Norma ASF nr. 6/2015 privind gestionarea riscurilor operationale generate de sistemele informatice utilizate de entitatile reglementate, autorizate/avizate si/sau supravegheate de ASF

 

In M. Of. nr. 227 din 3 aprilie 2015 a fost publicata Norma ASF nr. 6/2015 privind gestionarea riscurilor operationale generate de sistemele informatice utilizate de entitatile reglementate, autorizate/avizate si/sau supravegheate de ASF.

    CAPITOLUL I

    Dispozitii generale

 

ART. 1

(1) Prezenta norma stabileste cerintele la nivelul entitatilor autorizate/avizate, reglementate si/sau supravegheate de catre Autoritatea de Supraveghere Financiara, denumita in continuare A.S.F., pentru identificarea, prevenirea si reducerea impactului potential negativ al riscurilor operationale generate de utilizarea tehnologiei informatiei si comunicatiilor la nivel de oameni, procese, sisteme si mediu extern, inclusiv de fapte ce tin de criminalitatea informatica.

(2) Prezenta norma stabileste activitati si operatiuni pentru evaluarea, supravegherea si controlul riscurilor operationale generate de utilizarea sistemelor informatice si ale securitatii informatice.

ART. 2

Prezenta norma se aplica urmatoarelor categorii de entitati autorizate/avizate, reglementate si/sau supravegheate de A.S.F., denumite in continuare entitati:

  1. a) operatori de piata/operatori de sistem;
  2. b) societati de administrare a investitiilor (SAI), organisme de plasament colectiv (OPC si AOPC) care se autoadministreaza, dupa cum urmeaza:
  3. societati cu active nete in portofoliu/administrate in valoare totala, cumulata pentru toate fondurile administrate, de peste 250 milioane euro, echivalent lei;
  4. societati cu active nete in portofoliu/administrate in valoare totala, cumulata pentru toate fondurile administrate, de pana la 250 milioane euro, echivalent lei;
  5. c) depozitari centrali, case de compensare/contraparti centrale;
  6. d) intermediari – societati de servicii de investitii financiare (S.S.I.F.) incadrate la art. 6 alin. (1) din Legea nr. 297/2004 privind piata de capital, cu modificarile si completarile ulterioare, sucursale ale intermediarilor din state nemembre si institutii de credit din Romania autorizate de Banca Nationala a Romaniei in conformitate cu legislatia bancara si inscrise in Registrul public al A.S.F. in calitate de intermediar, si anume:
  7. intermediari care au calitatea de operator independent;
  8. intermediari care presteaza servicii conexe, prevazute la art. 5 alin. (1^1) lit. a) din Legea nr. 297/2004, cu modificarile si completarile ulterioare;
  9. intermediari care folosesc facilitati de tranzactionare prin internet (ADP/AS) – platforme de preluare si transmitere a ordinelor clientilor;
  10. intermediari care au calitatea de market makeri si/sau furnizori de lichiditate;
  11. intermediari care tranzactioneaza pe cont propriu si nu se incadreaza in categoriile de la pct. 1 – 4;
  12. intermediari care nu tranzactioneaza pe cont propriu si nu se incadreaza in categoriile de la pct. 1 – 4;
  13. e) traderi;
  14. f) Fondul de compensare a investitorilor;
  15. g) societati de asigurare/reasigurare;
  16. h) brokeri de asigurare/reasigurare;
  17. i) entitati care desfasoara activitatea de depozitare a activelor organismelor de plasament colectiv si a fondurilor de pensii private;
  18. j) societati de administrare a fondurilor de pensii private.

ART. 3

Termenii si expresiile utilizate in prezenta norma au intelesul prevazut in anexa nr. 1.

ART. 4

(1) Prevederile prezentei norme se aplica de catre entitati in functie de categoria de risc stabilita de A.S.F. conform art. 6 alin. (1) si, respectiv, in functie de rezultatul evaluarii interne a riscurilor, pe baza celor mai bune practici in domeniu.

(2) Categoria de risc corespunzatoare fiecarui tip de entitate este stabilita de catre A.S.F. in functie de natura, dimensiunea si complexitatea activitatii acesteia, precum si de riscurile pe care le poate induce, respectiv de impactul asupra activitatii, in conformitate cu prevederile art. 6 alin. (1).

(3) Entitatile vor participa la colectarea, analizarea, monitorizarea si raportarea evenimentelor de securitate informatica, in cadrul sistemului dezvoltat de A.S.F.

ART. 5

(1) Entitatile evalueaza anual si monitorizeaza continuu riscurile operationale generate de utilizarea sistemelor informatice, prioritizeaza resursele, implementeaza masuri de securitate informatica si monitorizeaza eficacitatea acestora prin aplicarea managementului de risc.

(2) Modalitatea de implementare a masurilor de securitate informatica este stabilita de fiecare entitate, in functie de profilul de risc, de riscurile identificate, de incidentele aparute, in conformitate cu cerintele legale aplicabile.

 

    CAPITOLUL II

    Incadrarea entitatilor in categorii de risc

 

ART. 6

(1) In scopul prezentei norme, entitatile prevazute la art. 2 se includ in patru categorii de risc: „risc major”, „risc important”, „risc mediu”, „risc scazut”, dupa cum urmeaza:

  1. a) entitatile prevazute la art. 2 lit. a), c) si lit. d) pct. 1 reprezinta entitati incadrate in categoria de „risc major”;
  2. b) entitatile prevazute la art. 2. lit. d) pct. 2, 3 si 4, lit. g) si i) reprezinta entitati incadrate in categoria de „risc important”;
  3. c) entitatile prevazute la art. 2 lit. b) pct. 1, lit. d) pct. 5 si lit. f) reprezinta entitati incadrate in categoria de „risc mediu”;
  4. d) entitatile prevazute la art. 2 lit. b) pct. 2, lit. d) pct. 6, lit. e) si h) reprezinta entitati incadrate in categoria de „risc scazut”.

(2) Entitatea care presteaza mai multe tipuri de activitati autorizate de catre A.S.F., incadrandu-se astfel in mai multe categorii de risc dintre cele mentionate la alin. (1), va respecta obligatiile instituite pentru fiecare activitate autorizata in parte.

(3) Societatile de administrare a fondurilor de pensii private vor fi incadrate individual in categorii de risc, conform prevederilor art. 44 alin. (4) lit. e) si ale art. 51 din Norma Consiliului Autoritatii de Supraveghere Financiara nr. 3/2014 privind controlul intern, auditul intern si administrarea riscurilor in sistemul de pensii private.

(4) Incadrarea, respectiv reincadrarea entitatilor mentionate la art. 2 lit. b) se realizeaza la inceputul fiecarui an, in baza valorii totale a activelor in portofoliu/administrate din ultima zi lucratoare a anului anterior.

(5) Incadrarea, respectiv reincadrarea entitatilor mentionate la art. 2 lit. d) se realizeaza la inceputul fiecarui an, in baza activitatii autorizate de A.S.F. si a detinerii calitatii de market maker/furnizor de lichiditate in ultima zi lucratoare a anului anterior.

 

    CAPITOLUL III

    Activitatile desfasurate de entitati

 

ART. 7

(1) Entitatile desfasoara cel putin activitatile obligatorii corespunzatoare fiecarei categorii de risc prevazute la art. 6 alin. (1), conform tabelului din anexa nr. 2.

(2) In termen 90 de zile de la publicarea prezentei norme in Monitorul Oficial al Romaniei, Partea I, A.S.F. va elabora si publica pe site-ul propriu ghidul de indrumare care cuprinde detalii si parametrii referitori la modalitatea de implementare a activitatilor obligatorii mentionate la alin. (1). Acest ghid are un caracter orientativ si poate fi actualizat de A.S.F. in functie de bunele practici in materie.

ART. 8

(1) Raportat la activitatea desfasurata entitatile se asigura ca sistemele informatice utilizate indeplinesc cel putin urmatoarele cerinte:

  1. a) asigura integritatea, confidentialitatea, autenticitatea, disponibilitatea datelor in concordanta cu categoria de risc a sistemului informatic definita intern de catre entitate, precum si prelucrarea acestora in conformitate cu reglementarile A.S.F., luand in considerare posibilitatea actualizarii acestora, in functie de modificarile intervenite in legislatia incidenta;
  2. b) asigura respectarea continutului de informatii prevazut in formularele de raportare corespunzatoare entitatilor, asa cum sunt prevazute in legislatia specifica, precum si alte raportari solicitate prin reglementarile A.S.F.;
  3. c) asigura reconstituirea rapoartelor si informatiilor supuse verificarii;
  4. d) asigura stocarea si pastrarea datelor inregistrate si jurnalizate de catre sistemele de tranzactionare si back-office pentru o perioada de timp in conformitate cu legislatia aplicabila in vigoare. Sistemul de pastrare a datelor trebuie sa asigure posibilitatea ca aceste date sa poata fi transmise sau puse la dispozitia A.S.F. la cerere;
  5. e) asigura posibilitatea de restaurare a datelor arhivate pe suport digital extern, precum, dar fara a se limita la, informatii, date introduse, situatii financiare sau alte documente;
  6. f) asigura elemente de identificare a datelor supuse prelucrarii sau verificarii. Sistemele informatice asigura identificarea exacta a timpului la care au fost efectuate inregistrarile si identificarea utilizatorilor sistemului la acel moment;
  7. g) asigura confidentialitatea si protectia informatiilor si a programelor prin parole, coduri de identificare pentru accesul la informatii, precum si realizarea de copii de siguranta pentru programele si informatiile detinute;
  8. h) asigura mecanisme de securitate si control al sistemelor informatice, pentru pastrarea in siguranta a datelor si informatiilor stocate, a fisierelor si bazelor de date, inclusiv in situatia unor evenimente de risc.

(2) Sistemele informatice care ofera intermediarilor si clientilor lor accesul la platforme electronice de tranzactionare, precum si cele care evidentiaza operatiuni de compensare, decontare si registru pentru instrumente financiare si operatiuni cu aceste instrumente, asigura cel putin, fara a se limita la:

  1. a) securitatea si integritatea datelor procesate prin folosirea unei modalitati de securizare atat asupra datelor trimise catre platformele electronice de tranzactionare si catre cele de compensare, decontare si registru, cat si asupra datelor receptionate de la aceste sisteme;
  2. b) mecanisme care sa garanteze nerepudierea datelor transmise si receptionate;
  3. c) jurnalizarea in timp real a informatiei despre ordinele transmise spre executare, a starii acestor ordine, respectiv a modificarilor care se aduc acestor ordine in decursul existentei lor de catre clientii si intermediarii care utilizeaza aceste sisteme informatice;
  4. d) mecanisme de nerepudiere a integritatii inregistrarii operatiunilor de sistem informatic.

 

    CAPITOLUL IV

    Auditarea si testarea sistemului informatic

 

    SECTIUNEA 1

    Auditul informatic

 

ART. 9

(1) Entitatile incadrate la categoria de risc major au obligatia de a audita extern sistemul informatic utilizat, cu periodicitate anuala.

(2) Entitatile incadrate la categoria de risc important au obligatia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o data la 2 ani.

(3) Entitatile incadrate la categoria de risc mediu au obligatia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o data la 3 ani.

(4) Entitatile incadrate la categoria de risc scazut au obligatia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o data la 4 ani.

(5) A.S.F. este indreptatita sa instituie in sarcina entitatii obligatia auditarii externe a sistemului informatic pentru activitatile solicitate de catre A.S.F. daca:

  1. a) in urma constatarilor rezulta ca o entitate nu a desfasurat toate activitatile minime obligatorii categoriei de risc in care aceasta se incadreaza, conform prevederilor art. 7, sau activitatile desfasurate au un caracter formal;
  2. b) A.S.F. apreciaza ca se impune efectuarea unor investigatii suplimentare ale sistemelor informatice.

(6) Instituirea de catre A.S.F. a obligatiei de auditare a sistemului IT conform alin. (5) este insotita de termenul pana la care entitatea este obligata sa transmita la A.S.F. raportul de audit, iar acest termen nu poate sa depaseasca 90 de zile lucratoare.

(7) Auditul extern se efectueaza in baza unui contract incheiat intre entitatea care a solicitat auditarea si unul dintre auditorii IT avizati de A.S.F. conform prevederilor art. 10 alin. (2). Entitatile nu pot contracta auditul IT cu acelasi auditor IT pentru mai mult de 3 auditari obligatorii consecutive dintre cele prevazute la alin. (1) – (4).

(8) Contractul de audit IT prevazut la alin. (7) cuprinde in mod obligatoriu clauze cu privire la faptul ca auditorul IT are obligatia de a respecta cerintele necesare efectuarii auditului sistemului informatic, in conformitate cu prevederile prezentei norme si cu bunele practici in domeniu.

(9) Contractul mentionat la alin. (7) trebuie sa contina o clauza expresa prin care auditorul se obliga sa notifice in cel mai scurt timp posibil si in scris A.S.F. cu privire la orice fapt sau act in legatura cu sistemul informatic si de comunicatii utilizat de entitate si care:

  1. a) este de natura sa afecteze continuitatea activitatii entitatii auditate;
  2. b) poate conduce la o opinie de audit cu rezerve, la imposibilitatea exprimarii unei opinii profesionale sau la o opinie negativa.

(10) Contractul prevazut la alin. (7) trebuie sa contina o clauza expresa prin care, la solicitarea scrisa a A.S.F., auditorul se obliga sa prezinte A.S.F.:

  1. a) orice raport sau document ce a fost adus la cunostinta entitatii auditate;
  2. b) o declaratie care sa indice motivele de incetare a contractului de audit, indiferent de natura acestora;
  3. c) orice alte informatii sau documente solicitate in legatura cu activitatea de audit IT la care s-a angajat conform contractului.

(11) Respectarea prevederilor alin. (9) si (10) nu contravine dispozitiilor Codului privind conduita etica si profesionala in domeniul auditului financiar, nu constituie o incalcare a niciunei restrictii privind divulgarea de informatii si nu va atrage niciun fel de raspundere asupra persoanei in cauza. Clauza de confidentialitate nu este opozabila A.S.F.

ART. 10

(1) Auditorul IT extern, care intentioneaza sa presteze servicii pentru entitatile carora le sunt incidente prevederile prezentei norme, are obligatia obtinerii avizului A.S.F.

(2) In vederea obtinerea avizului A.S.F., auditorul IT extern depune la A.S.F. o cerere impreuna cu documentatia care trebuie sa cuprinda urmatoarele, dupa caz:

  1. a) datele de identificare ale auditorului:

(i) numele complet/denumirea si adresa/sediul (adresa completa – strada, numar, bloc, scara, etaj, apartament, oras, judet/sector, cod postal);

(ii) datele inregistrarii fiscale;

(iii) adresa unde isi desfasoara activitatea;

(iv) telefon/fax, e-mail, adresa paginii de internet;

(v) dovada experientei si a specializarii pe domeniul de audit al sistemelor informatice;

  1. b) numele si prenumele auditorului persoana fizica certificata si a reprezentantului societatii, care vor semna raportul de audit, impreuna cu urmatoarele documente:

(i) copia actului de identitate a auditorului;

(ii) curriculum vitae al auditorului, datat si semnat, cu prezentarea experientei profesionale;

(iii) copia certificatului de auditor IT, semnata pentru conformitate cu originalul;

(iv) certificatul de cazier judiciar si certificatul de cazier fiscal, in original, aflate in termenul de valabilitate;

  1. c) copia contractului/politei de asigurare de raspundere civila profesionala a auditorului IT, pentru suma asigurata de minimum 100.000 euro;
  2. d) copia documentului de plata a tarifului de inscriere in Registrul public al A.S.F.

(3) Avizarea si inscrierea auditorului IT in Registrul public al A.S.F. sau refuzul avizarii, motivat, se realizeaza in termen de maximum 30 de zile calendaristice de la primirea dosarului complet al solicitantului. Refuzul motivat se transmite auditorului IT. Orice modificare a documentatiei prevazute la alin. (2) trebuie transmisa A.S.F. in termen de maximum 30 de zile calendaristice de la data modificarii.

(4) A.S.F. retrage avizul auditorului IT extern in oricare dintre urmatoarele cazuri:

  1. a) la cerere;
  2. b) in cazul lichidarii sau la declansarea insolventei;
  3. c) in cazul nerespectarii, in mod repetat, a prevederilor alin. (3), teza a III-a;
  4. d) in cazul nerespectarii prevederilor art. 9 alin. (9) si (10), precum si in cazul nerespectarii obligatiilor stabilite in sarcina sa de prezenta norma;
  5. e) din alte cauze prevazute de legislatia in vigoare.

(5) Pentru toate situatiile mentionate la alin (4) lit. c) – e), A.S.F. va transmite auditorului IT extern o notificare prealabila prin care se aduc la cunostinta faptele pentru care se va proceda la retragerea avizului A.S.F.

(6) Entitatile adopta toate masurile necesare pentru evitarea conflictelor de interese ce pot interveni in desfasurarea activitatii de audit IT.

(7) Activitatea de audit trebuie sa fie independenta fata de activitatea auditata, pentru a nu fi compromisa obiectivitatea activitatii de audit. Auditorii trebuie sa fie independenti si obiectivi in toate aspectele legate de misiunea de audit.

(8) Entitatile, inclusiv cele care efectueaza auditul IT cu resurse interne certificate, sunt obligate sa furnizeze auditorului informatii complete, corespunzatoare, relevante si in timp util, pentru a permite efectuarea in bune conditii a activitatii de audit IT.

(9) La finalizarea auditului IT, auditorii IT au obligatia de a intocmi un raport de audit care sa cuprinda cel putin urmatoarele elemente:

  1. a) titlul raportului, identificarea si descrierea entitatii auditate, respectiv beneficiarul raportului;
  2. b) destinatarii raportului si orice restrictii privind continutul si circulatia raportului;
  3. c) domeniul auditat, obiectivele activitatii, perioada auditata;
  4. d) natura, cronologia si gradul de acoperire ale procedurilor de audit efectuate;
  5. e) orice calificare de opinie sau limitare a ariei acoperite de audit;
  6. f) datele de identificare ale membrilor echipei de audit, care cuprind cel putin numele si prenumele, telefon, fax, e-mail si adresa unde isi desfasoara activitatea;
  7. g) semnatura coordonatorului certificat al echipei de audit si semnatura reprezentantului legal al auditorului persoana juridica;
  8. h) locul auditarii;
  9. i) data raportului;
  10. j) descrierea ariei auditului, incluzand:

(i) descrierea sistemelor auditate;

(ii) masurile organizatorice: politicile aplicabile si procedurile implementate;

(iii) identificarea aplicatiilor utilizate si a persoanelor implicate;

(iv) componentele sistemelor informatice utilizate;

(v) un sumar continand analiza riscurilor aferente activitatii, a posibilelor deficiente ale sistemului informatic auditat si a masurilor de reducere a riscurilor asociate, in baza controalelor generale sau specifice implementate conform prezentei norme;

(vi) referire cu privire la corectitudinea raportarilor efectuate in conformitate cu art. 14 alin. (4) aferente perioadei dintre doua activitati de auditare IT;

(vii) descrierea modului prin care s-a efectuat atacul etic/testul de penetrare, in cazul entitatilor care sunt obligate sa efectueze teste de penetrare conform tabelului din anexa nr. 2;

  1. k) concluziile detaliate ale echipei de audit privind indeplinirea cerintelor prevazute la art. 5, 8, 11, 12 si 13, pentru fiecare cerinta, cu mentiunea: DA/NU, precum si motivatia, in cazul nerespectarii acesteia;
  2. l) afirmatia de conformitate, reflectata prin „opinia pozitiva” cu privire la conformarea partiala/totala referitoare la obiectivele auditului, indicand punctele care trebuie imbunatatite, reflectate prin „opinia cu rezerve/calificata”, sau de neindeplinire a obiectivelor testate/auditate, reflectata prin „opinia negativa”;
  3. m) o anexa la raportul de audit IT, insusita de entitatea auditata prin semnarea acesteia de catre un reprezentant legal al entitatii, continand:

(i) constatarile si concluziile;

(ii) neconformitatile, lipsa controalelor sau controale ineficiente;

(iii) importanta neconformitatii sau deficientei de control;

(iv) probabilitatea ca aceste constatari sa aiba un impact semnificativ si riscuri asociate;

(v) recomandarile pentru actiuni corective si raspunsul conducerii entitatii auditate pentru fiecare constatare din raport, inclusiv termenul de aplicare;

(vi) rezultatul obtinut la atacul etic/testul de penetrare, in cazul entitatilor care sunt obligate sa efectueze teste de penetrare conform tabelului din anexa nr. 2;

  1. n) declaratia pe propria raspundere a auditorului IT cu privire la faptul ca auditul a fost efectuat in conformitate cu prezenta norma si cu standardele de audit in vigoare la momentul realizarii auditului, cu mentionarea acestora;
  2. o) declaratia pe propria raspundere a auditorului IT extern cu privire la faptul ca acesta nu se afla in relatii cu entitatea auditata sau cu angajatii entitatii care ar putea sa ii afecteze independenta sau obiectivitatea activitatii de audit.

 

SECTIUNEA a 2-a

Cerinte referitoare la furnizorii externi si furnizorii de servicii IT externalizate pentru sistemele informatice importante

 

ART. 11

(1) Entitatile se asigura ca, pentru sistemele informatice importante, furnizorii de servicii IT externalizate, inclusiv prin externalizarile in lant, cu exceptia furnizorilor de servicii de comunicatii, a celor de hardware si de licente software, raportat strict pentru activitatea externalizata:

  1. a) respecta aceleasi cerinte de auditare ca si cele solicitate entitatii prin prezenta norma;
  2. b) prezinta, la solicitarea A.S.F., modalitatea prin care sunt indeplinite cerintele adresate entitatii prin prezenta norma;
  3. c) permit A.S.F. si auditorului IT sa verifice si/sau sa auditeze sistemele sale informatice conform prezentei norme.

(2) Orice externalizare se realizeaza cu respectarea prevederilor legale aplicabile incidente sectorului de activitate.

(3) In situatiile in care nu exista alte prevederi legale aplicabile sectorului respectiv de activitate, pentru externalizarea unor servicii IT si in toate cazurile in care sunt utilizate serviciile unor furnizori externi, definiti la pct. 28 din anexa nr. 1, entitatea are obligatia de a notifica A.S.F., furnizorul extern sau furnizorul de servicii IT externalizate in termen de 10 zile lucratoare de la momentul incheierii contractului cu acesta, exclusiv pentru sistemele informatice importante.

(4) Notificarea prevazuta la alin. (3) trebuie sa includa urmatoarele informatii si documente anexate, dupa caz:

  1. a) descrierea serviciilor furnizate/externalizate;
  2. b) datele de identificare ale furnizorului:

(i) sediul societatii, respectiv adresa completa – strada, numar, bloc, scara, etaj, apartament, oras, judet/sector, cod postal, dupa caz;

(ii) datele inregistrarii fiscale;

(iii) telefon/fax, e-mail, pagina de internet;

  1. c) certificari in functie de tipul serviciului sau activitatii desfasurate:

(i) SR ISO/IEC 27001 sau certificari pentru standarde echivalente;

(ii) pentru furnizarea si dezvoltarea de programe informatice software – certificari aferente;

(iii) pentru furnizarea de servicii externalizate – certificari aferente;

(iv) pentru furnizarea de servicii de gazduire sau externalizare prin intermediul centrelor de date – conditii tehnice conform TIA-942 nivel 2 sau echivalent;

(v) pentru furnizarea de servicii de arhivare electronica prin centre de date – autorizare conform prevederilor legale;

(vi) pentru furnizarea de servicii externalizate de tip cloudcomputing public se prezinta certificate specifice activitatilor externalizate.

(5) In cazul modificarii unor informatii sau documente, copia sau originalul documentelor modificate se va depune la A.S.F., in termen de maximum 30 de zile calendaristice de la data modificarii.

 

    SECTIUNEA a 3-a

    Cerinte cu privire la testarea sistemelor/programelor informatice importante

 

ART. 12

(1) Entitatile au obligatia de a identifica toate sistemele/programele informatice utilizate si de a le evidentia intr-un registru care trebuie sa cuprinda:

  1. a) sistemele/programele informatice importante;
  2. b) modificarile sistemelor/programelor informatice importante;
  3. c) detalii referitoare la modificarile majore ale sistemelor/programelor informatice importante.

(2) In aplicarea prevederilor alin. (1) lit. c), modificarile majore se refera la:

  1. a) schimbarea integrala a sistemelor/programelor informatice importante;
  2. b) externalizarea unor servicii IT;
  3. c) schimbarea proceselor de arhivare electronica, de restaurare sau sincronizare a bazelor de date.

ART. 13

(1) Entitatile au obligatia sa testeze sistemele/programele informatice importante inainte de prima utilizare si la orice modificare in cadrul ciclului de viata al acestora, indiferent daca sunt realizate cu resurse interne sau de catre furnizori externi.

(2) Rezultatul testarilor prevazute la alin. (1) se consemneaza intr-un raport de testare IT care cuprinde cel putin urmatoarele elemente:

  1. a) scopul testarii;
  2. b) perioada testarii;
  3. c) descrierea programului testat;
  4. d) identificarea aplicatiilor utilizate si a persoanelor implicate;
  5. e) analiza riscurilor implicate de achizitia sau modificarea programului informatic important, a posibilelor vulnerabilitati si a masurilor de reducere a riscurilor asociate prin controale de sistem sau de program informatic;
  6. f) descrierea modului prin care s-au efectuat testele, scenariile de test, eventualele norme sau standarde aplicate si rezultatul testarii;
  7. g) concluzia echipei de testare;
  8. h) semnatura membrilor echipei de testare.

(3) Rapoartele de testare IT se pastreaza la entitate, cel putin pana la urmatoarea auditare IT, si sunt puse la dispozitia auditorului IT si A.S.F. la cerere.

 

    CAPITOLUL V

    Cerinte de raportare

 

ART. 14

(1) Entitatile au obligatia raportarii evaluarii prevazute la art. 5 alin. (1) si a auditarii prevazute la art. 9, astfel:

  1. a) rezultatul evaluarii interne a riscurilor operationale este transmis A.S.F. anual pana la 31 martie a anului curent, pentru anul anterior;
  2. b) raportul de audit IT este transmis A.S.F. pana la 30 iunie a anului curent, pentru perioada supusa auditarii, corespunzatoare fiecarei categorii de risc prevazute la art. 6 alin. (1).

(2) Entitatile depun raportul de audit IT impreuna cu planul de actiune din care sa rezulte modalitatea de remediere a vulnerabilitatilor identificate pe parcursul derularii activitatii de audit IT, daca este cazul.

(3) Rapoartele privind evaluarea interna a riscurilor operationale prevazute la alin. (1) lit. a) si rapoartele de audit IT prevazute la alin. (1) lit. b) se depun la A.S.F. pe suport hartie sau in format electronic cu semnatura electronica extinsa.

(4) Entitatile transmit pana la data de 31 martie a anului curent, pentru anul anterior, o raportare electronica anuala cu indicatorii mentionati in anexa nr. 3, in masura in care acesti indicatori sunt aplicabili si sunt aferenti sistemelor informatice importante.

(5) Pentru situatiile in care datele referitoare la anumiti indicatori nu sunt disponibile in cazul unei anumite entitati din cauza tipului acesteia, naturii, dimensiunii sau complexitatii activitatilor desfasurate de aceasta, in celula corespunzatoare din raport se va insera acronimul N/A (neaplicabil).

 

    CAPITOLUL VI

    Contraventii

 

    ART. 15

Nerespectarea prevederilor prezentei norme de catre entitatile prevazute la art. 2 constituie contraventie conform prevederilor art. 39 alin. (2) lit. a) din Legea nr. 32/2000 privind activitatea de asigurare si supravegherea asigurarilor, cu modificarile si completarile ulterioare, respectiv ale art. 272 alin. (1) lit. a) pct. 6, lit. b) pct. 5, lit. c) pct. 4, lit. d) pct. 4, lit. e) pct. 6, lit. f) pct. 3, lit. h) pct. 8, lit. j) pct. 17 si lit. k) pct. 3 din Legea nr. 297/2004, cu modificarile si completarile ulterioare, in functie de tipul entitatii.

 

    CAPITOLUL VII

    Dispozitii tranzitorii si finale

 

    ART. 16

(1) Cerintele prevazute de prezenta norma sunt puse in aplicare de catre entitati, incepand cu data de 1 ianuarie 2016, cu exceptia prevederilor art. 11 referitoare la furnizorii externi si furnizorii de servicii IT externalizate care se aplica incepand cu data de 30 septembrie 2016, iar entitatile vor transmite notificarile mentionate la art. 11 alin. (3) pana la 31 decembrie 2016.

(2) Pana la data de 30 iunie 2016, toate entitatile vor transmite A.S.F. rezultatul primei evaluari interne a riscurilor operationale prevazut la art. 14 alin. (1) lit. a), precum si prima raportare electronica prevazuta la art. 14 alin. (4).

(3) Incepand cu data de 1 ianuarie 2017, toate entitatile trebuie sa efectueze raportarile la termenele prevazute la art. 14.

(4) Pentru toate entitatile, prima auditare IT se va realiza cel mai tarziu pana la data de 31 decembrie 2016.

ART. 17

(1) La data de 1 iulie 2015 se abroga Instructiunea nr. 2/2011 privind auditarea sistemelor informatice utilizate de entitatile autorizate, reglementate si supravegheate de Comisia Nationala a Valorilor Mobiliare, aprobata prin Ordinul Comisiei Nationale a Valorilor Mobiliare nr. 10/2011, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 118 din 16 februarie 2011, cu modificarile ulterioare.

(2) La data intrarii in vigoare a prezentei norme se abroga:

  1. a) Dispunerea de masuri a Comisiei Nationale a Valorilor Mobiliare nr. 19/2010*1);
  2. b) art. 25 din Normele privind principiile de organizare a unui sistem de control intern si management al riscurilor, precum si organizarea si desfasurarea activitatii de audit intern la asiguratori/reasiguratori, aprobate prin Ordinul Comisiei de Supraveghere a Asigurarilor nr. 18/2009, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 621 din 16 septembrie 2009, cu modificarile si completarile ulterioare;
  3. c) orice dispozitie contrara prevederilor prezentei norme.

————

*1) Dispunerea de masuri a Comisiei Nationale a Valorilor Mobiliare nr. 19/2010 nu a fost publicata in Monitorul Oficial al Romaniei, Partea I.

 

ART. 18

Anexele nr. 1 – 3 fac parte integranta din prezenta norma.

ART. 19

Prezenta norma se publica in Monitorul Oficial al Romaniei, Partea I, precum si in Buletinul A.S.F. si intra in vigoare la data publicarii acesteia.

 

    ANEXA 1

 

  DEFINITII SI ABREVIERI

  1. acord de furnizare a serviciului la parametrii agreati (SLA) – un acord intre un furnizor de servicii IT si un client, care descrie unul sau mai multe servicii IT, documenteaza nivelurile de serviciu tinta agreate si specifica obligatiile furnizorului de servicii IT si ale clientului;
  2. activitati de control informatic – politici, proceduri si practici aplicate pentru atingerea obiectivelor entitatii si pentru indeplinirea strategiilor de eliminare a riscurilor, concepute pentru atingerea fiecarui obiectiv de control pentru eliminarea riscului identificat;
  3. arhivare electronica – stocarea documentelor in format digital;
  4. amenintari – capacitati, strategii, intentii sau planuri ce pericliteaza infrastructurile, materializate prin atitudini, gesturi, acte sau fapte cu impact asupra securitatii activitatii entitatilor si a integritatii sectorului in care activeaza;
  5. analiza de risc – analiza scenariilor de amenintari semnificative, pentru a evalua probabilitatea materializarii acestora si impactul potential pe care un astfel de eveniment l-ar avea asupra entitatii si operatiunilor acesteia;
  6. angajati/persoane-cheie – persoane cu functii de conducere/persoane relevante/persoane semnificative care au atributii si raspunderi cu privire la planificarea, conducerea si controlarea activitatilor entitatii;
  7. atac etic/test de penetrare – test al sistemelor informatice realizat printr-o simulare a unui atac real asupra retelelor, sistemelor si programelor informatice utilizate de entitatea testata sau auditata, dupa caz;
  8. audit informatic (audit IT) – activitatea de colectare si evaluare a unor probe pentru a determina daca sistemul informatic respecta parametrii de performante si de lucru conform cerintelor de proiectare, asigura functionalitatile necesare cerintelor de afaceri si respectarea legislatiei in domeniu, este securizat, mentine integritatea datelor prelucrate si stocate, permite atingerea obiectivelor strategice ale entitatii si utilizarea eficienta a resurselor informationale;
  9. auditor (auditor IT) – persoana fizica autorizata care detine certificat de auditor IT sau persoana juridica cu personal certificat, care deruleaza o activitate de auditare a sistemelor informatice, conform reglementarilor si bunelor practici in domeniu;
  10. audit IT cu resurse interne – audit care se realizeaza de personal certificat in domeniul auditarii IT, angajat in cadrul entitatii sau in cadrul unei companii din cadrul aceluiasi grup financiar, prin aplicarea prevederilor prezentei norme si a metodologiilor certificate international;
  11. baza de date – structura de organizare a informatiei intr-unul sau mai multe domenii de aplicare, cu scopul de a o face accesibila in permanenta catre utilizatori prin ansamblul de programe informatice;
  12. bune practici – activitati sau procese certificate care au fost folosite cu succes in mai multe organizatii si au capatat o larga recunoastere, precum SR ISO/IEC 27002, ISO 20.002, cadrul de lucru si metodologiile ISACA – COBIT, RiskIT, dar fara a se limita la acestea;
  13. centru de date – spatiu securizat, dotat cu tehnica de calcul si echipamente de comunicatii prin intermediul carora se primesc, se stocheaza si se transmit date in forma electronica, care se implementeaza respectand standardele specifice, utilizand conceptul de nivel sau un echivalent al acestuia, precum, dar fara a se limita la, standardele SR EN 50600 (European Standard – Data Centers Facilities and Infrastructures) sau TIA-942 (Telecommunications Industry Association);
  14. centru de date de nivel 2 – centru de date care indeplineste cerintele TIA-942 tier 2 sau echivalent si a carui infrastructura prezinta caracteristicile de disponibilitate de 99,741%, circuit dedicat pentru racire si alimentare cu energie electrica, include componente redundante, include podea inaltata, surse neintreruptibile de putere, generator si se incadreaza intr-un numar de maximum 22 de ore de nefunctionare pe an;
  15. centrul principal de date – centru de date care asigura serviciile IT si proceseaza in mod curent datele, tranzactiile si operatiunile entitatii;
  16. CERT/Echipa sau centru de raspuns la incidente de urgenta aferente securitatii informatice – structura organizationala specializata in vederea colectarii, analizarii, identificarii, prevenirii si reactiei la incidente cibernetice cu impact semnificativ;
  17. ciclu de viata – totalitatea stadiilor din viata unui serviciu IT, a unui element de configuratie, a unui incident, a unei probleme sau a unei schimbari, fara a se limita la acestea;
  18. cloud computing public – infrastructura informatica, cu resurse de calcul configurabile, care permite furnizarea la cerere de servicii IT si este asigurata prin centre de date publice, altele decat infrastructura informatica proprie entitatii, prin intermediul unui furnizor extern, ca un ansamblu distribuit de servicii de calcul, programe informatice, acces la informatii si stocare de date;
  19. COBIT/Obiective de Control pentru Tehnologia Informatiilor si Tehnologii Conexe – furnizeaza indrumare si buna practica pentru managementul controalelor proceselor IT, fiind publicat de catre ISACA in colaborare cu IT Governance Institute (ITGI);
  20. comunicatii/telecomunicatii – sisteme de transmisie, precum si orice alte resurse care permit transportul semnalelor prin fir, radio, fibra optica sau orice alte mijloace electromagnetice, precum si tehnologiile utilizate in cadrul proceselor de comunicare, care presupun existenta unui mediu informatic constituit din echipamente hardware, software specializat, precum si dispozitive electronice de transmisie/receptie date;
  21. controale informatice – totalitatea politicilor, procedurilor, practicilor si a structurilor organizationale informatice proiectate sa ofere o asigurare rezonabila asupra faptului ca obiectivele afacerii vor fi atinse si evenimentele nedorite vor fi prevenite sau detectate si corectate;
  22. date (informatice) – orice reprezentare a unor fapte, informatii sau concepte intr-o forma care poate fi prelucrata printr-un sistem informatic, incluzandu-se si orice program informatic care poate determina realizarea unei functii similare de catre un sistem informatic;
  23. disponibilitate – capabilitatea unui serviciu IT sau unui element de configuratie IT de a efectua functiile agreate atunci cand este necesar acest lucru;
  24. dubla validare/validare dubla – validarea unei actiuni de catre doi utilizatori sau existenta unei validari informatice duble ce implica un program care verifica o anumita actiune prin metode diferite;
  25. externalizare servicii IT – utilizarea de catre o entitate a unui furnizor extern de servicii IT, in vederea desfasurarii de catre acesta, pe baza contractuala si in mod continuu sau pentru o perioada, a operatiunilor aferente suportului tehnic sau al procesarii, necesare desfasurarii activitatii efectuate in mod obisnuit de catre entitatea in cauza;
  26. externalizare in lant – externalizare in cadrul careia furnizorul extern subcontracteaza cu alti furnizori externi elemente componente ale serviciilor prestate entitatii;
  27. factori de risc – situatii, imprejurari, elemente, conditii sau conjuncturi interne si externe, uneori dublate si de actiune, ce determina ori favorizeaza materializarea unei amenintari la adresa infrastructurilor importante, in functie de o vulnerabilitate determinata, generand efecte de insecuritate;
  28. furnizor extern – persoana juridica sau fizica autorizata furnizoare de bunuri (precum hardware, licente software, componente etc.) si solutii informatice, care detine expertiza in domenii specializate, cu respectarea cadrului legal aplicabil;
  29. furnizor de servicii IT externalizate – persoana juridica sau persoana fizica autorizata cu obiect de activitate si expertiza in domeniul serviciilor informatice, furnizoare de servicii informatice in conditiile respectarii cadrului legal aplicabil si a autorizarii primite;
  30. hardware – ansamblul elementelor fizice si tehnice cu ajutorul carora datele se pot culege, verifica, prelucra, transmite, afisa si stoca, inclusiv suporturile de memorare a datelor, precum si echipamentele de calculator auxiliare;
  31. incident de securitate – eveniment inregistrat si declarat la nivelul entitatii privind securitatea informatiei sau a sistemelor informatice cu o probabilitate semnificativa de compromitere a operatiunilor si de amenintare a securitatii IT a carei consecinta a determinat sau este de natura sa determine compromiterea informatiilor sau a sistemelor informatice;
  32. indicatori-cheie de performanta (KPI) – parametri analitici reprezentativi selectati pentru monitorizarea unor activitati si procese-cheie pentru entitati, oferind o privire de ansamblu asupra performantei;
  33. indicatori-cheie de risc (KRI) – parametrii care masoara efectiv riscurile aferente procedurilor si activitatilor entitatii, furnizand in timp semnalari corespunzatoare ale consecintelor cu efect negativ, care pot genera potentiale pierderi directe sau indirecte;
  34. indisponibilitate (ca durata in timp) – intervalul de timp din cadrul perioadei agreate ca disponibilitate a serviciului, in care un serviciu IT sau o componenta critica/importanta a serviciului nu este disponibila;
  35. informatie – rezultatul prelucrarii datelor printr-un sistem informatic care sunt baza pentru asigurarea cunoasterii prin intermediul unor elemente noi in raport cu cunostintele anterioare si constituie o resursa care trebuie protejata;
  36. infrastructura informatica – elemente ale bazei tehnico-materiale, pe componente sau ca sistem, care sustin culegerea, stocarea si managementul datelor, precum si integrarea, cautarea si vizualizarea datelor si alte calcule si servicii de procesare a informatiei utilizand tehnologii informatice, detinute sau contractate extern de catre entitate si necesare bunei functionari a acesteia;
  37. infrastructura esentiala/critica – un sistem informatic sau o componenta a acestuia, care este esential pentru mentinerea functiilor infrastructurii financiare, a caror perturbare afecteaza semnificativ buna functionare a acesteia, cu un impact semnificativ ca urmare a incapacitatii de a mentine respectivele functii;
  38. infrastructura importanta – sistem informatic propriu sau externalizat, care asigura functionarea activitatilor si serviciilor principale ale entitatii;
  39. integritate – pastrarea datelor electronice, digitalizate, nealterate pe timpul comunicatiei dintre corespondenti sau pe perioada de stocare a datelor;
  40. internet – retea internationala de calculatoare, formata prin interconectarea retelelor globale (Wide Area Network – WAN) independente (particulare, comerciale, academice sau guvernamentale), destinata facilitarii schimbului de date si informatii intre utilizatori;
  41. ISACA – Asociatia de Audit si Control al Sistemelor Informatice/Information Systems Audit and Control Association;
  42. SR ISO/IEC 27001 – standard care stabileste cerintele pentru un sistem de management al securitatii informatiei;
  43. SR ISO/IEC 27002 – cod de practica internationala pentru managementul securitatii informatiei, avand specificatia SR ISO/IEC 27001;
  44. ISO/IEC 20000 – standard care stabileste cerintele pentru un sistem de management al serviciilor IT, bazat pe setul de publicatii de bune practici al Bibliotecii pentru Infrastructura IT/IT Infrastructure Library – ITIL;
  45. managementul schimbarii – procesul responsabil cu controlul ciclului de viata al tuturor schimbarilor pentru a permite implementarea schimbarilor benefice cu minimum de intrerupere a serviciilor IT;
  46. nerepudiere – atribut care sa previna posibilitatea unei entitati de a nega o actiune intreprinsa in context informational;
  47. obiectiv de control (informatic) – scop si mijloc care se reflecta in punctele de control din care se extrag indicatori-cheie de risc;
  48. persoane – investitori, brokeri de asigurare, agenti de asigurare, furnizori externi de servicii, alti terti sau colaboratori ai entitatii, angajati proprii – pe perioada nedeterminata, respectiv determinata; participanti la fondurile de pensii private. Entitatile vor raporta defalcat pe fiecare tip de „persoane” in functie de specificul activitatii proprii;
  49. plan de cooperare in domeniul securitatii retelelor si a informatiei – plan care stabileste rolurile organizationale, obligatiile si raspunderile in cadrul cooperarii, precum si procedurile de mentinere sau de restabilire a functionarii retelelor si sistemelor informatice in cazul in care acestea sunt afectate de un risc sau de un incident cibernetic cu impact semnificativ;
  50. portofolii, tranzactii si active – conturile proprii ale investitorilor pe piata de capital sau ale clientilor societatilor de asigurari; portofolii de investitori, asigurati, operatiuni cu activele investitorilor, activele proprii ale intermediarului si/sau ale persoanelor relevante;
  51. program informatic (aplicatie) – ansamblu de instructiuni care poate fi executat de un sistem informatic in vederea obtinerii unui rezultat determinat;
  52. resurse informationale – totalitatea informatiilor si a documentelor, conform cerintelor stabilite de legislatia in domeniu;
  53. retea – ansamblu de echipamente legate intre ele prin canale de transmisie, precum, dar fara a se limita la, o retea de calculatoare;
  54. risc de securitate – orice circumstanta sau eveniment care are un efect negativ potential asupra securitatii sistemelor informatice;
  55. risc sistemic – riscul de afectare a unei zone importante a sistemului financiar sau a unei piete financiare, cu potential de consecinte negative serioase pentru piata interna si economia reala, instabilitate a sistemului financiar, posibil catastrofica, cauzata sau accentuata de evenimente idiosincratice sau de conditii ale entitatilor;
  56. riscuri semnificative – riscuri cu impact insemnat asupra situatiei financiare, patrimoniale si/sau reputationale a entitatilor;
  57. raport de audit IT – instrumentul prin care se comunica scopul auditarii, obiectivele urmarite, normele/standardele aplicate, perioada acoperita, natura, intinderea, procedurile, constatarile si concluziile auditului, precum si orice rezerva pe care auditorul IT o are asupra sistemului informatic auditat;
  58. raport de testare IT – instrumentul prin care se comunica scopul testarii, obiectivele urmarite, normele/standardele aplicate, perioada acoperita, natura, intinderea, procedurile, constatarile si concluziile testarii, precum si orice rezerva pe care echipa de testare o are asupra sistemului informatic testat;
  59. risc aferent tehnologiei informatiei (IT) – subcomponenta a riscului operational care se refera la riscul actual sau viitor de afectare negativa, pe de o parte, a profiturilor si capitalului entitatilor sau a investitorilor, participantilor sau asiguratilor, pe de alta parte, determinat de inadecvarea strategiei si politicilor IT, a tehnologiei informatiei si a procesarii acesteia, din punctul de vedere al capacitatii de gestionare, integritate, controlabilitate si continuitate, sau de utilizare necorespunzatoare a tehnologiei informatiei;
  60. securitate (cibernetica) – capacitatea unei retele sau a unui sistem informatic, rezultata in urma aplicarii unui ansamblu de masuri proactive si reactive, de a rezista, la un nivel de incredere dat, unei actiuni accidentale sau rauvoitoare care compromite disponibilitatea, autenticitatea, integritatea sau confidentialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de reteaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;
  61. semnatura electronica (digitala) – atribut indispensabil al documentului electronic, obtinut in urma transformarii criptografice a acestuia, cu utilizarea cheii private, conform prevederilor Legii nr. 455/2001 privind semnatura electronica, republicata;
  62. serviciu IT – combinatie de persoane, procese si tehnologii furnizate in interiorul entitatii sau de catre un furnizor de servicii IT, care se bazeaza pe folosirea tehnologiei informatiei si care asigura suportul tehnic necesar desfasurarii activitatii entitatii si care ar trebui sa fie definita intr-un acord al nivelului agreat de serviciu (SLA);
  63. sistem informatic – ansamblu de elemente intercorelate functional in scopul automatizarii obtinerii informatiilor necesare activitatilor operationale si manageriale intr-o entitate, prin intermediul serviciilor IT, al echipamentelor hardware si produselor software, proceduri manuale, baze de date si modele matematice pentru analiza, planificare, control si luarea deciziilor, utilizand componente de introducere si prelucrare date, componente de procesare precum servere, calculatoare, sisteme software de operare de baza, programe informatice, retele de calculatoare si telecomunicatii, componente de stocare si utilizatori, fara ca enumerarea sa fie limitativa;
  64. sistem informatic/program informatic important (aplicatii core business) – sistem/program informatic esential pentru derularea in bune conditii a activitatii autorizate/avizate de Autoritatea de Supraveghere Financiara (A.S.F.) si pentru asigurarea raportarilor catre A.S.F. sau folosite in activitatea financiar-contabila a entitatii;
  65. software – toata gama de produse program, care cuprinde cel putin urmatoarele elemente: sisteme de operare, drivere sau programe informatice;
  66. solutie informatica – un produs de tip sistem informatic, o combinatie de produse sau o combinatie de produse si servicii informatice care sunt furnizate de un producator sau furnizor de servicii informatice sau de comunicatii;
  67. tehnologia informatiei (IT) sau tehnologia informatiei si a comunicatiilor – tehnologia necesara pentru prelucrarea (procurarea, procesarea, stocarea, convertirea si transmiterea) informatiei, in particular prin folosirea calculatoarelor electronice si a programelor corespunzatoare;
  68. TIA-942 – standard ce defineste infrastructura unui centru de date, in mod special din privinta sistemului de cablare si al designului retelei, dar acopera si locatia, racirea, alimentarea cu energie electrica si amenajarea sa, precum si considerente legate de mediu;
  69. vulnerabilitati – stari de fapt, procese si/sau fenomene care diminueaza capacitatea de reactie a sistemelor informatice la riscurile existente ori potentiale sau care favorizeaza aparitia si dezvoltarea lor, cu consecinte in planul functionalitatii si utilitatii.

Adauga comentariu

*

Acest site folosește cookie-uri. Continuarea navigării presupune că ești de acord cu utilizarea cookie-urilor. Informații suplimentare

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close