norma 6-2015
DESCRIPTION
sistem informatic, gestionarea riscurilorTRANSCRIPT
-
1/22
AUTORITATEA DE SUPRAVEGHERE FINANCIAR
NORM
privind gestionarea riscurilor operaionale generate de sistemele informatice utilizate de
entitile reglementate, autorizate/avizate i/sau supravegheate de Autoritatea de
Supraveghere Financiar
n temeiul prevederilor art. 3 alin. (1) lit. b), art.5, art. 6 alin. (2) i ale art. 14 din
Ordonana de urgen a Guvernului nr. 93/2012 privind nfiinarea, organizarea i funcionarea
Autoritii de Supraveghere Financiar, aprobat cu modificri i completri prin Legea nr.113/2013,
cu modificrile i completrile ulterioare;
n urma deliberrilor Consiliului Autoritii de Supraveghere Financiar din cadrul edinei
din data de 18 martie 2015,
Autoritatea de Supraveghere Financiar emite urmtoarea norm:
CAPITOLUL I
Dispoziii generale
Art. 1. (1) Prezenta norm stabilete cerinele la nivelul entitilor autorizate/avizate,
reglementate i/sau supravegheate de ctre Autoritatea de Supraveghere Financiar, denumit
n continuare A.S.F., pentru identificarea, prevenirea i reducerea impactului potenial negativ
al riscurilor operaionale generate de utilizarea tehnologiei informaiei i comunicaiilor la
nivel de oameni, procese, sisteme i mediu extern, inclusiv de fapte ce in de criminalitatea
informatic.
(2) Prezenta norm stabilete activiti i operaiuni pentru evaluarea, supravegherea i
controlul riscurilor operaionale generate de utilizarea sistemelor informatice i ale securitii
informatice.
Art. 2. - Prezenta norm se aplic urmtoarelor categorii de entiti autorizate/avizate,
reglementate i/sau supravegheate de A.S.F, denumite n continuare entiti:
a) operatori de pia/operatori de sistem;
b) societi de administrare a investiiilor (SAI), organisme de plasament colectiv
(OPC i AOPC) care se autoadministreaz, dup cum urmeaz:
1. Societi cu active nete n portofoliu/administrate n valoare total,
cumulat pentru toate fondurile administrate, de peste 250 milioane
euro, echivalent lei;
2. Societi cu active nete n portofoliu/administrate n valoare total,
cumulat pentru toate fondurile administrate, de pn la 250 milioane
euro, echivalent lei;
c) depozitari centrali, case de compensare/contrapri centrale;
-
2/22
d) intermediari - societi de servicii de investiii financiare (S.S.I.F.) ncadrate la art. 6
alin. (1) din Legea nr. 297/2004 privind piaa de capital, cu modificrile i
completrile ulterioare, sucursale ale intermediarilor din state nemembre i instituii
de credit din Romnia autorizate de Banca Naional a Romniei n conformitate cu
legislaia bancar i nscrise n Registrul public al A.S.F. n calitate de intermediar,
i anume:
1. intermediari care au calitatea de operator independent;
2. intermediari care presteaz servicii conexe, prevzute la art.5 alin. (11) lit. a)
din Legea nr.297/2004, cu modificrile i completrile ulterioare;
3. intermediari care folosesc faciliti de tranzacionare prin Internet
(ADP/AS) platforme de preluare i transmitere a ordinelor clienilor;
4. intermediari care au calitatea de market makeri i/sau furnizori de
lichiditate;
5. intermediari care tranzacioneaz pe cont propriu i nu se ncadreaz n
categoriile de la pct. 1-4;
6. intermediari care nu tranzacioneaz pe cont propriu i nu se ncadreaz n
categoriile de la pct. 1-4;
e) traderi;
f) Fondul de compensare a investitorilor;
g) societi de asigurare/reasigurare;
h) brokeri de asigurare/reasigurare;
i) entiti care desfoar activitatea de depozitare a activelor organismelor de
plasament colectiv i a fondurilor de pensii private;
j) societi de administrare a fondurilor de pensii private.
Art. 3. - Termenii i expresiile utilizate n prezenta norm au nelesul prevzut n
anexa nr. 1.
Art. 4. (1) Prevederile prezentei norme se aplic de ctre entiti n funcie de
categoria de risc stabilit de A.S.F conform art. 6 alin.(1) i, respectiv, n funcie de rezultatul
evalurii interne a riscurilor, pe baza celor mai bune practici n domeniu.
(2) Categoria de risc corespunztoare fiecrui tip de entitate este stabilit de ctre
A.S.F. n funcie de natura, dimensiunea i complexitatea activitii acesteia, precum i de
riscurile pe care le poate induce, respectiv de impactul asupra activitii, n conformitate cu
prevederile art. 6 alin.(1).
(3) Entitile vor participa la colectarea, analizarea, monitorizarea i raportarea
evenimentelor de securitate informatic, n cadrul sistemului dezvoltat de A.S.F..
Art. 5. (1) Entitile evalueaz anual i monitorizeaz continuu riscurile operaionale
generate de utilizarea sistemelor informatice, prioritizeaz resursele, implementeaz msuri de
securitate informatic i monitorizeaz eficacitatea acestora prin aplicarea managementului de
risc.
-
3/22
(2) Modalitatea de implementare a msurilor de securitate informatic este stabilit de
fiecare entitate, n funcie de profilul de risc, de riscurile identificate, de incidentele aprute,
n conformitate cu cerinele legale aplicabile.
CAPITOLUL II
ncadrarea entitilor n categorii de risc
Art. 6. (1) n scopul prezentei norme, entitile prevzute la art. 2 se includ n patru
categorii de risc: risc major, risc important, risc mediu, risc sczut, dup cum
urmeaz:
a) entitile prevzute la art. 2 lit. a), c) i lit. d) pct. 1 reprezint entiti ncadrate n
categoria de risc major;
b) entitile prevzute la art. 2. lit. d) pct. 2, 3 i 4, lit. g) i i) reprezint entiti
ncadrate n categoria de risc important;
c) entitile prevzute la art. 2 lit. b) pct. 1, lit. d) pct. 5 i lit. f) reprezint entiti
ncadrate n categoria de risc mediu;
d) entitile prevzute la art. 2 lit. b) pct. 2, lit. d) pct. 6, lit.e) i h) reprezint entiti
ncadrate n categoria de risc sczut.
(2) Entitatea care presteaz mai multe tipuri de activiti autorizate de ctre A.S.F.,
ncadrndu-se astfel n mai multe categorii de risc dintre cele menionate la alin (1), va
respecta obligaiile instituite pentru fiecare activitate autorizat n parte.
(3) Societile de administrare a fondurilor de pensii private vor fi ncadrate individual
n categorii de risc, conform prevederilor art. 44 alin. (4) lit. e) i ale art. 51 din Norma
Consiliului Autoritii de Supraveghere Financiar
nr. 3/2014 privind controlul intern, auditul intern i administrarea riscurilor n sistemul de
pensii private.
(4) ncadrarea, respectiv rencadrarea entitilor menionate la art.2 lit.b) se realizeaz
la nceputul fiecrui an, n baza valorii totale a activelor n portofoliu/administrate din ultima
zi lucrtoare a anului anterior.
(5) ncadrarea, respectiv rencadrarea entitilor menionate la art.2 lit.d) se realizeaz
la nceputul fiecrui an, n baza activitii autorizate de A.S.F i a deinerii calitii de market
maker/furnizor de lichiditate n ultima zi lucrtoare a anului anterior.
CAPITOLUL III
Activitile desfurate de entiti
Art. 7. (1) Entitile desfoar cel puin activitile obligatorii corespunztoare
fiecrei categorii de risc prevzute la art. 6 alin (1), conform tabelului din anexa nr. 2.
(2) n termen 90 de zile de la publicarea prezentei norme n Monitorul Oficial al
Romniei, Partea I, A.S.F. va elabora i publica pe site-ul propriu ghidul de ndrumare care
cuprinde detalii i parametrii referitori la modalitatea de implementare a activitilor
obligatorii menionate la alin. (1). Acest ghid are un caracter orientativ i poate fi actualizat de
A.S.F. n funcie de bunele practici n materie.
-
4/22
Art. 8. (1) Raportat la activitatea desfurat entitile se asigur c sistemele
informatice utilizate ndeplinesc cel puin urmtoarele cerine:
a) asigur integritatea, confidenialitatea, autenticitatea, disponibilitatea datelor n
concordan cu categoria de risc a sistemului informatic definit intern de ctre
entitate, precum i prelucrarea acestora n conformitate cu reglementrile A.S.F.,
lund n considerare posibilitatea actualizrii acestora, n funcie de modificrile
intervenite n legislaia incident;
b) asigur respectarea coninutului de informaii prevzut n formularele de raportare
corespunztoare entitilor, aa cum sunt prevzute n legislaia specific, precum i
alte raportri solicitate prin reglementrile A.S.F.;
c) asigur reconstituirea rapoartelor i informaiilor supuse verificrii;
d) asigur stocarea i pstrarea datelor nregistrate i jurnalizate de ctre sistemele de
tranzacionare i back-office pentru o perioad de timp n conformitate cu legislaia
aplicabil n vigoare. Sistemul de pstrare a datelor trebuie s asigure posibilitatea
ca aceste date s poat fi transmise sau puse la dispoziia A.S.F. la cerere;
e) asigur posibilitatea de restaurare a datelor arhivate pe suport digital extern, precum,
dar fr a se limita la, informaii, date introduse, situaii financiare sau alte
documente;
f) asigur elemente de identificare a datelor supuse prelucrrii sau verificrii.
Sistemele informatice asigur identificarea exact a timpului la care au fost
efectuate nregistrrile i identificarea utilizatorilor sistemului la acel moment;
g) asigur confidenialitatea i protecia informaiilor i a programelor prin parole,
coduri de identificare pentru accesul la informaii, precum i realizarea de copii de
siguran pentru programele i informaiile deinute;
h) asigur mecanisme de securitate i control al sistemelor informatice, pentru
pstrarea n siguran a datelor i informaiilor stocate, a fiierelor i bazelor de date,
inclusiv n situaia unor evenimente de risc.
(2) Sistemele informatice care ofer intermediarilor i clienilor lor accesul la
platforme electronice de tranzacionare, precum i cele care evideniaz operaiuni de
compensare, decontare i registru pentru instrumente financiare i operaiuni cu aceste
instrumente, asigur cel puin, fr a se limita la:
a) securitatea i integritatea datelor procesate prin folosirea unei modaliti de
securizare, att asupra datelor trimise ctre platformele electronice de
tranzacionare i ctre cele de compensare, decontare i registru, ct i asupra
datelor recepionate de la aceste sisteme;
b) mecanisme care s garanteze nerepudierea datelor transmise i recepionate;
c) jurnalizarea n timp real a informaiei despre ordinele transmise spre executare, a
strii acestor ordine, respectiv a modificrilor care se aduc acestor ordine n
decursul existenei lor de ctre clienii i intermediarii care utilizeaz aceste sisteme
informatice;
d) mecanisme de nerepudiere a integritii nregistrrii operaiunilor de sistem
informatic.
-
5/22
CAPITOLUL IV
Auditarea i testarea sistemului informatic
Seciunea 1
Auditul informatic
Art. 9. - (1) Entitile ncadrate la categoria de risc major au obligaia de a audita
extern sistemul informatic utilizat, cu periodicitate anual.
(2) Entitile ncadrate la categoria de risc important au obligaia de a audita, extern
sau cu resurse interne certificate, sistemul informatic utilizat, o dat la 2 ani.
(3) Entitile ncadrate la categoria de risc mediu au obligaia de a audita, extern sau cu
resurse interne certificate, sistemul informatic utilizat, o dat la 3 ani.
(4) Entitile ncadrate la categoria de risc sczut au obligaia de a audita, extern sau cu
resurse interne certificate, sistemul informatic utilizat, o dat la 4 ani.
(5) A.S.F. este ndreptit s instituie n sarcina entitii obligaia auditrii externe a
sistemului informatic pentru activitile solicitate de ctre A.S.F dac:
a) n urma constatrilor rezult c o entitate nu a desfurat toate activitile minime
obligatorii categoriei de risc n care aceasta se ncadreaz, conform prevederilor
art.7 sau activitile desfurate au un caracter formal;
b) A.S.F apreciaz c se impune efectuarea unor investigaii suplimentare ale
sistemelor informatice.
(6) Instituirea de ctre A.S.F. a obligaiei de auditare a sistemului IT conform alin.(5),
este nsoit de termenul pn la care entitatea este obligat s transmit la A.S.F.
raportul de audit, iar acest termen nu poate s depeasc 90 de zile lucrtoare.
(7) Auditul extern se efectueaz n baza unui contract ncheiat ntre entitatea care a
solicitat auditarea i unul dintre auditorii IT avizai de A.S.F conform prevederilor art.10
alin. (2). Entitile nu pot contracta auditul IT cu acelai auditor IT pentru mai mult de 3
auditri obligatorii consecutive dintre cele prevzute la alin. (1) (4).
(8) Contractul de audit IT prevzut la alin. (7) cuprinde n mod obligatoriu clauze cu
privire la la faptul c auditorul IT are obligaia de a respecta cerinele necesare efecturii
auditului sistemului informatic, n conformitate cu prevederile prezentei norme i cu bunele
practici n domeniu.
(9) Contractul menionat la alin. (7) trebuie s conin o clauz expres prin care
auditorul se oblig s notifice n cel mai scurt timp posibil i n scris A.S.F. cu privire la orice
fapt sau act n legtur cu sistemul informatic i de comunicaii utilizat de entitate i care:
a) este de natur s afecteze continuitatea activitii entitii auditate;
b) poate conduce la o opinie de audit cu rezerve, la imposibilitatea exprimrii unei
opinii profesionale sau la o opinie negativ.
(10) Contractul prevzut la alin. (7) trebuie s conin o clauz expres prin care, la
solicitarea scris a A.S.F., auditorul se oblig s prezinte A.S.F.:
a) orice raport sau document ce a fost adus la cunotina entitii auditate;
b) o declaraie care s indice motivele de ncetare a contractului de audit, indiferent de
natura acestora;
-
6/22
c) orice alte informaii sau documente solicitate n legtur cu activitatea de audit IT la
care s-a angajat conform contractului.
(11) Respectarea prevederilor alin. (9) i (10) nu contravine dispoziiilor Codului
privind conduita etic i profesional n domeniul auditului financiar, nu constituie o nclcare
a niciunei restricii privind divulgarea de informaii i nu va atrage niciun fel de rspundere
asupra persoanei n cauz. Clauza de confidenialitate nu este opozabil A.S.F..
Art. 10. (1) Auditorul IT extern, care intenioneaz s presteze servicii pentru
entitile crora le sunt incidente prevederile prezentei norme, are obligaia obinerii avizului
A.S.F..
(2) n vederea obinerea avizului A.S.F., auditorul IT extern depune la A.S.F. o cerere
mpreun cu documentaia care trebuie s cuprind urmtoarele, dup caz:
a) datele de identificare ale auditorului:
(i) numele complet/denumirea i adresa/sediul (adresa complet - strad,
numr, bloc, scar, etaj, apartament, ora, jude/sector, cod potal);
(ii) datele nregistrrii fiscale;
(iii) adresa unde i desfoar activitatea;
(iv) telefon/fax, e-mail, adresa paginii de internet;
(v) dovada experienei i a specializrii pe domeniul de audit al
sistemelor informatice;
b) numele i prenumele auditorului persoan fizic certificat i a reprezentantului
societii, care vor semna raportul de audit, mpreun cu urmtoarele documente:
(i) copia actului de identitate a auditorului;
(ii) curriculum vitae al auditorului, datat i semnat, cu prezentarea
experienei profesionale;
(iii) copia certificatului de auditor IT, semnat pentru conformitate cu
originalul;
(iv) certificatul de cazier judiciar i certificatul de cazier fiscal, n
original, aflate n termenul de valabilitate;
c) copia contractului/poliei de asigurare de rspundere civil profesional a
auditorului IT, pentru suma asigurat de minimum 100.000 euro;
d) copia documentului de plat a tarifului de nscriere n Registrul public al A.S.F.
(3) Avizarea i nscrierea auditorului IT n Registrul public al A.S.F. sau refuzul
avizrii, motivat, se realizeaz n termen de maximum 30 de zile calendaristice de la primirea
dosarului complet al solicitantului. Refuzul motivat se transmite auditorului IT. Orice
modificare a documentaiei prevzute la alin. (2) trebuie transmis A.S.F. n termen de
maximum 30 de zile calendaristice de la data modificrii.
(4) A.S.F. retrage avizul auditorului IT extern n oricare dintre urmtoarele cazuri:
a) la cerere;
b) n cazul lichidrii sau la declanarea insolvenei;
c) n cazul nerespectrii, n mod repetat, a prevederilor alin.(3), teza aIII-a;
d) n cazul nerespectrii prevederilor art. 9 alin. (9) i (10), precum i n cazul
nerespectrii obligaiilor stabilite n sarcina sa de prezenta norm;
e) din alte cauze prevzute de legislaia n vigoare.
-
7/22
(5) Pentru toate situaiile menionate la alin (4) lit. c)-e), A.S.F. va transmite
auditorului IT extern o notificare prealabil prin care se aduc la cunotin faptele pentru care
se va proceda la retragerea avizului A.S.F.
(6) Entitile adopt toate msurile necesare pentru evitarea conflictelor de interese ce
pot interveni n desfurarea activitii de audit IT.
(7) Activitatea de audit trebuie s fie independent fa de activitatea auditat, pentru a
nu fi compromis obiectivitatea activitii de audit. Auditorii trebuie s fie independeni i
obiectivi n toate aspectele legate de misiunea de audit.
(8) Entitile, inclusiv cele care efectueaz auditul IT cu resurse interne certificate,
sunt obligate s furnizeze auditorului informaii complete, corespunztoare, relevante i n
timp util, pentru a permite efectuarea n bune condiii a activitii de audit IT.
(9) La finalizarea auditului IT, auditorii IT au obligaia de a ntocmi un raport de audit
care s cuprind cel puin urmtoarele elemente:
a) titlul raportului, identificarea i descrierea entitii auditate, respectiv beneficiarul
raportului;
b) destinatarii raportului i orice restricii privind coninutul i circulaia raportului;
c) domeniul auditat, obiectivele activitii, perioada auditat;
d) natura, cronologia i gradul de acoperire al procedurilor de audit efectuate;
e) orice calificare de opinie sau limitare a ariei acoperite de audit;
f) datele de identificare ale membrilor echipei de audit, care cuprind cel puin numele
i prenumele, telefon, fax, e-mail i adresa unde i desfoar activitatea;
g) semntura coordonatorului certificat al echipei de audit i semntura
reprezentantului legal al auditorului persoan juridic;
h) locul auditrii;
i) data raportului;
j) descrierea ariei auditului, incluznd:
(i) descrierea sistemelor auditate;
(ii) msurile organizatorice: politicile aplicabile i procedurile
implementate;
(iii) identificarea aplicaiilor utilizate i a persoanelor implicate;
(iv) componentele sistemelor informatice utilizate;
(v) un sumar coninnd analiza riscurilor aferente activitii, a
posibilelor deficiene ale sistemului informatic auditat i a msurilor
de reducere a riscurilor asociate, n baza controalelor generale sau
specifice implementate conform prezentei norme;
(vi) referire cu privire la corectitudinea raportrilor efectuate n
conformitate cu art. 14 alin. (4) aferente perioadei dintre dou
activiti de auditare IT;
(vii) descrierea modului prin care s-a efectuat atacul etic/testul de
penetrare, n cazul entitilor care sunt obligate s efectueze teste de
penetrare conform tabelului din anexa nr. 2.
k) concluziile detaliate ale echipei de audit privind ndeplinirea cerinelor prevzute la
art. 5, 8, 11, 12 i 13, pentru fiecare cerin, cu meniunea: DA/NU, precum i
motivaia, n cazul nerespectrii acesteia;
-
8/22
l) afirmaia de conformitate, reflectat prin opinia pozitiv cu privire la conformarea
parial/total referitoare la obiectivele auditului, indicnd punctele care trebuie
mbuntite, reflectate prin opinia cu rezerve/calificat, sau de nendeplinire a
obiectivelor testate/auditate, reflectat prin opinia negativ;
m) o anex la raportul de audit IT, nsuit de entitatea auditat prin semnarea acesteia
de ctre un reprezentant legal al entitii, coninnd:
(i) constatrile i concluziile;
(ii) neconformitile, lipsa controalelor sau controale ineficiente;
(iii) importana neconformitii sau deficienei de control;
(iv) probabilitatea ca aceste constatri s aib un impact semnificativ i
riscuri asociate;
(v) recomandrile pentru aciuni corective i rspunsul conducerii
entitii auditate pentru fiecare constatare din raport, inclusiv
termenul de aplicare;
(vi) rezultatul obinut la atacul etic/testul de penetrare, n cazul
entitilor care sunt obligate s efectueze teste de penetrare conform
tabelului din anexa nr. 2.
n) declaraia pe proprie rspundere a auditorului IT cu privire la faptul c auditul a fost
efectuat n conformitate cu prezenta norm i cu standardele de audit n vigoare la
momentul realizrii auditului, cu menionarea acestora;
o) declaraia pe propria rspundere a auditorului IT extern, cu privire la faptul c
acesta nu se afl n relaii cu entitatea auditat sau cu angajaii entitii care ar putea
s i afecteze independena sau obiectivitatea activitii de audit.
Seciunea a 2-a
Cerine referitoare la furnizorii externi i furnizorii de servicii IT externalizate pentru
sistemele informatice importante
Art. 11. - (1) Entitile se asigur c, pentru sistemele informatice importante,
furnizorii de servicii IT externalizate, inclusiv prin externalizrile n lan, cu excepia
furnizorilor de servicii de comunicaii, a celor de hardware i de licene software, raportat
strict pentru activitatea externalizat:
a) respect aceleai cerine de auditare ca i cele solicitate entitii prin prezenta norm;
b) prezint, la solicitarea A.S.F., modalitatea prin care sunt ndeplinite cerinele
adresate entitii prin prezenta norm;
c) permit A.S.F. i auditorului IT s verifice i/sau s auditeze sistemele sale
informatice conform prezentei norme.
(2) Orice externalizare se realizeaz cu respectarea prevederilor legale aplicabile
incidente sectorului de activitate.
(3) n situaiile n care nu exist alte prevederi legale aplicabile sectorului respectiv de
activitate, pentru externalizarea unor servicii IT i n toate cazurile n care sunt utilizate
serviciile unor furnizori externi, definii la pct.28 din anexa nr. 1, entitatea are obligaia de a
notifica A.S.F., furnizorul extern sau furnizorul de servicii IT externalizate n termen de 10
-
9/22
zile lucrtoare de la momentul ncheierii contractului cu acesta, exclusiv pentru sistemele
informatice importante.
(4) Notificarea prevzut la alin. (3) trebuie s includ urmtoarele informaii i
documente anexate, dup caz:
a) descrierea serviciilor furnizate /externalizate;
b) datele de identificare ale furnizorului:
(i) sediul societii, respectiv adresa complet - strad, numr, bloc,
scar, etaj, apartament, ora, jude/sector, cod potal, dup caz;
(ii) datele nregistrrii fiscale;
(iii) telefon/fax, e-mail, pagina de internet;
c) certificri n funcie de tipul serviciului sau activitii desfurate:
(i) SR ISO/IEC 27001 sau certificri pentru standarde echivalente;
(ii) pentru furnizarea i dezvoltarea de programe informatice software -
certificri aferente;
(iii) pentru furnizarea de servicii externalizate - certificri aferente,
(iv) pentru furnizarea de servicii de gzduire sau externalizare prin
intermediul centrelor de date condiii tehnice conform TIA-942
nivel 2 sau echivalent;
(v) pentru furnizarea de servicii de arhivare electronic prin centre de
date autorizare conform prevederilor legale;
(vi) pentru furnizarea de servicii externalizate de tip cloudcomputing
public se prezint certificate specifice activitilor externalizate.
(5) n cazul modificrii unor informaii sau documente, copia sau originalul
documentelor modificate se va depune la A.S.F., n termen de maximum 30 de zile
calendaristice de la data modificrii.
Seciunea a 3-a
Cerine cu privire la testarea sistemelor/programelor informatice importante
Art. 12. - (1) Entitile au obligaia de a identifica toate sistemele/programele
informatice utilizate i de a le evidenia ntr-un registru care trebuie s cuprind:
a) sistemele/programele informatice importante;
b) modificrile sistemelor/ programelor informatice importante;
c) detalii referitoare la modificrile majore ale sistemelor/programelor informatice
importante.
(2) n aplicarea prevederilor alin. (1) lit. c), modificrile majore se refer la:
a) schimbarea integral a sistemelor/programelor informatice importante;
b) externalizarea unor servicii IT;
c) schimbarea proceselor de arhivare electronic, de restaurare sau sincronizare a
bazelor de date.
Art. 13. -(1) Entitile au obligaia s testeze sistemele/programele informatice
importante nainte de prima utilizare i la orice modificare n cadrul ciclului de via al
acestora, indiferent dac sunt realizate cu resurse interne sau de ctre furnizori externi.
-
10/22
(2) Rezultatul testrilor prevzute la alin. (1) se consemneaz ntr-un raport de testare
IT care cuprinde cel puin urmtoarele elemente:
a) scopul testrii;
b) perioada testrii;
c) descrierea programului testat;
d) identificarea aplicaiilor utilizate i a persoanelor implicate;
e) analiza riscurilor implicate de achiziia sau modificarea programului informatic
important, a posibilelor vulnerabiliti i a msurilor de reducere a riscurilor
asociate prin controale de sistem sau de program informatic;
f) descrierea modului prin care s-au efectuat testele, scenariile de test, eventualele
norme sau standarde aplicate i rezultatul testrii;
g) concluzia echipei de testare;
h) semntura membrilor echipei de testare.
(3) Rapoartele de testare IT se pstreaz la entitate, cel puin pn la urmtoarea
auditare IT, i sunt puse la dispoziia auditorului IT i A.S.F la cerere.
CAPITOLUL V
Cerine de raportare
Art. 14. (1) Entitile au obligaia raportrii evalurii prevzute la art. 5 alin. (1) i
a auditrii prevzute la art. 9, astfel:
a) rezultatul evalurii interne a riscurilor operaionale este transmis A.S.F. anual pn
la 31 martie a anului curent, pentru anul anterior;
b) raportul de audit IT este transmis A.S.F. pn la 30 iunie a anului curent, pentru
perioada supus auditrii, corespunztoare fiecrei categorii de risc prevzute la art.
6 alin. (1).
(2) Entitile depun raportul de audit IT mpreun cu planul de aciune din care s
rezulte modalitatea de remediere a vulnerabilitilor identificate pe parcursul derulrii
activitii de audit IT, dac este cazul.
(3) Rapoartele privind evaluarea intern a riscurilor operaionale prevzute la alin.(1)
lit.a) i rapoartele de audit IT prevzute la alin. (1) lit.b) se depun la A.S.F. pe suport hrtie
sau n format electronic cu semntur electronic extins.
(4) Entitile transmit pn la data de 31 martie a anului curent, pentru anul anterior o
raportare electronic anual cu indicatorii menionai n anexa nr. 3, n msura n care aceti
indicatori sunt aplicabili i sunt afereni sistemelor informatice importante.
(5) Pentru situaiile n care datele referitoare la anumii indicatori nu sunt disponibile
n cazul unei anumite entiti din cauza tipului acesteia, naturii, dimensiunii sau complexitii
activitilor desfurate de aceasta, n celula corespunztoare din raport se va insera acronimul
N/A (neaplicabil).
-
11/22
CAPITOLUL VI
Contravenii
Art. 15. - Nerespectarea prevederilor prezentei norme de ctre entitile prevzute la
art. 2 constituie contravenie conform prevederilor art. 39 alin. (2) lit. a) din Legea nr.
32/2000 privind activitatea de asigurare i supravegherea asigurrilor, cu modificrile i
completrile ulterioare, respectiv ale art. 272 alin. (1) lit. a) pct. 6, lit b) pct. 5, lit. c) pct. 4, lit.
d) pct. 4, lit. e) pct. 6, lit. f) pct.3, lit. h) pct. 8, lit. j) pct. 17 i lit. k) pct. 3 din Legea nr.
297/2004, cu modificrile i completrile ulterioare, n funcie de tipul entitii.
CAPITOLUL VII
Dispoziii tranzitorii i finale
Art. 16. (1) Cerinele prevzute de prezenta norm sunt puse n aplicare de ctre
entiti, ncepnd cu data de 1 ianuarie 2016, cu excepia prevederilor art.11 referitoare la
furnizorii externi i furnizorii de servicii IT externalizate care se aplic ncepnd cu data de 30
septembrie 2016, iar entitile vor transmite notificrile menionate la art.11 alin.(3) pn la
31 decembrie 2016.
(2) Pn la data de 30 iunie 2016, toate entitile vor transmite A.S.F rezultatul primei
evaluri interne a riscurilor operaionale prevzut la art.14 alin. (1) lit. a), precum i prima
raportare electronic prevzut la art. 14 alin. (4).
(3) ncepnd cu data de 1 ianuarie 2017, toate entitile trebuie s efectueze raportrile
la termenele prevzute la art. 14.
(4) Pentru toate entitile, prima auditare IT se va realiza cel mai trziu pn la data de
31 decembrie 2016.
Art. 17. (1) La data de 30 iunie 2015 se abrog Instruciunea nr. 2/2011 privind
auditarea sistemelor informatice utilizate de entitile autorizate, reglementate i
supravegheate de Comisia Naional a Valorilor Mobiliare, aprobat prin Ordinul Comisiei
Naionale a Valorilor Mobiliare nr. 10/2011, publicat n Monitorul Oficial al Romniei,
Partea I, nr. 118 din 16 februarie 2011, cu modificrile ulterioare.
(2) La data intrrii n vigoare a prezentei norme se abrog:
a) Dispunerea de Msuri a Comisiei Naionale a Valorilor Mobiliare nr.19/20101;
b) art.25 din Normele privind principiile de organizare a unui sistem de control
intern i management al riscurilor, precum i organizarea i desfurarea activitii
de audit intern la asigurtori/reasiguratori, aprobate prin Ordinul Comisiei de
Supraveghere a Asigurrilor nr. 18/2009, publicat n Monitorul Oficial al Romniei,
Partea I, nr. 621 din 16 septembrie 2009, cu modificrile i completrile ulterioare;
c) orice dispoziie contrar prevederilor prezentei norme.
Art. 18. Anexele nr. 1 - 3 fac parte integrant din prezenta norm.
1 Dispunerea de msuri a Comisiei Naionale a Valorilor Mobiliare nr. 19/2010 nu a fost publicat n
Monitorul Oficial al Romniei, Partea I.
-
12/22
Art. 19. - Prezenta norm se public n Monitorul Oficial al Romniei, Partea I,
precum i n Buletinul A.S.F. i intr n vigoare la data publicrii acesteia.
Preedintele Autoritii de Supraveghere Financiar
Miu NEGRIOIU
Bucureti, 23 martie 2015
Nr. 6
-
13/22
Anexa nr. 1
DEFINIII I ABREVIERI
1. acord de furnizare a serviciului la parametrii agreai (SLA) - un acord ntre un furnizor
de servicii IT i un client, care descrie unul sau mai multe servicii IT, documenteaz
nivelurile de serviciu int agreate i specific obligaiile furnizorului de servicii IT i ale
clientului;
2. activiti de control informatic - politici, proceduri i practici aplicate pentru atingerea
obiectivelor entitii i pentru ndeplinirea strategiilor de eliminare a riscurilor, concepute
pentru atingerea fiecrui obiectiv de control pentru eliminarea riscului identificat;
3. arhivare electronic - stocarea documentelor n format digital;
4. ameninri - capaciti, strategii, intenii sau planuri ce pericliteaz infrastructurile,
materializate prin atitudini, gesturi, acte sau fapte cu impact asupra securitii activitii
entitilor i a integritii sectorului n care activeaz;
5. analiz de risc - analiza scenariilor de ameninri semnificative, pentru a evalua
probabilitatea materializarii acestora i impactul potenial pe care un astfel de eveniment
l-ar avea asupra entitatii si operatiunilor acesteia;
6. angajai/persoane cheie persoane cu funcii de conducere/persoane relevante/persoane
semnificative care au atribuii i rspunderi cu privire la planificarea, conducerea i
controlarea activitilor entitii;
7. atac etic/test de penetrare - test al sistemelor informatice realizat printr-o simulare a unui
atac real asupra reelelor, sistemelor i programelor informatice utilizate de entitatea
testat sau auditat, dup caz;
8. audit informatic (audit IT) - activitatea de colectare i evaluare a unor probe pentru a
determina dac sistemul informatic respect parametrii de performane i de lucru
conform cerinelor de proiectare, asigur funcionalitile necesare cerinelor de afaceri i
respectarea legislaiei n domeniu, este securizat, menine integritatea datelor prelucrate i
stocate, permite atingerea obiectivelor strategice ale entitii i utilizarea eficient a
resurselor informaionale;
9. auditor (auditor IT) - persoana fizic autorizat care deine certificat de auditor IT sau
persoan juridic cu personal certificat, care deruleaz o activitate de auditare a
sistemelor informatice, conform reglementrilor i a bunelor practici n domeniu;
10. audit IT cu resurse interne audit care se realizeaz de personal certificat n domeniul
auditrii IT, angajat n cadrul entitii sau n cadrul unei companii din cadrul aceluiai
grup financiar, prin aplicarea prevederilor prezentei norme i a metodologiilor certificate
internaional;
11. baz de date structur de organizare a informaiei ntr-unul sau mai multe domenii de
aplicare, cu scopul de a o face accesibil n permanen ctre utilizatori prin ansamblul de
programe informatice;
12. bune practici activiti sau procese certificate care au fost folosite cu succes n mai
multe organizaii i au cptat o larg recunoatere, precum, SR ISO/IEC 27002, ISO
20.002, cadrul de lucru i metodologiile ISACA COBIT, RiskIT, dar fr a se limita la
acestea;
-
14/22
13. centru de date - spaiu securizat, dotat cu tehnic de calcul i echipamente de comunicaii
prin intermediul crora se primesc, se stocheaz i se transmit date n form electronic,
care se implementeaz respectnd standardele specifice, utiliznd conceptul de nivel sau
un echivalent al acestuia, precum, dar fr a se limita la, standardele SR EN 50600
(European Standard - Data Centers Facilities and Infrastructures) sau TIA-942
(Telecommunications Industry Association);
14. centru de date de nivel 2 centru de date care indeplinete cerinele TIA-942 tier 2 sau
echivalent i a crui infrastructura prezint caracteristicile de disponibilitate de 99.741%,
circuit dedicat pentru rcire i alimentare cu energie electric, include componente
redundante, include podea nlat, surse nentreruptibile de putere, generator i se
ncadreaz ntr-un numr de maximum 22 ore de nefuncionare pe an.
15. centrul principal de date centru de date care asigur serviciile IT i proceseaz n mod
curent, datele, tranzaciile i operaiunile entitii;
16. CERT/ Echip sau centru de rspuns la incidente de urgen aferente securitii
informatice structur organizaional specializat n vederea colectrii, analizrii,
identificrii, prevenirii i reaciei la incidente cibernetice cu impact semnificativ;
17. ciclu de via - totalitatea stadiilor din viaa unui serviciu IT, a unui element de
configuraie, a unui incident, a unei probleme sau a unei schimbri, fr a se limita la
acestea;
18. cloud computing public infrastructur informatic, cu resurse de calcul configurabile,
care permite furnizarea la cerere de servicii IT i este asigurat prin centre de date publice,
altele dect infrastructura informatic proprie entitii, prin intermediul unui furnizor
extern, ca un ansamblu distribuit de servicii de calcul, programe informatice, acces la
informaii i stocare de date;
19. COBIT / Obiective de Control pentru Tehnologia Informaiilor i Tehnologii Conexe
furnizeaz ndrumare i bun practic pentru managementul controalelor proceselor IT,
fiind publicat de ctre ISACA n colaborare cu IT Governance Institute (ITGI);
20. comunicaii/telecomunicaii sisteme de transmisie, precum i orice alte resurse care
permit transportul semnalelor prin fir, radio, fibr optic sau orice alte mijloace
electromagnetice, precum i tehnologiile utilizate n cadrul proceselor de comunicare,
care presupun existena unui mediu informatic constituit din echipamente hardware,
software specializat, precum i dispozitive electronice de transmisie/recepie date;
21. controale informatice - totalitatea politicilor, procedurilor, practicilor i a structurilor
organizaionale informatice proiectate s ofere o asigurare rezonabil asupra faptului c
obiectivele afacerii vor fi atinse i evenimentele nedorite vor fi prevenite sau detectate i
corectate;
22. date (informatice) - orice reprezentare a unor fapte, informaii sau concepte ntr-o form
care poate fi prelucrat printr-un sistem informatic, incluzndu-se i orice program
informatic care poate determina realizarea unei funcii similare de ctre un sistem
informatic;
23. disponibilitate- capabilitatea unui serviciu IT sau unui element de configuraie IT de a
efectua funciile agreate atunci cnd este necesar acest lucru;
-
15/22
24. dubla validare/validare dubl - validarea unei aciuni de ctre doi utilizatori sau
existena unei validri informatice duble ce implic un program care verific o anumit
aciune prin metode diferite;
25. externalizare servicii IT - utilizarea de ctre o entitate a unui furnizor extern de servicii
IT, n vederea desfurrii de ctre acesta, pe baz contractual i n mod continuu sau
pentru o perioad, a operaiunilor aferente suportului tehnic sau al procesrii, necesare
desfurrii activitii efectuate n mod obinuit de ctre entitatea n cauz;
26. externalizare n lan - externalizare n cadrul creia furnizorul extern subcontracteaz cu
ali furnizori externi elemente componente ale serviciilor prestate entitii;
27. factori de risc - situaii, mprejurri, elemente, condiii sau conjuncturi interne i externe,
uneori dublate i de aciune, ce determin ori favorizeaz materializarea unei ameninri
la adresa infrastructurilor importante, n funcie de o vulnerabilitate determinat,
genernd efecte de insecuritate;
28. furnizor extern persoan juridic sau fizic autorizat furnizoare de bunuri (precum
hardware, licene software, componente etc) i soluii informatice, care deine expertiz
n domenii specializate, cu respectarea cadrului legal aplicabil;
29. furnizor de servicii IT externalizate persoan juridic sau persoan fizic autorizat cu
obiect de activitate i expertiz n domeniul serviciilor informatice, furnizoare de servicii
informatice n condiiile respectrii cadrului legal aplicabil i a autorizrii primite;
30. hardware - ansamblul elementelor fizice i tehnice cu ajutorul crora datele se pot
culege, verifica, prelucra, transmite, afia i stoca, inclusiv suporturile de memorare a
datelor, precum i echipamentele de calculator auxiliare;
31. incident de securitate eveniment nregistrat i declarat la nivelul entitii privind
securitatea informaiei sau a sistemelor informatice cu o probabilitate semnificativ de
compromitere a operaiunilor i de ameninare a securitii IT a crei consecin a
determinat sau este de natur s determine compromiterea informaiilor sau a sistemelor
informatice;
32. indicatori cheie de performan (KPI) - parametri analitici reprezentativi selectai pentru
monitorizarea unor activiti i procese cheie pentru entiti, oferind o privire de
ansamblu asupra performanei;
33. indicatori cheie de risc (KRI) parametrii care msoar efectiv riscurile aferente
procedurilor i activitilor entitii, furniznd n timp semnalri corespunztoare ale
consecinelor cu efect negativ, care pot genera poteniale pierderi directe sau indirecte;
34. indisponibilitate (ca durat n timp) - intervalul de timp din cadrul perioadei agreat ca
disponibilitate a serviciului, n care un serviciu IT sau o component critic/important a
serviciului nu este disponibil;
35. informaie rezultatul prelucrrii datelor printr-un sistem informatic care sunt baza
pentru asigurarea cunoaterii prin intermediul unor elemente noi n raport cu cunotinele
anterioare i constituie o resurs care trebuie protejat;
36. infrastructura informatic elemente ale bazei tehnico-materiale, pe componente sau ca
sistem care susin culegerea, stocarea i managementul datelor, precum i integrarea,
cutarea i vizualizarea datelor i alte calcule i servicii de procesare a informaiei
utiliznd tehnologii informatice, deinute sau contractate extern de ctre entitate i
necesare bunei funcionri a acesteia;
-
16/22
37. infrastructur esenial/critic - un sistem informatic sau o component a acestuia care
este esenial pentru meninerea funciilor infrastructurii financiare, a cror perturbare
afecteaz semnificativ buna funcionare a acesteia, cu un impact semnificativ ca urmare a
incapacitii de a menine respectivele funcii;
38. infrastructur important sistem informatic propriu sau externalizat, care asigur
funcionarea activitilor i serviciilor principale ale entitii;
39. integritate pstrarea datelor electronice, digitalizate, nealterate pe timpul comunicaiei
dintre corespondeni sau pe perioada de stocare a datelor;
40. internet reea internaional de calculatoare, format prin interconectarea reelelor
globale (Wide Area Network WAN) independente (particulare, comerciale, academice
sau guvernamentale),destinat facilitrii schimbului de date i informaii ntre utilizatori;
41. ISACA - Asociaia de Audit i Control al Sistemelor Informatice/ Information Systems
Audit and Control Association;
42. SR ISO/IEC 27001 - standard care stabilete cerinele pentru un sistem de management al
securitii informaiei.
43. SR ISO/IEC 27002 - cod de practic internaional pentru managementul securitii
informaiei, avnd specificaia SR ISO/IEC 27001;
44. ISO/IEC 20000 - standard care stabilete cerinele pentru un sistem de management al
serviciilor IT, bazat pe setul de publicaii de bune practici al Bibliotecii pentru
Infrastructura IT / IT Insfrastructure Library - ITIL;
45. managementul schimbrii - procesul responsabil cu controlul ciclului de via al tuturor
schimbrilor pentru a permite implementarea schimbrilor benefice cu minimum de
ntrerupere a serviciilor IT;
46. nerepudiere atribut care s previn posibilitatea unei entiti de a nega o aciune
ntreprins n context informaional;
47. obiectiv de control (informatic) scop i mijloc care se reflect n punctele de control din
care se extrag indicatori cheie de risc;
48. persoane - investitori, brokeri de asigurare, ageni de asigurare, furnizori externi de
servicii, ali teri sau colaboratori ai entitii, angajai proprii - pe perioad nedeterminat,
respectiv determinat; participani la fondurile de pensii private.Entitile vor raporta
defalcat pe fiecare tip de persoane n funcie de specificul activitii proprii;
49. plan de cooperare n domeniul securitii reelelor i a informaiei - plan care stabilete
rolurile organizaionale, obligaiile i rspunderile n cadrul cooperrii, precum i
procedurile de meninere sau de restabilire a funcionrii reelelor i sistemelor
informatice n cazul n care acestea sunt afectate de un risc sau de un incident cibernetic
cu impact semnificativ;
50. portofolii, tranzacii i active - conturile proprii ale investitorilor pe piaa de capital sau
ale clienilor societilor de asigurri; portofolii de investitori, asigurai, operaiuni cu
activele investitorilor, activele proprii ale intermediarului i/sau ale persoanelor relevante;
51. program informatic(aplicaie) - ansamblu de instruciuni care poate fi executate de un
sistem informatic n vederea obinerii unui rezultat determinat;
52. resurse informaionale - totalitatea informaiilor i a documentelor, conform cerinelor
stabilite de legislaia n domeniu;
-
17/22
53. reea ansamblu de echipamente legate ntre ele prin canale de transmisie, precum, dar
fr a se limita la, o reea de calculatoare;
54. risc de securitate - orice circumstan sau eveniment care are un efect negativ potenial
asupra securitii sistemelor informatice;
55. risc sistemic - riscul de afectare a unei zone importante a sistemului financiar sau a unei
piee financiare, cu potenial de consecine negative serioase pentru piaa intern i
economia real, instabilitate a sistemului financiar, posibil catastrofic, cauzat sau
accentuat de evenimente idiosincratice sau de condiii ale entitilor;
56. riscuri semnificative - riscuri cu impact nsemnat asupra situaiei financiare, patrimoniale
i/sau reputaionale a entitilor;
57. raport de audit IT - instrumentul prin care se comunic scopul auditrii, obiectivele
urmrite, normele/standardele aplicate, perioada acoperit, natura, ntinderea, procedurile,
constatrile i concluziile auditului, precum i orice rezerv pe care auditorul IT o are
asupra sistemului informatic auditat;
58. raport de testare IT - instrumentul prin care se comunic scopul testrii, obiectivele
urmrite, normele/standardele aplicate, perioada acoperit, natura, ntinderea, procedurile,
constatrile i concluziile testrii, precum i orice rezerv pe care echipa de testare o are
asupra sistemului informatic testat;
59. risc aferent tehnologiei informaiei (IT) - subcomponent a riscului operaional care se
refer la riscul actual sau viitor de afectare negativ pe de o parte a profiturilor i
capitalului entitilor sau a investitorilor, participanilor sau asigurailor, pe de alt parte,
determinat de inadecvarea strategiei i politicilor IT, a tehnologiei informaiei i a
procesrii acesteia, din punct de vedere a capacitii de gestionare, integritate,
controlabilitate i continuitate, sau de utilizare necorespunztoare a tehnologiei
informaiei;
60. securitate (cibernetic) - capacitatea unei reele sau a unui sistem informatic, rezultat n
urma aplicrii unui ansamblu de msuri proactive i reactive, de a rezista, la un nivel de
ncredere dat, unei aciuni accidentale sau ruvoitoare care compromite disponibilitatea,
autenticitatea, integritatea sau confidenialitatea datelor stocate sau transmise, ori a
serviciilor conexe oferite de reeaua sau de sistemul informatic respectiv, sau accesibile
prin intermediul acestora;
61. semntur electronic (digital) atribut indispensabil al documentului electronic,
obinut n urma transformrii criptografice a acestuia, cu utilizarea cheii private, conform
prevederilor Legii nr. 455/2001 privind semntura electronic, republicat;
62. serviciu IT combinaie de persoane, procese i tehnologii furnizate n interiorul entitii
sau de ctre un furnizor de servicii IT, care se bazeaz pe folosirea tehnologiei
informaiei i care asigur suportul tehnic necesar desfurrii activitii entitii, i care ar
trebui s fie definit ntr-un acord al nivelului agreat de serviciu (SLA);
63. sistem informatic - ansamblu de elemente intercorelate funcional n scopul automatizrii
obinerii informaiilor necesare activitilor operaionale i manageriale ntr-o entitate,
prin intermediul serviciilor IT, al echipamentelor hardware i produselor software,
proceduri manuale, baze de date i modele matematice pentru analiz, planificare, control
i luarea deciziilor, utiliznd componente de introducere i prelucrare date, componente
de procesare precum servere, calculatoare, sisteme software de operare de baz, programe
-
18/22
informatice, reele de calculatoare i telecomunicaii, componente de stocare i utilizatori,
fr ca enumerarea s fie limitativ;
64. sistem informatic/program informatic important (aplicaii core business)
sistem/program informatic esenial pentru derularea n bune condiii a activitii
autorizate/avizate de Autoritatea de Supraveghere Financiar i pentru asigurarea
raportrilor ctre A.S.F. sau folosite n activitatea financiar-contabil a entitii;
65. software - toat gama de produse program, care cuprinde cel puin urmtoarele elemente:
sisteme de operare, drivere sau programe informatice;
66. soluie informatic un produs de tip sistem informatic, o combinaie de produse, sau o
combinaie de produse i servicii informatice care sunt furnizate de un productor sau
furnizor de servicii informatice sau de comunicaii;
67. tehnologia informaiei (IT) sau tehnologia informaiei i a comunicaiilor - tehnologia
necesar pentru prelucrarea (procurarea, procesarea, stocarea, convertirea i transmiterea)
informaiei, n particular prin folosirea calculatoarelor electronice i a programelor
corespunztoare;
68. TIA-942- standard ce definete infrastructura unui centru de date, n mod special din
privina sistemului de cablare i al design-ului reelei, dar acoper i locaia, rcirea,
alimentarea cu energie electric i amenajarea sa, precum i considerente legate de
mediu;
69. vulnerabiliti - stri de fapt, procese i/sau fenomene care diminueaz capacitatea de
reacie a sistemelor informatice la riscurile existente ori poteniale sau care favorizeaz
apariia i dezvoltarea lor, cu consecine n planul funcionalitii i utilitii.
-
19/22
Anexa nr. 2
Activiti desfurate de ctre entiti
Entitile vor desfura activitile precizate n tabelul de mai jos, conform categoriilor de risc
corespunztoare.
Activiti obligatorii ale entitilor, pe categorii de risc.
Activitate Categoria de risc a entitii
Major Important Medie Sczut
A) Evaluare intern a riscului operaional i registrul
riscurilor
x x x x
B) Organizare pe procese
1 Management
disponibilitate
x x x
2 Management utilizatori x x x x
3 Management incidente x x x
4 Management schimbare
a) Management ciclu via programe informatice
x x x x
b) Management versiuni x x x x
c) Management testare x x x x
5 Management capacitate x x x
6 Management
configuraii
x x
7 Management niveluri
servicii (SLA)
x x x
8 Management securitate
a) Cerine generale x x x x
b) Teste de penetrare x x
9 Management
continuitate
x x x
C) Puncte de control i msur
a) Controale generale x x x
b) Controale program
informatic
x x
c) Controale flux
financiar
x x x x
-
20/22
Activitate Categoria de risc a entitii
Major Important Medie Sczut
D)Implementare indicatori
cheie de performan (KPI)
x
E)Implementare indicatori
cheie de risc (KRI)
x x
F) Managementul securitii sistemului informatic
a) Msuri organizatorice x x
b) Proceduri de securitate x x x x
c) Evaluare securitate x
d) Plan de cooperare x x x x
-
21/22
Anexa nr. 3
Indicatori de raportare electronic anual
Pentru raportarea indicatorilor din tabelul de mai jos, entitile vor raporta:
a) Conform prevederilor art. 14 alin (4) din Norma Autoritii de Supraveghere
Financiar nr. 6/2015 privind gestionarea riscurilor operaionale generate de sistemele
informatice utilizate de entitile reglementate, autorizate/avizate i/sau supravegheate
de Autoritatea de Supraveghere Financiar;
b) 0 zero dac nu sunt valori ale indicatorului respectiv pentru perioada raportat
sau, dup caz, la sfritul perioadei de raportare;
c) valoarea indicatorului - dac sunt nregistrate valori diferite de zero ale indicatorului
respectiv pentru perioada raportat sau, dup caz, la sfritul perioadei de raportare.
Indicatori de raportat:
Obiectiv n
perioada de
raportare
Indicator
Indicatori referitori la accesarea online a serviciilor oferite de entitate
Numr de clieni (total utilizatori) care acceseaz serviciile online
oferite de entitate
Indicatori referitori la persoanele care pot s efectueze modificri ale
sistemelor/programelor informatice importante
Numr de persoane (total utilizatori) care au acces direct la bazele
de date ale entitii (referitor la portofolii, tranzacii si active) cu
drepturi de modificare asupra acestora, rol de administrator sau
privilegii echivalente
Numr de persoane (total utilizatori) care au drepturi de modificare
asupra programelor informatice importante ale entitii (programe
informatice interne/externe/on-line accesate via Internet)
Indicatori referitori la principiul dublei validri prin operaiuni in sistemele
informatice importante
Numr de operaiuni INIIATE care presupun dubla validare
Numr de operaiuni CONFIRMATE care presupun dubla validare
Numr de operaiuni ANULATE care presupun dubla validare
Indicatori referitori la accesul la sistemele informatice importante
Numr de persoane (total utilizatori) care au acces la sistemele
informatice importante care conin informaii referitoare la
portofolii, tranzacii i active
Numr administratori de sistem (total utilizatori) care au acces la
-
22/22
credenialele conturilor de acces ale clienilor
Indicatori referitori la incidente interne de securitate informatic, declarate
Numr total incidente interne de securitate informatic
Numr total incidente informatice externe
Numr nclcri politic i proceduri securitate
Numr pierderi date generate de aciuni neaprobate
Numr incidente declarate aferente pierderii de date (date
electronice)
Numr de incidente declarate care au dus la distrugere accidental
sau intenionat de documente / nregistrri / fiiere
Numr de incidente declarate de nclcare grav a regulilor / fraude /
neltorii
Numr incidente declarate de distrugere in centrul de date
Numr mediu de zile de la identificarea unui incident de securitate
pan la rezolvarea acestuia
Niveluri servicii agreate interne i pentru clieni
Numr ore de indisponibilitate neprogramat a sistemelor
informatice importante la care au acces clienii (precum, dar
nelimitat la aplicaii de tranzacionare online, aplicaii online pentru
subscrierea de polite de asigurare)
Numr de ore de indisponibilitate neprogramat a serviciilor IT
externalizate care afecteaz serviciile oferite ctre clienii entitilor
Management schimbri
Numrul programelor informatice importante
Numrul de modificri aduse programelor informatice importante
Numr erori n exploatare generate de deficiene n proiectarea
sistemelor informatice importante
Numr erori n exploatare neidentificate n testarea sistemelor
informatice importante
Indicatori managementul continuitii
Numr de teste efectuate conform planului de continuitate a afacerii
Numr de teste efectuate conform planului de recuperare n caz de
dezastru
Audituri i testri
Numr de audituri interne anuale