Sunteți pe pagina 1din 17

APROBAT

Guvernatorul Bncii Naionale a


Moldovei
__________________________
Dorin DRGUANU
______________________ 2010


Recomandri
cu privire la obiectivele de control i msurile de securitate ale
Sistemului de Management al Securitii Informaiei n bnci

I. Prevederi generale
1.1. Recomandrile cu privire la obiectivele de control i msurile de securitate ale Sistemului
de Management al Securitii Informaiei n bnci (n continuare Recomandri), reprezint
ndrumri ale Bncii Naionale a Moldovei emise n scopul facilitrii i acordrii suportului
metodologic bncilor la implementarea prevederilor Seciunii 3 din Regulamentul cu privire la
sistemele de control intern n bnci, aprobat prin Hotrrea Consiliului de administraie al
Bncii Naionale a Moldovei nr. 96 din 30.04.2010 (publicat MO nr. 98-99 din 15.06.2010).
1.2. Prezentele recomandri au fost elaborate lund n considerare urmtoarelor standarde,
ghiduri i coduri de practic n domeniu:
a. SM GOST R ISO/IEC 27001:2008 (ISO/IEC 27001:2005) - Tehnologia informaiei.
Tehnici de securitate. Sisteme de management al securitii informaiei. Cerine;
b. SMV ISO/CEI 27002:2009 (ISO/IEC 27002:2005) - Tehnologia informaiei. Tehnici de
securitate. Cod de buna practic pentru managementul securitii informaiei;
c. SMV ISO/CEI 27005:2009 (ISO/IEC 27005:2008) - Tehnologia informaiei. Tehnici de
securitate. Managementul riscului securitii informaiei;
d. Standardul Control Objectives for Information and related Technology, emis de
Information Systems Audit and Control Association (www.isaca.org).
e. Payment Card Industry Data Security Standard, emis de Payment Card Industry Data
Security Council (https://www.pcisecuritystandards.org).
1.3. n scopul stabilirii, implementrii, operrii, monitorizrii, revizuirii, meninerii i
mbuntirii propriilor Sisteme de Management al Securitii Informaiei (n continuare -
SMSI), bncile pot aplica prezentele Recomandri, precum i alte surse metodologice din
domeniul securitii informaiei.
II. Termeni i definiii
n sensul prezentului document, se aplic urmtoarele noiuni:
Securitatea informaiei pstrarea confidenialitii, integritii i disponibilitii
informaiei n orice form a sa (electronic, pe suport hrtie, etc.) i protejarea resurselor
implicate la gestiunea acesteia, n plus, alte proprieti precum autenticitatea, responsabilitatea,
non-repudierea i fiabilitatea pot fi de asemenea implicate.
2
Confidenialitate proprietatea informaiei de a fi disponibil doar persoanelor, sau
proceselor autorizate s aib acces la ea.
Integritate proprietatea informaiei de a fi complet.
Disponibilitate proprietatea informaiei de a fi disponibil la cererea unei persoane
autorizate.
Risc de securitate a informaiei probabilitatea ca un anumit eveniment se va realiza i va
avea impact advers asupra confidenialitii, integritii sau disponibilitii resurselor
informaionale;
Msur de securitate - mijloc de reducere a riscului de securitate, inclusiv politici,
standarde, proceduri, structuri organizatorice, soluii TI etc.;
Evaluarea riscului proces de msurare a riscului n conformitate cu criteriile stabilite.
Gestiunea riscului proces coordonat de identificare, analiz, evaluare, tratare,
monitorizare i revizuire a riscurilor de securitate.
Sistem informaional (SI) totalitatea sistemelor de gestiune a informaiei din cadrul unei
bnci, mpreun cu resursele organizaionale asociate, cum ar fi resursele informaionale,
resursele umane, structurile organizatorice.
Sistem informatic (sisteme TI) - totalitatea mijloacelor software i hardware, destinate
pentru procesarea, colectarea, stocarea datelor i a informaiei aferente unui sau mai multor
procese de activitate ale bncii.
Sistem de Management al Securitii Informaiei parte component a sistemului de
control intern, bazat pe abordarea riscurilor de securitate a informaiei, constituit dintr-un
complex de msuri tehnico-organizatorice, (de ex. acte normative, proceduri interne, resurse
umane, procese TI, resurse i servicii TI etc.) i orientat spre atingerea obiectivelor de asigurare a
securitii informaiei n cadrul bncii;
Serviciu TI - serviciu furnizat unei entiti (ex. aplicaie, proces, utilizator etc.), bazat pe
utilizarea Tehnologiilor Informaionale.
Echipamentul TI tehnica de calcul, de comunicaie, alte mijloacele tehnice ale SI al
bncii.
Resurse orice prezint valoare pentru banc, inclusiv informaia;
Resurse informaionale orice informaie utilizat n cadrul proceselor de activitate a
bncii, sau orice bun material sau nematerial implicat direct sau indirect n crearea, procesarea,
stocarea i accesarea informaiei n cadrul proceselor de activitate (de exemplu: date, aplicaii
program, soft de sistem, echipamente de calcul, alte elemente de infrastructur);
Resurs informaional sensibil resursa informaional, compromiterea securitii
creia poate implica riscuri majore pentru banc.
Infrastructura TI totalitatea mijloacelor software i hardware inclusiv serviciile TI,
destinate asigurrii funcionrii sistemului informaional.
Reea intern a bncii totalitatea echipamentelor i canalelor tehnice de comunicare
ntre componentele infrastructurii TI n cadrul bncii.
Zona Demilitarizat - o parte a reelei (fizic i/sau logic delimitat) n cadrul creia sunt
amplasate acele servicii ale bncii ce acceseaz sau pot fi accesate din afara reelei interne a
bncii (de obicei din cadrul unui extranet sau din cadrul reelei Internet) i are rolul de a separa
resursele accesibile din exteriorul reelei de celelalte resurse interne, n scopul prevenirii
accesului nesancionat la resursele TI din reelele publice.
3
Gestiunea resurselor informaionale totalitatea aciunilor direcionate la atingerea
scopurilor predefinite, inclusiv aferent asigurrii securitii acestor resurse.
Eveniment de securitate situaie identificat n legtur cu un sistem, un serviciu sau o
reea, care implic o posibil nclcare a politicii de securitate a informaiei, un eec al msurilor
de securitate, sau informaie ignorat anterior, dar relevant din punct de vedere al securitii.
Incident de securitate a informaiei un eveniment sau o serie de evenimente de
securitate a informaiei care au o probabilitate semnificativ de a compromite activitile bncii
i de a aduce ameninri securitii informaiei.
Staie de lucru componenta SI al bncii cu ajutorul creia utilizatorul acceseaz,
creeaz, prelucreaz datele de lucru conform atribuiilor de serviciu.
Tehnic de calcul componentele SI al bncii utilizate pentru accesarea, pstrarea i
prelucrarea datelor de lucru (servere, stocuri de date, staii de lucru, imprimante, scanere etc.).
Administrator angajat, care conform funciilor de serviciu este responsabil de
gestionarea resurselor TI ale SI al bncii.
Utilizator angajat al bncii sau a unei tere pri, nregistrat n cadrul SI al bncii i
autorizat s utilizeze resursele i serviciile sistemului informaional al bncii.
Posesor al datelor subdiviziunea sau utilizatorul care poart rspundere primar pentru
corectitudinea, integritatea i confidenialitatea datelor.
Posesor al resurselor informaionale subdiviziunea ce deine n posesia sa resursele
informaionale din cadrul SI al bncii i care poart responsabilitate primar pentru securitatea
lor.
Zon de securitate mediu controlat i monitorizat n scopul evitrii aciunilor
nesancionate.
Zona utilizatorului mediu situat n afara zonei de securitate n care se utilizeaz
resursele informaionale ale bncii (de exemplu, utilizarea calculatoarelor portabile n afara
sediului bncii).
Informaie public totalitatea datelor aferente activitii bncii supus publicrii
conform actelor normative sau care pot fi publicate fr a implica riscuri de securitate.

III. Cadrul de organizare a securitii informaiei
3.1. Politica de securitate a informaiei
Obiectiv: s asigure orientarea general de management i sprijinul pentru securitatea informaiei
n conformitate cu cerinele de afacere, legislaia i actele normative aplicabile.
3.1.1. Consiliul bncii elaboreaz i aprob documentul de politic a securitii informaiei.
Politica de securitate se public i se comunic tuturor angajailor i terelor pri
relevante.
3.1.2. Politica de securitate se revizuiete anual sau atunci cnd apar schimbri semnificative
la nivelul SI sau reglementrilor aferente.
3.2. Organizarea SMSI
Obiectiv: s asigure cadrul intern adecvat pentru managementul securitii informaiei.
4
3.2.1. SMSI al bncii se stabilete, implementeaz, opereaz, monitorizeaz, revizuiete,
menine i mbuntete n cadrul unui proces continuu de tipul Planific-
Implementeaz-Verific-mbuntete (Plan-Do-Check-Act).
3.2.2. Consiliul bncii asigur suportul necesar aferent implementrii i meninerii unui SMSI
eficient.
3.2.3. Consiliul bncii numete i desemneaz responsabilitatea pentru coordonarea
procesului de management al securitii informaiei la nivel de banc (ofier pe
securitatea informaiei).
3.2.4. Organizarea SMSI se efectueaz cu implicarea tuturor subdiviziunilor bncii, n scopul
asigurrii unei abordri complexe i multidisciplinare a cerinelor de securitate.
3.2.5. Toate rolurile i responsabilitile pentru securitatea informaiei se definesc n mod
adecvat i clar, se comunic i sunt asumate n cadrul bncii.
3.2.6. n scopul consolidrii culturii organizatorice cu privire la securitatea informaiei, banca
ncurajeaz i asigur condiiile necesare pentru meninerea de contacte
corespunztoare cu grupurile specializate de interes i cu asociaiile profesionale n
domeniul securitii informaiei.
3.2.7. SMSI al bncii se supune unei revizuiri independente cel puin o dat n an, n scopul
asigurrii funcionrii lui corespunztoare.
3.3. Relaia cu terele pri
Obiectiv: s asigure securitatea informaiei n relaia cu terele pri care presteaz sau
beneficiaz de servicii ce implic informaia bncii.
3.3.1. Banca asigur c riscurile pentru informaia din cadrul bncii i pentru sistemele de
procesare a informaiei din cadrul proceselor de afacere care implic pri din afara
bncii se identific, iar nainte de acordarea accesului sau iniierea relaiei, se
implementeaz msuri de securitate corespunztoare.
3.3.2. Banca asigur c orice relaie cu o ter parte, care presupune accesul la resursele
informaionale se iniiaz i se conduce n baza unui acord semnat ntre pri, care s
acopere toate riscurile de securitate identificate.
3.3.3. Banca se asigur c tera parte cu care iniiaz o relaie de afacere are capacitatea de a
gestiona corespunztor riscurile de securitate i de a respecta cerinele de securitate
asumate.
3.4. Externalizarea serviciilor TI
Obiectiv: s asigure securitatea i continuitatea serviciilor TI externalizate ctre furnizori externi
de servicii.
3.4.1. Banca asigur c dispune de politici i proceduri interne adecvate privind evaluarea,
gestionarea i monitorizarea activitilor externalizate, iar sistemul de control intern,
sistemul de raportare intern i funciile auditului intern sunt adaptate la specificul
activitilor externalizate.
3.4.2. La externalizarea serviciilor TI de importan material, banca se asigur c prin
aciunile de externalizare nu va crea o dependen operaional excesiv fa de un
furnizor extern de servicii TI, astfel nct s aib capacitatea de a relua n orice moment
controlul direct asupra serviciilor externalizate.
3.4.3. La externalizarea serviciilor TI de importan material, banca efectueaz o analiz
complex a scenariilor de risc i elaboreaz n acest sens un plan de asigurare a
5
continuitii cu proceduri detaliate de restabilire a activitilor externalizate (inclusiv a
scenariilor de revenire la producerea serviciilor cu resurse proprii, n sediul bncii).

IV. Managementul resurselor informaionale
4.1. Responsabilitatea pentru resurse
Obiectiv: s asigure stabilirea i asumarea responsabilitii pentru protecia corespunztoare a
resurselor informaionale ale bncii.
4.1.1. Banca asigur c resursele informaionale ale bncii sunt clar identificate, totodat fiind
efectuat i meninut inventarierea lor. Registrul de eviden a resurselor este
actualizat continuu, pe msura modificrilor n lista resurselor.
4.1.2. Pentru toate resursele informaionale se stabilete un posesor (persoan sau
subdiviziune). n cazul n care o resurs informaional este subiectul proprietii a mai
multor posesori, atunci drepturile i responsabilitile de proprietate ale posesorilor se
definesc reieind din importana resursei informaionale n cadrul activitii
subdiviziunii i necesitatea subdiviziunii de a controla resursa.
4.1.3. Banca stabilete i implementeaz regulile i normele privind modul de utilizare a
resurselor informaionale i asigur monitorizarea, respectrii acestora.
4.1.4. Posesorul resurselor informaionale poart responsabilitate primar pentru controlul
adecvat al resurselor (creare, modificare, accesare, securizare). Implementarea i
operarea anumitor msuri de control aferente resurselor poate fi delegat (de ex. ctre
subdiviziunea TI) i se formalizeaz obligatoriu printr-un document. Totodat,
responsabilitatea primar rmne a posesorului.
4.2. Clasificarea informaiei
Obiectiv: s asigure faptul c informaia beneficiaz de un nivel de protecie adecvat,
proporional importanei ei, reglementrilor aplicabile i ameninrilor aferente.
4.2.1. Banca asigur c un clasificator al informaiei este definit n conformitate cu legislaia
n vigoare i necesitile bncii. Informaia se clasific pentru a indica necesitatea,
prioritile i gradul ei de protecie. Un sistem de clasificare a informaiei este utilizat
pentru a defini un set adecvat de niveluri de protecie i a comunica necesitatea
msurilor speciale de gestionare.
4.2.2. Banca asigur c informaia clasificat din cadrul SI al bncii are ataat (la afiare,
tiprire i circulaie) un marcator ce va indica clasa din care face parte informaia.

V. Cerine de securitate privind resursele umane
5.1. Asigurarea securitii la angajare
Obiectiv: s asigure faptul c noii angajai, terele pri, precum i reprezentanii acestora sunt
corespunztor verificai nainte de acordarea accesului la sisteme, iar responsabilitile pentru
securitatea informaiei sunt adecvat stabilite, comunicate i asumate.
5.1.1. Banca asigur c responsabilitile de securitate pentru noii angajai sunt comunicate la
etapa de angajare.
5.1.2. Informaia despre candidaii la angajare sau angajaii transferai se supune verificrilor
de rigoare, n limitele cadrului legal. Nivelul de informaie solicitat i verificat
6
trebuie s corespund responsabilitilor funcionale, tipului de informaie la care va
avea acces angajatul i riscurilor aferente funciei ce va fi ocupat.
5.1.3. n scopul asigurrii secretului informaiilor confideniale, la angajarea personalului
banca poate prevedea ncheierea unui acord de confidenialitate. Acordul va prevedea
obligaia angajatului privind pstrarea confidenialitii informaiilor la care a obinut
acces sau pe care le-au aflat, inclusiv pentru perioada de dup ncetarea activitii sau n
perioada suspendrii activitii.
5.2. Instruirea
Obiectiv: s asigure faptul c cerinele de securitate sunt cunoscute n msur suficient de ctre
angajaii bncii, terele pri, precum i reprezentanii acestora.
5.2.1. Banca asigur c angajaii bncii, dup caz i terele pri, beneficiaz de instruire
privind securitatea informaiei la un nivel corespunztor funciei, responsabilitilor i
activitilor desfurate.
5.2.2. Banca asigur c cerinele de securitate i responsabilitile individuale aferente
securitii informaionale sunt disponibile pentru toi angajaii bncii, iar dup caz i
pentru tere pri.
5.3. Asigurarea securitii n activitatea angajailor
Obiectiv: s asigure faptul c cerinele de securitate sunt respectate necondiionat de ctre
angajaii bncii, terele pri, precum i de reprezentanii acestora, iar responsabilitile i
rspunderea juridic ale acestora sunt stabilite i contientizate corespunztor.
5.3.1. Banca asigur c cerinele de securitate a informaiei sunt respectate necondiionat de
toi angajaii bncii, precum i de tere pri, n cazul n care acestea sunt autorizate s
acceseze resursele informaionale ale bncii.
5.3.2. Managementul cere i se asigur c angajaii, contractanii i reprezentanii terelor
pri cunosc i respect cerinele de securitate stabilite prin politicile i procedurile
bncii.
5.3.3. Banca asigur existena unui proces formal disciplinar pentru angajaii care produc o
nclcare a securitii informaiei.
5.4. ncetarea activitii sau schimbarea locului de munc
Obiectiv: s asigure faptul c angajaii, terele pri, precum i reprezentanii acestora nceteaz
relaia cu banca ntr-o manier controlat din punct de vedere al riscurilor de securitate.
5.4.1. Banca asigur c responsabilitile i procedurile aplicate la ncetarea contractului de
munc sau schimbarea locului de munc sunt n mod clar stabilite.
5.4.2. Angajaii i terele pri, la ncetarea contractului de munc sau la schimbarea locului
de munc, napoiaz resursele ncredinate, iar drepturile de acces avute sunt revocate
sau revizuite.
5.4.3. La concedierea angajailor ce au deinut acces administrativ la sistemele bncii, se
blocheaz conturile deinute de acetia, iar toate parolele de administrare relevante se
modific.

VI. Securitatea fizic i a mediului de lucru
6.1. Zone de securitate
Obiectiv: s previn accesul fizic neautorizat, distrugerile i ptrunderile n interiorul bncii,
7
precum i accesul la resursele informaionale.
6.1.1. Securitatea de perimetru (bariere, perei, ui de intrare n baz de autentificare, sisteme
de securitate etc.) este organizat pentru a forma zone de securitate i a proteja
resursele informaionale critice. Securitatea de perimetru este asigurat adecvat pentru
toate ncperile bncii.
6.1.2. Banca asigur c sunt clar stabilite zonele de securitate, iar mijloacele de control i
nivelul de securitate aferent fiecrei zone corespunde tipului zonei de securitate, sunt
determinate n funcie de cerinele de securitate ale resurselor amplasate n zona
respectiv i n baza unei analize a riscurilor.
6.1.3. Banca asigur c zonele cu acces public, precum cele aferente deservirii clienilor,
primirii vizitatorilor, livrrilor i ncrcrilor, sunt controlate i delimitate de restul
zonelor de securitate ale bncii.
6.1.4. Banca asigur c zonele de securitate sunt dotate cu mijloace adecvate de control al
accesului pentru a asigura c doar persoanele autorizate vor avea acces (ex. lacte,
cartele de acces, supraveghere video, detectori efracie, etc.)
6.1.5. Banca asigur c regulile i normele de lucru i acces n zonele de securitate sunt
definite i aplicate, iar drepturile de acces la zonele de securitate revizuite i rennoite
n mod regulat.
6.1.6. Banca asigur c regulile de gestiune a rechizitelor de acces (chei, card-uri, coduri, etc.)
sunt stabilite, comunicate i aplicate.
6.1.7. Banca asigur c vizitatorii zonelor de securitate critice sunt supravegheai sau
autorizai, iar data i ora intrrii i ieirii acestora este nregistrat.
6.1.8. Banca aplic msuri pentru protecia fizic mpotriva incendiilor, inundaiilor,
cutremurelor, exploziilor, revoltelor publice i a oricror forme de dezastre naturale sau
produse de oameni.
6.1.9. Banca asigur c echipamentul ce asigur securitatea ncperii / localului este instalat i
funcionabil (ex.: sistem de alarm incendiar, echipament de stingere a focului,
detectoare de fum i temperatur etc.).
6.2. Securitatea echipamentelor
Obiectiv: s previn pierderea, distrugerea, furtul sau compromiterea echipamentelor TI i
ntreruperea proceselor de activitate ale bncii.
6.2.1. Banca asigur c echipamentele TI ale bncii, n funcie de importana i riscurile
aferente, sunt amplasate i protejate adecvat, astfel nct s se reduc riscurile fa de
ameninrile i pericolele de mediu i fa de posibilitatea de acces neautorizat.
6.2.2. Echipamentele TI se protejeaz mpotriva penelor de curent sau a altor ntreruperi n
funcionarea sistemelor de suport (ex. sisteme de meninere a microclimei).
6.2.3. Pentru a asigura buna funcionare a echipamentului TI critic se monitorizeaz factorii
mediului ambiant afereni acestuia.
6.2.4. Cablurile de energie i reelele de telecomunicaii purttoare de date se protejeaz fa
de interceptri sau avarii.
6.2.5. Echipamentele TI se menin i se utilizeaz adecvat, n scopul asigurrii integralitii i
disponibilitii lui.
8
6.2.6. Pentru echipamentele TI scoase n afara ncperilor bncii se asigur o securitate
corespunztoare, inndu-se cont de riscurile aferente echipamentelor i modului de
utilizare a acestora (ex. utilizarea calculatoarelor portabile).
6.2.7. Echipamentele TI, informaiile sau produsele software nu se scot n afara spaiului de
lucru fr o autorizaie prealabil.
6.2.8. Toate echipamentele ce conin medii de stocare se verific minuios nainte de casare
sau transmitere, pentru a asigura c orice date importante sau produse soft liceniate au
fost nlturate sau suprascrise ntr-un mod ce s asigure irecuperabilitatea lor.

VII. Managementul comunicaiilor i operaiunilor
7.1. Proceduri operaionale i responsabiliti
Obiectiv: s asigure operarea corect i n condiii de securitate a sistemelor de procesare a
informaiei a bncii.
7.1.1. Banca asigur c procedurile de gestiune i operare a echipamentelor i sistemelor TI
sunt documentate i puse la dispoziia persoanelor responsabile. De asemenea, toate
procedurile de gestiune i operare se menin n stare actual, iar toate modificrile
aferente lor, se autorizeaz la un nivel adecvat.
7.1.2. Banca asigur c obligaiunile funcionale i domeniile de responsabilitate sunt adecvat
segregate, pentru a reduce posibilitile de utilizare abuziv a resurselor informaionale
ale bncii (ex. segregarea funciilor de elaborare, testare implementare a sistemelor
informatice, administrare a bazelor de date, a sistemelor de operare, a serviciilor de
reea, administrarea i monitorizare altor resurse informaionale etc.).
7.1.3. Banca asigur c mediile de dezvoltare, testare i producere sunt separate pentru a
reduce riscul de acces neautorizat sau de modificri neautorizate asupra mediului de
producie.
7.2. Managementul serviciilor terelor pri
Obiectiv: s menin un nivel corespunztor de securitate aferent serviciilor terelor pri,
conform prevederilor contractuale i politicii de securitate a bncii.
7.2.1. Banca se asigur c msurile de securitate i parametrii de furnizare a serviciilor
terelor pri sunt respectate de ctre teri n procesul de prestare a serviciilor.
7.2.2. Banca asigur c serviciile prestate de ctre prile tere sunt monitorizate pentru a
asigura corespunderea acestora cu condiiile contractuale, politica i normele de
securitate ale bncii. Rapoartele i nregistrrile furnizate de tera parte se evalueaz i
se revizuiesc periodic.
7.2.3. Modificrile privind furnizarea serviciilor, inclusiv meninerea i mbuntirea
politicilor existente de securitate a informaiei, procedurilor i msurilor de securitate se
efectueaz n mod controlat, innd cont de rezultatele reevalurii riscurilor pentru
sistemele TI i procesele de afacere.
7.3. Planificarea i acceptana sistemelor TI
Obiectiv: s reduc riscurile aferente implementrii noilor sisteme i modificrilor n sistemele
existente.
7.3.1. Modificrile aferente sistemelor TI se efectueaz conform unei proceduri documentate
i aprobate n cadrul bncii.
9
7.3.2. Banca asigur c sistemele noi, modificrile aferente sistemelor existente i noile
versiuni sunt analizate din punct de vedere al conformrii la cerinele de securitate, iar
impactul lor asupra mediului de producie este evaluat nainte de implementare.
7.3.3. Criteriile de acceptare pentru sistemele noi i modificrile la sistemele existente se
stabilesc n mod clar. Pn la acceptarea n producie a sistemelor noi i a modificrilor
la sistemele existente, se efectueaz testri adecvate.
7.3.4. Banca asigur c utilizarea echipamentelor TI este monitorizat i optimizat, iar
necesitile curente i viitoare privind capacitatea de procesare sunt estimate n scopul
asigurrii performanei necesare pentru sistemele TI.
7.4. Protecia contra softului cu potenial duntor
Obiectiv: s protejeze softul i informaia bncii de activitatea maliioas a viruilor de
calculator.
7.4.1. Banca asigur c toate cile posibile de ptrundere a softului cu potenial duntor n SI
sunt identificate i c msuri adecvate de securitate ce s asigure detectarea i
prevenirea rspndirii acestuia sunt implementate.
7.4.2. Banca asigur c soluiile antivirus se actualizeaz periodic, ruleaz permanent i nu
pot fi stopate neautorizat.
7.4.3. Banca asigur c utilizatorii SI al bncii cunosc normele de protecie contra softului cu
potenial duntor, n scopul diminurii riscului aferent factorului uman.
7.4.4. Banca asigur c activitatea la virui n cadrul bncii, precum i funcionarea soluiilor
antivirus, sunt monitorizate adecvat.
7.5. Copii de rezerv
Obiectiv: s asigure integritatea i disponibilitatea informaiei bncii i a sistemelor de procesare
a informaiei.
7.5.1. Banca asigur c este stabilit o politic de efectuare a copiilor de rezerv ce s asigure
efectuarea regulat a copiilor de rezerv i pstrarea lor n condiii de siguran. Politica
de efectuare a copiilor de rezerv trebuie s stabileasc tipul datelor, frecvena
efecturii copiilor de rezerv, tipul copiilor i modalitatea de pstrare a lor, innd cont
de importana informaiei, cerinele actelor normative n vigoare i rezultatele analizei
de risc.
7.5.2. Copiile de rezerv se pstreaz n condiii ce s asigure integritatea i disponibilitatea
lor n caz de necesitate.
7.5.3. Banca asigur c pentru toat informaia important din cadrul sistemelor bncii exist
copii de rezerv pstrate n afara localului de baz. Vechimea ultimei copii de rezerv
pentru acest tip de informaie nu trebuie s depeasc o sptmn.
7.5.4. Banca asigur c copii de rezerv pentru softul de sistem i softul aplicativ din cadrul
SI al bncii sunt efectuate regulat. Regulile de efectuare a copiilor de rezerv sunt
stabilite astfel, nct n caz de necesitate s fie restabilite ultimele versiuni ale softului
aflat n utilizare n momentul incidentului.
7.5.5. Banca asigur c copii de rezerv pentru toat documentaia n form electronic a
bncii sunt efectuate i pstrate n condiii de siguran.
7.5.6. Banca stabilete i aplic proceduri de testare a copiilor de rezerv a bncii, n scopul
asigurrii integritii i disponibilitii acestora.
10
7.6. Securitatea reelelor de comunicaii electronice
Obiectiv: S asigure protecia reelelor de comunicaii electronice i protecia infrastructurii de
suport.
7.6.1. Banca asigur c reeaua corporativ a bncii este adecvat gestionat i controlat,
pentru a asigura securitatea informaiei, sistemelor i aplicaiilor ce utilizeaz reelele
de comunicaii electronice.
7.6.2. Banca asigur c cerinele de securitate aferente serviciilor TI prestate prin intermediul
reelei, sunt definite i implementate.
7.6.3. Banca asigur c toate conexiunile de reea ntre oficiile bncii efectuate prin
intermediul reelelor terelor pri utilizeaz tehnologii de asigurare a confidenialitii
i integritii datelor.
7.6.4. Securitatea de perimetru pentru reeaua corporativ a bncii se asigur prin organizarea
zonei demilitarizate. Sistemele i serviciile disponibile n zona demilitarizat se
protejeaz corespunztor.
7.6.5. Reeaua corporativ a bncii se divizeaz n sub-reele n scopul protejrii sistemelor,
serviciilor i grupurilor de utilizatori critici. ntre sub-reelele bncii se stabilesc i se
implementeaz reguli de acces corespunztoare.
7.6.6. Sisteme de prevenire i detectare a intruziunilor se utilizeaz pentru a proteja resursele
reelei corporative.
7.7. Gestionarea suporturilor de informaie
Obiectiv: s previn divulgarea neautorizat i modificarea informaiei, distrugerea, furtul sau
pierderea suporturilor de informaie.
7.7.1. Banca asigur c toate cazurile de utilizare a suporturilor mobile de informaie n cadrul
bncii sunt explicit autorizate, la baz fiind necesitile afacerii.
7.7.2. Proceduri de gestiune securizat a suporturilor mobile de informaie se stabilesc i se
implementeaz n scopul asigurrii confidenialitii, disponibilitii datelor i a
integritii fizice a acestora.
7.7.3. Retragerea din utilizare a suporturilor de informaie se efectueaz ntr-un mod care s
asigure confidenialitatea datelor stocate pn la acel moment (ex.: distrugerea
informaiei, distrugerea suporturilor).
7.7.4. Banca asigur c suporturile de informaie sunt protejate adecvat n cazul transportrii
n afara bncii. Informaia sensibil pstrat pe aceste suporturi trebuie s fie criptat.
7.8. Schimbul de informaie
Obiectiv: s asigure schimbul securizat de informaie i pachete soft cu terele pri, precum i n
interiorul bncii.
7.8.1. Schimbul de informaii ntre banc i terele pri se efectueaz n baza unui acord
semnat, ce s includ mijloacele, cerinele i responsabilitile aferente securitii
informaiei.
7.8.2. Transmiterea / expedierea componentelor i modulelor produselor soft pe cale
electronic se efectueaz n baza acordurilor semnate, care vor stabili i mijloacele de
protecie necesar a fi implementate n scopul asigurrii confidenialitii, autenticitii i
integritii mesajelor i fiierelor recepionate.
11
7.8.3. Informaia sensibil transmis n form electronic n afara bncii se protejeaz
corespunztor pentru a nu permite divulgarea sau modificarea ei.
7.8.4. Proceduri i mijloace adecvate de control se implementeaz pentru a asigura schimbul
securizat de informaie ntre aplicaiile program i diferite componente ale SI al bncii.
7.8.5. Banca asigur c informaia fcut public din cadrul bncii este autorizat n mod
corespunztor. Informaia publicat pe pagina web oficial a bncii se protejeaz pentru
a preveni modificarea neautorizat a ei.
7.9. Gestiunea mijloacelor criptografice
Obiectiv: s asigure utilizarea securizat a mijloacelor de protecie criptografic a informaiei.
7.9.1. Banca stabilete politici i proceduri pentru gestiunea i utilizarea securizat a
mijloacelor de protecie criptografic a informaiei, lund n considerare cerinele
normative aplicabile.
7.9.2. Mijloacele criptografice se gestioneaz ntr-o manier ce s asigure integritatea lor
fizic i disponibilitatea lor doar pentru persoanele autorizate.
7.9.3. Utilizarea mijloacelor criptografice n cadrul bncii se monitorizeaz continuu n scopul
asigurrii utilizrii i gestiunii lor conform politicilor i procedurilor stabilite.
7.10. Managementul vulnerabilitilor
Obiectiv: s previn existena vulnerabilitilor pentru resursele bncii.
7.10.1. Toate sistemele bncii se configureaz securizat, n acest scop fiind stabilite standarde
de configurare securizat.
7.10.2. Proceduri formale se stabilesc n scopul urmririi noilor vulnerabiliti aferente
sistemelor bncii i reacionrii corespunztoare pentru nlturarea acestora.
7.11. Monitorizarea
Obiectiv: s asigure identificarea n timp util a activitilor neautorizate de accesare a informaiei
i utilizare a resurselor informaionale.
7.11.1. Banca asigur c jurnalele de audit care nregistreaz activitile utilizatorului,
excepiile i evenimentele de securitate a informaiei sunt formate i pstrate pentru o
perioad de timp determinat pentru a facilita investigaiile viitoare i pentru
monitorizarea accesului. Perioada de pstrare a jurnalelor de audit nu trebuie s fie mai
mic de 12 luni.
7.11.2. Banca asigur c toate resursele informaionale importante au asociate jurnale de audit,
n care s se nregistreze toate evenimentele ce pot avea impact asupra securitii
resurselor informaionale.
7.11.3. Banca stabilete i implementeaz proceduri de monitorizare a utilizrii resurselor
informaionale, iar rezultatele activitilor de monitorizare se nregistreaz i se
revizuiesc periodic. Instrumente ce s asigure monitorizarea eficient a sistemelor i
serviciilor TI trebuie s fie implementate i utilizate.
7.11.4. La stabilirea responsabilitii pentru analiza jurnalelor de audit se ine cont de
necesitatea segregrii funciilor.
7.11.5. Jurnalele de audit se pstreaz i gestioneaz ntr-o manier ce s asigure integritatea i
autenticitatea informaiei coninute.
12
7.11.6. Banca asigur c toate activitile utilizatorilor critici sunt nregistrate (ex.
administratorul de sistem).
7.11.7. Ceasurile tuturor sistemelor din cadrul bncii se sincronizeaz cu o surs de timp
precis i sigur.

VIII. Controlul accesului la resursele informaionale
8.1. Politica de control al accesului
Obiectiv: s stabileasc principii adecvate pentru controlul accesului la resursele informaionale
ale bncii.
8.1.1. Banca stabilete politica de control a accesului la resursele i sistemele sale, avnd la
baz principiul accesului minim conform necesitilor de afacere, n scopul realizrii
atribuiilor de serviciu sau a celor contractuale.
8.2. Managementul accesului utilizatorilor
Obiectiv: s asigure controlul corespunztor al accesului la informaie i alte resurse
informaionale ale bncii.
8.2.1. Banca asigur c este stabilit o procedur de acordare, modificare, revizuire i
retragere a drepturilor de acces la toate sistemele i resursele sale. Procedura trebuie s
vizeze att angajaii bncii, ct i utilizatorii terelor pri.
8.2.2. Accesul la toate resursele informaionale ale bncii se acord n strict conformitate cu
necesitile de serviciu.
8.2.3. Toate cazurile de utilizare a resurselor informaionale ale bncii necesit a fi autorizate.
La stabilirea drepturilor de acces se va aplica principiul este interzis tot ce nu este
permis.
8.2.4. Banca asigur c toi utilizatorii si dein identificatori unici n cadrul sistemelor
accesate, iar rechizitele de acces (parola, token, cheie, etc) sunt deinute sau cunoscute
doar de acetia.
8.2.5. Banca stabilete politici adecvate de utilizare a parolelor pentru toate sistemele sale.
8.2.6. Banca stabilete o procedur special pentru gestiunea conturilor cu drepturi
privilegiate la resursele bncii (administratori, super utilizatori, etc). Procedura va
asigura pstrarea n condiii de confidenialitate a parolelor pentru conturile respective
i disponibilitatea acestora n situaii de incident.
8.2.7. Banca asigur c toate parolele implicite pentru echipamentele i sistemele bncii se
schimb nainte de lansarea n exploatare.
8.2.8. Toate drepturile de acces ale utilizatorilor se revizuiesc la intervale regulate, ns nu
mai rar de o dat n an.
8.3. Responsabilitile utilizatorilor
Obiectiv: s previn accesul neautorizat la resursele bncii, precum i furtul sau pierderea de
informaii.
8.3.1. Banca asigur c utilizatorilor si li se comunic regulile de utilizare a rechizitelor de
acces la sisteme i li se cere respectarea strict a acestora.
8.3.2. Utilizatorii bncii se asigur c echipamentul TI aflat n dotare este protejat n mod
corespunztor.
13
8.3.3. Banca stabilete o politic de tipul birou curat, ecran protejat i o comunic tuturor
utilizatorilor pentru a fi aplicat n scopul evitrii pstrrii documentelor pe biroul de
lucru i lsrii staiilor de lucru neprotejate.
8.4. Controlul accesului la reea
Obiectiv: s protejeze informaia i serviciile de reea.
8.4.1. Banca asigur c toate conexiunile la reeaua bncii sunt autorizate i efectuate numai
dup analiza potenialului lor impact asupra securitii informaiei.
8.4.2. Banca asigur c identificarea automat a echipamentului conectat la reea este utilizat
ca o metod de autentificare a conexiunilor.
8.4.3. Banca asigur c tot traficul de intrare n reeaua corporativ i de ieire din reea este
corespunztor controlat de ctre banc.
8.4.4. Banca asigur c regulile de rutare a traficului intern i extern sunt stabilite pentru a
implementa politica de acces la resurse i servicii.
8.4.5. Utilizarea reelelor WiFi n cadrul bncii se controleaz ntr-un mod strict. Accesul la
reelele WiFi se autorizeaz n mod corespunztor. Utilizarea protocolului WEP n
cadrul reelelor WiFi trebuie evitat.
8.4.6. Conexiunea la distan a utilizatorilor prin intermediul reelelor publice se autorizeaz
n mod corespunztor. Banca asigur c soluii eficiente de securitate sunt utilizate
pentru autentificarea nominal a utilizatorilor, limitarea accesului la resursele necesare
i asigurarea confidenialitii comunicaiilor.
8.4.7. Banca asigur c utilizatorii serviciilor n reea ale bncii au acces doar la serviciile
pentru care au fost autorizai n mod specific.
8.4.8. Banca asigur c accesul la interfeele de administrare pentru echipamentele de reea
este limitat i corespunztor protejat.
8.5. Controlul accesului la sistemele de operare i mediile de virtualizare
Obiectiv: s previn accesul neautorizat la sistemele de operare i mediile de virtualizare.
8.5.1. Banca asigur c exist proceduri i msuri de securitate care s permit accesul la
sistemele de operare pe staiile utilizatorilor i pe servere doar pentru utilizatorii
autorizai.
8.5.2. Banca implementeaz msuri de securitate care s asigure: identificarea i
autentificarea utilizatorului, nregistrarea evenimentelor de securitate (de ex. accesrilor
reuite sau nereuite ctre sistem), limitarea accesului la resursele autorizate (de ex.
sistemul de fiiere local, aplicaiile instalate, porturi i echipamente periferice).
8.5.3. Banca asigur c mediile de virtualizare sunt implementate n baza unei analize de risc,
ntr-o manier ce s previn compromiterea sistemelor i a serviciilor gzduite.
8.5.4. Pentru staiile de lucru critice i calculatoarele portabile banca asigur securitate
suplimentar (de ex.: parol power on, utilizarea cartelei de acces, criptare, etc.).
8.5.5. Banca asigur c drepturile utilizatorilor la nivelul sistemelor de operare corespund
necesitilor de serviciu. Instalarea i rularea utilitarelor de sistem nu trebuie s fie
permis.
8.5.6. Banca asigur c utilizarea aplicaiilor i serviciilor de sistem care asigur dirijarea la
distan a staiilor de lucru este limitat i strict monitorizat.
14
8.5.7. Instalarea de aplicaii program pe staiile de lucru ale utilizatorilor se efectueaz doar
de persoanele responsabile.
8.6. Accesul la aplicaii i informaii
Obiectiv: s previn accesul neautorizat la informaia deinut n sistemele de aplicaii.
8.6.1. Accesul la funciile sistemelor de aplicaii i informaia din sisteme se restricioneaz n
conformitate cu politica de control al accesului stabilit n banc.
8.6.2. Banca asigur c sistemele de aplicaii dispun de msuri de protecie suficiente i
eficiente n scopul limitrii accesului doar pentru utilizatorii autentificai i doar n
limita drepturilor autorizate.

IX. Achiziionarea, dezvoltarea i mentenan sistemelor de aplicaii
9.1. Cerinele de securitate pentru sistemele aplicative
Obiectiv: s asigure c cerinele de securitate sunt considerate la planificarea, elaborarea,
implementarea i modificarea sistemelor de aplicaii.
9.1.1. Banca asigur c cerinele pentru noile sisteme sau pentru mbuntirea sistemelor
existente cuprind n mod specific cerinele de securitate.
9.2. Procesarea corect a datelor n cadrul aplicaiilor
Obiectiv: s previn erorile, pierderile, modificrile neautorizate sau folosirea greit a
informaiilor n cadrul aplicaiilor.
9.2.1. Datele de intrare ale aplicaiilor se valideaz pentru a se asigura c aceste date sunt
corecte i corespunztoare.
9.2.2. n cadrul aplicaiilor se implementeaz verificri de validare pentru a detecta orice
modificare a informaiei prin procesare eronat sau prin acte deliberate.
9.2.3. Banca asigur c cerinele pentru integritatea mesajelor electronice n cadrul aplicaiilor
sunt stabilite i msuri de securitate corespunztoare sunt identificate i implementate.
9.2.4. Datele de ieire din cadrul aplicaiilor se valideaz pentru a se asigura c procesarea
informaiei stocate este corect.
9.2.5. Toate activitile importante n cadrul sistemelor aplicative se nregistreaz pentru a
asigura monitorizarea utilizrii sistemului aplicativ.
9.3. Securitatea fiierelor de sistem
Obiectiv: s asigure securitate fiierelor de sistem pentru aplicaii.
9.3.1. Banca asigur c toate modificrile aferente mediului de operare pentru sistemele de
aplicaii sunt strict controlate. Orice modificare n prealabil se testeaz i se
autorizeaz.
9.3.2. Mediile de operare pentru sistemele de aplicaii critice se izoleaz de alte medii, pentru
a evita compromiterea securitii lor n rezultatul compromiterii securitii sistemelor
mai puin critice.
9.3.3. Banca asigur c accesul la codurile surs ale sistemelor de aplicaii este strict limitat.
9.3.4. Fiierele de configuraie ale sistemelor de aplicaie se protejeaz corespunztor.
Parolele existente n fiierele de configuraie se cripteaz.
15
9.4. Securitatea n procesul de dezvoltare i de suport
Obiectiv: s menin securitatea sistemelor de aplicaii.
9.4.1. Banca stabilete o procedur formal pentru implementarea controlat a tuturor
modificrilor aferente sistemelor de aplicaii.
9.4.2. Datele de testare se selecteaz, protejeaz i controleaz n mod adecvat.
9.4.3. Banca asigur c accesul la mediul de producie pentru persoanele ce particip la
elaborarea sistemelor, este limitat. Toate modificrile aferente aplicaiilor program din
mediul de producie se testeaz i autorizeaz.
9.4.4. Aplicaiile critice, n cazul modificrilor n componentele hard sau aferente mediului de
operare, se testeaz pentru a se asigura c nu exist impact advers asupra funcionrii
acestora.
9.4.5. Elaborarea sistemelor de aplicaii de ctre tere pri se efectueaz n baza acordurilor
formale ntre pri i n baza unui proces documentat ce corespunde politicilor stabilite
de banc.
9.4.6. Banca asigur c toate sistemele aplicative, dezvoltate intern sau achiziionate din
exterior, sunt adecvat documentate.

X. Managementul incidentelor de securitate a informaiei
10.1. Identificarea i raportarea incidentelor
Obiectiv: s asigure identificarea i reacionarea n timp util la incidentele de securitate a
informaiei.
10.1.1. Banca stabilete o procedur formal privind managementul incidentelor de securitate a
informaiei.
10.1.2. Pentru raportarea n timp util a incidentelor de securitate a informaiei, banca asigur un
singur punct de contact pentru toi utilizatorii bncii, la care acetia vor fi instruii s
raporteze ct mai curnd orice incident sau problem legat de utilizarea sistemelor i
tehnologiilor bncii.
10.1.3. Toi angajaii, contractanii i utilizatorii teri ai sistemelor i serviciilor informaionale
se instruiesc pentru a raporta orice vulnerabilitate de securitate observat sau suspectat
n cadrul sistemelor sau a serviciilor.
10.2. Reaciunea la incidentele de securitate
Obiectiv: s asigure reaciunea corespunztoare la incidentele de securitate.
10.2.1. Banca asigur c responsabilitile i procedurile de reaciune la incidentele de
securitate sunt explicit stabilite n cadrul bncii, pentru a asigura un rspuns rapid,
eficient i sistematic la incidentele de securitate a informaiei.
10.2.2. Probele aferente incidentelor de securitate se colecteaz i pstreaz n condiii de
siguran n scopul investigrii incidentelor i asigurrii suportului n cazul eventualelor
aciuni legale legate de incidentele petrecute.
10.2.3. Banca asigur un proces de analiz a incidentelor de securitate i nvarea din acestea,
pentru a nu admite repetarea incidentelor similare.
10.2.4. Banca asigur nregistrarea, documentarea complet i raportarea incidentelor de
securitate.
16

XI. Managementul continuitii activitii
11.1. Planificarea continuitii afacerii
Obiectiv: s minimizeze impactul ntreruperilor n sisteme i servicii asupra proceselor de
activitate ale bncii.
11.1.1. Banca definete i implementeaz un proces complex de planificare a continuitii
activitii i restabilire a sistemelor TI n situaii de incident.
11.1.2. Banca elaboreaz, testeaz, aprob i menine n stare actual un plan de continuitate a
afacerii i de restabilire n situaii de incident.
11.1.3. Planul de continuitate a afacerii se elaboreaz n baza unei analize la impact asupra
proceselor de activitate ale bncii provocat de riscurile de securitate a informaiei.
11.1.4. Planul de continuitate a afacerii se revizuiete cel puin anual.
11.2. Restabilirea sistemelor TI
Obiectiv: s asigure restabilirea sistemelor i serviciilor n termeni i condiii acceptabile pentru
afacere.
11.2.1. Cerinele afacerii pentru nivelul de continuitate i restabilire a sistemelor i serviciilor
TI se stabilesc i se aprob n cadrul bncii (ex. timpul de restabilire, momentul
restabilirii datelor, etc).
11.2.2. Banca asigur proceduri documentate de restabilire a sistemelor i serviciilor critice
conform necesitilor afacerii.
11.2.3. Procedurile de restabilire se testeaz la intervale regulate, sau ori de cte ori sunt
efectuate modificri importante aferente sistemelor i serviciilor. Testele trebuie s
asigure c toi angajaii antrenai n procesul de restabilire sunt contieni de aciunile
efectuate.
11.2.4. Banca asigur un local de rezerv i infrastructura necesar pentru restabilirea
sistemelor i serviciilor critice n situaii de incident major.
11.2.5. Banca asigur c localul de rezerv nu este expus acelorai riscuri precum localul de
baz i dispune de capacitile necesare pentru susinerea procesului de restabilire.

XII. Conformitatea
12.1. Conformitatea cu cerinele legale i regulatorii
Obiectiv: s evite nclcarea actelor normative ce in de securitatea informaiei.
12.1.1. Banca identific i este la curent cu toate modificrile aferente actelor normative
aplicabile n sfera securitii informaiei.
12.1.2. Banca se asigur c nu ncalc actele normative la utilizarea produselor ce pot fi subiect
al drepturilor de autor (ex. produse soft, materiale, etc).
12.1.3. Banca asigur protecia corespunztoare a datelor cu caracter personal n conformitate
cu actele normative. Considerate trebuie s fie att datele personale ale clienilor, ct i
datele angajailor bncii.

17
XIII. Securitatea datelor de carduri bancare
13.1. Securitatea datelor de carduri n posesia bncii
Obiectiv: s asigurare respectarea actelor normative ce in de securitatea datelor de carduri
bancare.
13.1.1. Banca asigur c este efectuat o analiz de risc pentru utilizarea cardurilor bancare n
cadrul serviciilor oferite de banc clienilor si.
13.1.2. Banca asigur c standardul PCI DSS este luat n considerare la asigurarea unui cadru
de control al securitii datelor cardurilor bancare accesate, procesate i transmise de
banc.

XIV. Auditul intern al securitii informaiei
14.1. Planificarea i organizarea auditului
Obiectiv: s asigure organizarea i planificarea eficient a auditului intern al securitii
informaiei.
14.1.1. Banca asigur c auditorii interni TI sunt independeni n raport cu responsabilitile
operaionale aferent ariilor de audit TI.
14.1.2. Planul de audit TI se elaboreaz n baza unei analize a riscurilor pentru toate sistemele,
serviciile, procesele TI i a proiectelor planificate sau derulate.
14.1.3. Banca asigur c toate sistemele i serviciile TI utilizate n cadrul proceselor de
activitate de baz vor fi supuse auditului cel puin o dat n trei ani. Suplimentar, se
asigur c audite ale eficienei i eficacitii proceselor TI importante sunt efectuate.
14.1.4. Auditul intern al SMSI al bncii se efectueaz cel puin anual.