profilul de risc operațional, permit managementului entității să documenteze și să analizeze tendințele, furnizând o perspectivă de viitor și semnalând acțiuni necesare înainte ca riscul să determine o pierdere concretă. Entitățile își definesc apetitului la risc prin definirea unor limite la care indicatorii de risc sunt folosiți ca suport. Entitățile asigură procesul de monitorizare și măsură prin indicatorii cheie de risc (KRI), identificând pierderile operaționale potențiale cauzate de deficiențele legate de IT și comunicații.
2) Entitățile aplică metrici de măsurare a eficienței proceselor selectând la alegerea proprie, precum, dar fără a se limita la:
a) Număr de ore pierdute pe utilizator datorită unor întreruperi neplanificate;
b) Procentul de disponibilitate realizat față de SLA;
c) Numărul proceselor de afaceri esențiale care folosesc IT neacoperite de planul de continuitate;
d) Procentul testării obiectivelor de recuperare în caz de dezastru;
e) Frecvența întreruperii sistemelor esențiale;
f) Timpul dintre testele fiecărui element al planului de continuitate
g) Numărul orelor de cursuri IT pe an pe angajat IT;
h) Procent al componentelor infrastructurii critice cu monitorizare automată a disponibilității;
i) Frecvența revederii și actualizării planului de continuitate.
3) Entitățile își stabilesc un set de indicatori cheie de risc (KRI) aferenți proceselor specificate in prezenta instrucțiune, selectând la alegerea proprie, precum, dar fără a se limita la:
a) Durata cumulată a întreruperii serviciilor IT esențiale;
b) Numărul întreruperilor serviciilor IT esențiale;
c) Disponibilitatea medie a serviciilor furnizate;
d) Gradul de utilizare a capacităților de procesare și stocare;
e) Numărul modificărilor în sistemele informatice;
f) Numărul de versiuni software cu probleme;
g) Numărul de probleme cu impact major;
h) Deficienţe în sistemele de control intern;
i) Schimbări în legi / legislaţie / regulamente;
j) Creșterea necontrolată a companiei / proiectare deficitară/ structura operaţională;
k) Erori în fluxul de lucru de rutină;
l) Fluctuaţia (riscul de plecare) a angajaţilor cheie;
m) Monopol de cunoștinţe (a câtorva angajați cheie);
n) Pierderea de date (date electronice);
o) Încălcarea regulilor / fraude / înșelătorii;
p) Distrugerea de documente / înregistrări / fișiere;
q) Management de proiect - supraîncărcarea resurselor existente, număr depășiri timp și buget;
r) Distrugeri in camera serverelor;
s) Acte de sabotaj / viruși / acţiuni de hacking / pierderea datelor / securitatea insuficientă a datelor;
t) Lipsa de compatibilitate a sistemelor informatice;
u) Presiuni externe;
v) Eșecul conexiunilor IT;
w) Dependenţa de IT;
x) Îndeplinire SLA contracte servicii externalizate.
F) Managementul Securităţii Sistemelor Informatice si de Comunicaţii
Entităţile care utilizează sisteme informatice de prelucrare automată a datelor vor elabora un set de măsuri de siguranţă, în concordanţă cu legislaţia în domeniu, utilizând principiile referențialului ISO 27002 (fără a se solicita certificarea expresă), in funcție de profilul și apetitul de risc, de dimensiunea entității și de categoria de risc alocată de către A.S.F., sau a solicitării exprese a Autorității către o entitate specifică, ce va include cel puţin următoarele elemente:
Măsuri organizatorice
1) Entitățile definesc și implementează următoarelor activități, proceduri și responsabilități:
a) politica de securitate;
b) obiectivele de securitate;
c) desemnarea responsabilului cu securitatea informaţiei;
d) desemnarea în cadrul entităţii a personalului responsabil cu:
i. intervenţia în caz de incidente;
ii. mentenanţa programelor informatice şi a echipamentelor;
iii. recuperarea datelor în caz de dezastre;
iv. formularea propunerilor privind modificarea regulamentelor interioare şi a procedurilor de lucru astfel încât să se asigure îndeplinirea obiectivelor de securitate.
1) Politica de securitate prevede, fără a se limita la acestea, că sistemele informatice ale entităților care oferă intermediarilor şi clienţilor lor accesul la pieţe:
a) se amplasează în spaţii special amenajate, care să asigure integritatea, securitatea şi disponibilitatea lor în orice moment.
b) sunt operate și supravegheate de personal tehnic disponibil și calificat.
2) Locaţia sistemelor informatice trebuie să asigure redundanţă pentru asigurarea unei disponibilităţi a serviciilor către clienţi sau raportări către A.S.F..
3) Entităţile prevăzute la art.5 se înregistrează obligatoriu ca operatori de date cu caracter personal conform legii.
4) Entităţile prevăzute la art.5 instruiesc periodic dar cel puțin anual personalul angajat, inclusiv angajaţii cheie, în vederea cunoaşterii riscurilor generale și specifice generate de oameni, procese, sisteme si mediul extern, riscurile aferente criminalității și a obligaţiilor ce decurg din setul de măsuri prevăzut la alin. F al prezentei anexe.
Manual de securitate și procedurile de sistem
1) Entitățile prevăzute la art. 5 al prezentei instrucțiuni dețin un manual de securitate care cuprinde capitolele, dar fără a se limita la acestea:
a) prezentarea entităţii;
b) prezentarea infrastructurii hardware şi software;
c) politica de securitate;
d) obiectivele de securitate;
e) managementul infrastructurilor hardware şi software;
f) managementul resurselor umane alocate;
g) comunicarea şi controlul accesului în sistemul informatic;
h) managementul incidentelor;
i) managementul riscului şi recuperarea datelor în caz de dezastru;
j) continuitatea afacerii;
k) înregistrări şi controlul înregistrărilor.
2) Entitățile dețin proceduri care descriu activitățile sau procesele specificate în prezenta instrucțiune, conform încadrării în categoria de risc, care se desfăşoară la nivelul tuturor departamentelor.
3) Toate documentele referitoare la procedurile de sistem vor face parte integrantă din manualul de securitate.
Plan de combatere a riscurilor de securitate
1) Entitățile elaborează planul de combatere a riscurilor luând în considerare următoarele categorii, dar fără a se limita la:
a) încălcarea legilor, reglementărilor şi contractelor;
b) daune fizice;
c) împiedicarea realizării sarcinilor la parametrii de performanţă;
d) efect negativ asupra relaţiilor cu terţii, indiferent dacă aceştia sunt clienţi sau alte persoane cu care entitatea interacţionează;
e) consecinţe financiare.
2) Entitățile identifică activele organizaţiei şi valoarea asociată acestora care trebuie protejate, pe baza inventarierii activelor informaționale, rezultând documentul sau baza de date a inventarului activelor. Pe baza inventarului activelor, se va realiza analiza de risc, care constă în identificarea pentru fiecare activ a ameninţărilor, vulnerabilităţilor şi impactului.
3) Entitățile documentează controalele care vor fi implementate pentru a menţine riscurile în limite acceptabile, pe baza analizei de risc şi corelat cu declarația de aplicabilitate.
4) Planul de combatere conține fazele detaliate ale proiectului, momentele de livrare a documentației alcătuită din manuale, proceduri și instrucțiuni de lucru, desemnarearesponsabililor cu securitatea.
5) Documentația de implementare a sistemului de management al securității conține manualul de securitate, manualul politicilor de securitate, manualul procedurilor operaţionale, manualul metricilor de securitate, planul de continuitate a afacerii.
6) Entitățile evaluează intern anual, sau de câte ori este nevoie, rezultatele sistemului de securitate, revizia rezultatelor și acțiunile corective pentru determinarea nivelului de maturitate internă a controalelor de securitate ale entității, conform Tabelului nr.3 al prezentei anexe, care va fi parte integrantă la evaluarea internă a riscurilor entității respective.
Tabel nr.3 Evaluare internă a maturității controalelor de securitate
|Domenii ale Securității |Ratingul maturității controalelor de securitate |
|Informației | |
| |0 - Ne Existent|1 - Inițial / |2 - Repetabil dar |3 - Proces |4 - Controlat și |5 - Optimizat |
| | |Ad-Hoc |intuitiv |definit |măsurabil | |
|II. Securitatea organizaționala | | | | | | |
|III. Controlul și clasificarea | | | | | | |
|activelor | | | | | | |
|IV. Securitatea personalului | | | | | | |
|V. Securitatea fizica și de mediu| | | | | | |
|VI. Securitatea echipamentelor | | | | | | |
|VII. Controale generale | | | | | | |
|VIII. Managementul operațiunilor | | | | | | |
|și a comunicațiilor | | | | | | |
|IX. Controlul accesului | | | | | | |
|X. Întreținerea și dezvoltarea | | | | | | |
|sistemelor | | | | | | |
|XI. Continuitatea afacerii | | | | | | |
|XII. Conformitate | | | | | | |
Plan de cooperare
a) Entităţile prevăzute la art.5 au obligația cooperării in cadrul unui Plan de cooperare în domeniul securității sistemelor și a informației care va fi stabilit de către A.S.F., inclusiv sa transmită date și informații relevante în acest sens privind ameninţările, vulnerabilităţile şi incidentele generatoare de riscuri majore și crize, proprii sau ale furnizorilor externi, inclusiv cele de securitate cibernetică, tehnici şi tehnologii folosite în rezolvarea incidentelor/crizelor, precum şi bune practici pentru protecţia infrastructurilor proprii, inclusiv cibernetice.
b) Entităţile participă la solicitarea Autorității și susțin schimbul de informaţii anonimizate dintre diverse echipe de răspuns la situații de urgență, precum echipele tip CERT, utilizatori, autorităţi, producători de echipamente şi soluţii de securitate cibernetică, precum şi furnizori de servicii informatice și comunicații.
c) Entităţile înființează puncte de contact pentru colectarea sesizărilor şi a informaţiilor despre incidente de securitate atât automatizat, cât şi prin comunicare directă securizată, după caz.
d) Entităţile ating următoarele obiective prin activitatea de răspuns la incidente de securitate cibernetică:
i. stoparea imediată sau reducerea la minimul posibil a efectelor incidentului;
ii. stabilirea preliminară a impactului incidentului/evenimentului;
iii. identificarea și alertarea tuturor părților afectate sau care pot fi afectate de incidentul/evenimentul de securitate precum și a celor responsabile de remedierea situației;
iv. identificarea și alertarea tuturor instituțiilor sau autorităților publice responsabile de gestionarea situației;
v. diseminarea de informații anonimizate și de documente de natură tehnică referitoare la metode de detecție și tratare ale incidentului/evenimentul de securitate, pentru alte entități care pot fi vizate de un incident similar.
Anexa nr. 2
Indicatori de raportat electronic trimestrial
În înțelegerea prezentei anexe, următorii termeni se definesc astfel:
a) persoane - investitori, brokeri de asigurare, agenți de asigurare, furnizori externi de servicii, alți terți sau colaboratori ai entității, angajați proprii - pe perioadă nedeterminată, respectiv determinată; participanți la fondurile de pensii private. Entitățile vor raporta defalcat pe fiecare tip de "persoane" in funcție de specificul activității proprii.
b) portofolii, tranzacții și active - conturile proprii ale investitorilor pe piața de capital, participanților la fondurile de pensii private sau ale clienților societăților de asigurări; portofolii de investitori, asigurați, participanți la fondurile de pensii private, operațiuni cu activele investitorilor, activele proprii ale intermediarului și/sau ale persoanelor relevante, activele fondului de pensii,
c) funcții predefinite specifice - un grup de funcții predefinite in cadrul entităților, căruia i s-au acordat drepturi preferențiale de acces, operare, interogare, modificare și altele, asupra unuia sau mai multor elemente și/sau module ale sistemului informatic al entității. Un astfel de grup poate avea in componența sa funcții de decizie și/sau funcții de executie și/sau funcții de control din cadrul entității.
d) cont generic – cont care nu are proprietar şi care poate fi accesat de mai multe persoane.
e) dubla validare/validare dubla - validarea unei acţiuni de către doi utilizatori sau existenţa unei validări informatice duble ce implică un program care verifică o anumită acţiune prin metode diferite,
f) phishing - formă de activitate infracțională informatică care constă în obținerea unor date confidențiale, prin inginerie socială ,
g) malware - un tip de software sau cod de program proiectat intenționat pentru deteriorarea unui calculatoare/server/terminal sau infiltrarea în el, sau/și deteriorarea ori infiltrarea în întregi rețele de calculatoare, fără consimțământul proprietarului respectiv, printr-o formă ostilă, intruzivă sau supărătoare,
h) brute-force -atac informatic în care toate opţiunile posibile sunt verificate, fără a acorda o valoare specială opţiunilor mult mai probabile, formal mai este cunoscut sub numele de atac de enumerare – atacul prin care se enumeră toate posibilităţile,
i) atacuri de tip DoS/Denial of Service - o încercare frauduloasă de a indisponibiliza sau bloca un serviciu IT, un sistem inforomatic, resursele unui calculator, site, rețele de comunicații sau servicii găzduite pe servere cu cerințe înalte de disponibilitate și securitate.
Modificarea dreptului de acces la sistemele informatice ale entității include extinderea, restrângerea, retragerea sau ștergerea drepturilor de acces la sistemele informatice. Extinderea respectiv restrângerea trebuie coroborată cu modificarea poziției și/sau a responsabilităților persoanelor implicate. Retragerea și/sau ștergerea trebuie coroborate cu procedurile interne ale fiecărei entități precum retragere în cazul inactivității contului mai mult de 90 de zile, ștergere pentru un cont inactiv peste 180 de zile.
Tabel nr. 4 Indicatori de raportat
|Obiectiv în perioada de raportare |Indicator (cifră) |
|Indicatori referitori la păstrarea confidenţialităţii informaţiilor stocate/prelucrate în sistemele informatice |
|Confidenţialitate |Număr de persoane care au primit acces la informații privind portofolii, tranzacții și active ale|
| |clienților acestora |
| |Număr de persoane care și-au menținut accesul la informații privind portofolii, tranzacții și |
| |active ale clienților acestora |
| |Număr de persoane cărora le-a fost retras accesul la informații privind portofolii, tranzacții |
| |și active ale clienților acestora |
| |Număr de persoane care au primit acces la informații privind portofolii, tranzacții și active |
| |ale entităților |
| |Număr de persoane care si-au mentinut accesul la informații privind portofolii, tranzacții și |
| |active ale entităților |
| |Număr de persoane cărora le-a fost retras accesul la informații privind portofolii, tranzacții |
| |și active ale entităților |
| |Număr de persoane care au primit acces la informații privind portofolii, tranzacții și active |
| |ale persoanelor relevante |
| |Număr de persoane care și-au mentinut accesul la informații privind portofolii, tranzacții și |
| |active ale persoanelor relevante |
| |Număr de persoane cărora le-a fost retras accesul la informații privind portofolii, tranzacții |
| |și active ale persoanelor relevante |
| |Număr de persoane care au primit drepturi privilegiate temporare în ceea ce privește efectuarea |
| |de operații asupra sistemelor informatice ale entităților |
| |Număr de persoane care au primit drepturi privilegiate permanente în ceea ce privește efectuarea |
| |de operații asupra sistemelor informatice ale entităților |
| |Număr de persoane care au acces de la distanță la sistemele informatice ale entităților |
| |Număr de persoane care pot accesa sistemele informatice ale entității prin conturi generice |
| |Număr de blocări ale conturilor de utilizator - ordinare respectiv privilegiate (precum 3 |
| |autentificări greșite, cont inactiv pentru o perioada mai mare de 90 de zile, suspiciuni |
| |referitoare la implicarea într-un incident de securitate) |
| |Număr de conturi de utilizator inactive pentru o perioadă mai mare de 90 de zile |
| |Număr de conturi de utilizator inactive pentru o perioadă mai mare de 120 de zile |
| |Număr de conturi generice (de grup) definite |
|Indicatori referitori la separarea funcţiilor persoanelor care accesează sistemele informatice |
|Separare funcţii |Număr de persoane angajați cheie care au acces la informații privind portofolii, tranzacții și |
| |active pe orice cont |
| |Număr de persoane cu funcții de execuţie care au acces la informații privind portofolii, |
| |tranzacții și active pe orice cont |
| |Număr de persoane cu funcții specifice activităţii IT care au acces la informații privind |
| |portofolii, tranzacții și active pe orice cont |
| |Număr de persoane cu funcții de supraveghere care au acces la informații privind portofolii, |
| |tranzacții și active pe orice cont |
| |Număr de persoane care nu au acces la informații privind portofolii, tranzacții și active pe |
| |orice cont |
| |Număr de persoane cu funcții predefinite specifice care au acces la sistemele de operare și |
| |infrastructura IT |
| |Număr de persoane cu funcții predefinite specifice care au acces la bazele de date ale entității|
| |(referitor la portofolii, tranzacții si active) cu drepturi de vizualizare, utilizare și |
| |modificare asupra acestora |
| |Număr de persoane cu funcții predefinite specifice care au acces la programele informatice ale |
| |entității (programe informatice interne/externe/on-line acesate via Internet) cu drepturi de |
| |vizualizare, utilizare și modificare asupra acestora |
| |Număr de persoane cu funcții predefinite specific care au acces la bazele de date ale entității |
| |(referitor la portofolii, tranzacții și active) cu drepturi de vizualizare si administrare asupra|
| |acestora, fără drept de modificare |
| |Număr de persoane cu funcții predefinite specifice care au acces la programele informatice ale |
| |entității (programe informatice interne/externe/on-line accesate via internet) cu drepturi de |
| |vizualizare și administrare asupra acestora, fără drept de modificare |
| |Număr de persoane cu funcții predefinite specifice care au acces la două sau mai multe elemente |
| |ale sistemului informatic al entității |
|Indicatori referitori la principiul dublei validări prin operaţiuni in sistemele informatice |
|Dubla validare |Numărul de validări duble efectuate |
| |Număr de operațiuni INIŢIATE care presupun dubla validare |
| |Număr de operațiuni CONFIRMATE care presupun dubla validare |
| |Număr de operațiuni ANULATE care presupun dubla validare |
|Indicatori referitori la accesul la sistemele informatice |
|Accesul la sisteme |Număr de persoane care au acces la sisteme informatice care NU conțin informații referitoare la |
| |portofolii, tranzacții și active pe orice cont |
| |Număr de persoane care au acces la sisteme informatice care CONŢIN informații referitoare la |
| |portofolii, tranzacții și active pe orice cont |
| |Număr de coduri alocate pentru accesul la sisteme informatice care conţin informații referitoare |
| |la portofolii, tranzacții și active |
| |Număr de coduri modificate pentru accesul la sisteme informatice care conţin informații |
| |referitoare la portofolii, tranzacții și active |
| |Număr de coduri retrase pentru accesul la sisteme informatice care conţin informații referitoare |
| |la portofolii, tranzacții și active pe orice cont |
| |Număr de parole alocate pentru accesul la sisteme informatice care conţin informații referitoare |
| |la portofolii, tranzacții și active pe orice cont |
| |Număr de parole modificate pentru accesul la sisteme informatice care conţin informații |
| |referitoare la portofolii, tranzacții și active pe orice cont |
| |Numărul de greșeli date de introducerea greșită a credențialelor (cod și/sau parolă) de mai mult |
| |de 3 ori consecutiv |
| |Număr de conturi blocate ca urmare a introducerii greșite a parolei/codului de acces |
| |Număr de conturi deblocate ca urmare a introducerii greșite a parolei/codului de acces |
| | |
|Indicatori referitori la activitatea privind ordinele de tranzacționare procesate în sistemele informatice |
|Procesare ordine |Număr ordine primite |
| |Număr ordine refuzate |
| |Număr ordine modificate |
| |Număr ordine suspendate |
| |Număr ordine reluate |
| |Număr ordine anulate |
| |Număr ordine executate |
|Indicatori referitori la activitatea privind tranzacțiile procesate in sistemele informatice |
|Procesare tranzacţii |Număr tranzacţii încheiate pe cont PROPRIU |
| |Număr tranzacţii decontate pe cont PROPRIU |
| |Număr tranzacţii anulate pe cont PROPRIU |
| |Număr tranzacţii încheiate pe conturile CLIENTILOR |
| |Număr tranzacţii decontate pe conturile CLIENTILOR |
| |Număr tranzacţii anulate pe conturile CLIENTILOR |
| |Număr corecții tranzacţii |
| |Număr tranzacţii Buy In (inclusiv Buy In impuse) |
| |Număr tranzacţii Sell Out (inclusiv Sell Out impuse) |
|Indicatori referitori la activitatea privind activele clienţilor procesată în sistemele informatice |
|Operaţiuni cu activele clienților |Număr total transferuri instrumente |
| |Număr transferuri instrumente aferente decontări tranzacţii CLIENŢI |
| |Număr transferuri instrumente aferente decontări tranzacţii cont PROPRIU |
| |Număr transferuri instrumente Secțiunea 1 – Secțiunea 2 (in ambele sensuri) |
| |Număr transferuri instrumente aferente operațiunilor de împrumut |
| |Număr transferuri instrumente aferente constituirii garanţiei cu transfer de proprietate |
| |Număr transferuri instrumente aferente executării garanţiilor |
| |Număr transferuri instrumente aferente însușirii garanţiilor |
| |Număr transferuri instrumente aferente restituirii garanţiei cu transfer de proprietate |
| |Număr total transferuri fonduri |
| |Număr transferuri fonduri decontări tranzacţii CLIENŢI |
| |Număr transferuri fonduri decontări tranzacţii cont PROPRIU |
| |Număr alimentări fonduri CLIENTI |
| |Număr retrageri fonduri CLIENTI |
|Indicatori referitori la incidente interne de securitate informatică |
| |Număr total incidente interne de securitate informatică |
| |Număr infectări cu viruși sau malware a peste 10 stații de lucru |
| |Număr infectări cu viruși sau malware la nivelul a unui server |
| |Număr încălcări politică și proceduri securitate |
| |Număr pierderi date generate de acțiuni neaprobate |
| |Număr de terminale proprietate personală identificate in rețeaua entității |
| |Număr software nelicențiat identificat în infrastructura entităţii |
| |Număr mediu de zile de la identificarea unui incident de securitate pană la rezolvarea acestuia |
| |Pierderi financiare datorită incidentelor interne de securitate |
|Indicatori referitori la incidente informatice externe |
| |Număr total incidente informatice externe |
| |Număr atacuri de tip DoS (Denial of Service) |
| |Număr atacuri tip phishing |
| |Număr atacuri de tip malware |
| |Număr atacuri brute-force |
| |Pierderi financiare datorită incidentelor externe de securitate |
|Niveluri servicii agreate interne și pentru clienți |
| |Număr ore de indisponibilitate a sistemelor principale interne pentru activitate |
| |Număr ore de indisponibilitate a sistemelor la care au acces clienții (precum, dar nelimitat |
| |la tranzacționare, site) |
| |Număr de ore de disponibilitate programată pentru sistemele principale interne |
| |Număr de ore de disponibilitate programată pentru sistemele principale către clienți |
| |Număr de ore de indisponibilitate a serviciilor IT externalizate care afectează serviciile |
| |interne din cadrul entității |
| |Număr de ore de indisponibilitate a serviciilor IT externalizate care afectează serviciile |
| |către clienţii entităţilor |
| |Număr întreruperi servicii IT principale interne |
| |Număr întreruperi servicii IT principale externe |
| |Gradul mediu de utilizare a capacităților de procesare si stocare pentru sistemele principale |
| |Valoare pierderi financiare determinate de probleme de disponibilitate a sistemelor informatice |
| |principale |
|Management schimbări |
| |Numărul programelor informatice principale |
| |Numărul de modificări aduse programelor informatice principale |
| |Numărul problemelor generate de modificări în programele informatice |
| |Număr modificări în programele informatice generate de schimbări în legislaţie/bune practici |
| |Număr teste de acceptanţă după modificări în programele informatice |
| |Număr de erori produse după trecerea în exploatare a unui nou program informatic |
| |Număr de erori produse de utilizarea aplicaţiilor informatice |
| |Număr erori în exploatare generate de proiectarea sistemelor informatice |
| |Număr erori în exploatare generate de testarea sistemelor informatice |
| |Număr incidente determinate de lipsa de compatibilitate a sistemelor informatice |
| |Valoare pierderi financiare determinată de erori sau incidente produse în utilizarea programelor|
| |informatice |
|Indicatori managementul continuității |
| |Număr de teste efectuate conform planului de continuitate a afacerii |
| |Număr de teste efectuate conform planului de recuperare în caz de dezastru |
|Indicatori referitori la oameni |
| |Număr angajați |
| |Număr ieșiri angajați |
| |Număr intrări angajați |
| |Număr angajați cheie |
| |Număr ieșiri angajați cheie |
| |Număr factori de decizie sau execuție cu monopol de cunoștinţe |
| |Număr personal extern pe alte forme de contractare a muncii decât angajare |
|Evaluarea internă |
| |Gradul de risc reieșit din evaluarea internă a riscurilor operaţionale |
| |Ratingul maturității controalelor de securitate |
| | |
|Securitate |
| |Număr pierderi de date (date electronice) |
| |Număr documente / înregistrări / fișiere distruse accidental sau intenționat |
| |Număr încălcare gravă a regulilor / fraude / înșelătorii |
| |Număr incidente de distrugere in centrul de date |
| |Număr acte de sabotaj / acţiuni de hacking / coruperea datelor |
| |Număr personal extern care are acces la informații de afaceri confidențiale |
|Furnizori |
| |Număr contracte semnate cu furnizori externi |
| |Număr contracte semnate de externalizare |
| |Număr contracte semnate pentru arhivare electronică |
| |Număr contracte semnate de externalizare pentru servicii tip cloud computing |
| |Procentul mediu de îndeplinire a serviciilor contractate prin SLA de la furnizori de programe |
| |informatice și sisteme |
| |Procentul mediu de îndeplinire a serviciilor contractate prin SLA de la furnizori de servicii |
| |externalizate |
|Audituri și testări |
| |Număr de audituri interne anuale |
| |Număr de vulnerabilități identificate si tratate în sistemele informatice in urma procesului de |
| |audit |
| |Număr de vulnerabilități identificate si netratate pe sistemele informatice in urma procesului de|
| |audit |
| |Număr testări sisteme informatice |
| |Număr teste de penetrare interne |
| |Număr teste de penetrare externe |
-----------------------
4/62
................
................
In order to avoid copyright disputes, this page is only a partial summary.
To fulfill the demand for quickly locating and searching documents.
It is intelligent file search solution for home and business.
Related searches
- globo de noticias de hoje
- ultimas noticias de estados unidos de america
- noticias de portugal de hoje
- mapa de estados de mexico
- noticias de esportes de hoje
- jornal de angola de hoje
- jornal canal de mocambique de hoje
- agendamento de carteira de trabalho
- massa de torta de frango de liquidificador
- financiar 100 mil pela caixa
- consulta de lote de imposto de renda
- financiar carro