Moldovei __________________________ Dorin DRGUANU ______________________ 2010
Recomandri cu privire la obiectivele de control i msurile de securitate ale Sistemului de Management al Securitii Informaiei n bnci
I. Prevederi generale 1.1. Recomandrile cu privire la obiectivele de control i msurile de securitate ale Sistemului de Management al Securitii Informaiei n bnci (n continuare Recomandri), reprezint ndrumri ale Bncii Naionale a Moldovei emise n scopul facilitrii i acordrii suportului metodologic bncilor la implementarea prevederilor Seciunii 3 din Regulamentul cu privire la sistemele de control intern n bnci, aprobat prin Hotrrea Consiliului de administraie al Bncii Naionale a Moldovei nr. 96 din 30.04.2010 (publicat MO nr. 98-99 din 15.06.2010). 1.2. Prezentele recomandri au fost elaborate lund n considerare urmtoarelor standarde, ghiduri i coduri de practic n domeniu: a. SM GOST R ISO/IEC 27001:2008 (ISO/IEC 27001:2005) - Tehnologia informaiei. Tehnici de securitate. Sisteme de management al securitii informaiei. Cerine; b. SMV ISO/CEI 27002:2009 (ISO/IEC 27002:2005) - Tehnologia informaiei. Tehnici de securitate. Cod de buna practic pentru managementul securitii informaiei; c. SMV ISO/CEI 27005:2009 (ISO/IEC 27005:2008) - Tehnologia informaiei. Tehnici de securitate. Managementul riscului securitii informaiei; d. Standardul Control Objectives for Information and related Technology, emis de Information Systems Audit and Control Association (www.isaca.org). e. Payment Card Industry Data Security Standard, emis de Payment Card Industry Data Security Council (https://www.pcisecuritystandards.org). 1.3. n scopul stabilirii, implementrii, operrii, monitorizrii, revizuirii, meninerii i mbuntirii propriilor Sisteme de Management al Securitii Informaiei (n continuare - SMSI), bncile pot aplica prezentele Recomandri, precum i alte surse metodologice din domeniul securitii informaiei. II. Termeni i definiii n sensul prezentului document, se aplic urmtoarele noiuni: Securitatea informaiei pstrarea confidenialitii, integritii i disponibilitii informaiei n orice form a sa (electronic, pe suport hrtie, etc.) i protejarea resurselor implicate la gestiunea acesteia, n plus, alte proprieti precum autenticitatea, responsabilitatea, non-repudierea i fiabilitatea pot fi de asemenea implicate. 2 Confidenialitate proprietatea informaiei de a fi disponibil doar persoanelor, sau proceselor autorizate s aib acces la ea. Integritate proprietatea informaiei de a fi complet. Disponibilitate proprietatea informaiei de a fi disponibil la cererea unei persoane autorizate. Risc de securitate a informaiei probabilitatea ca un anumit eveniment se va realiza i va avea impact advers asupra confidenialitii, integritii sau disponibilitii resurselor informaionale; Msur de securitate - mijloc de reducere a riscului de securitate, inclusiv politici, standarde, proceduri, structuri organizatorice, soluii TI etc.; Evaluarea riscului proces de msurare a riscului n conformitate cu criteriile stabilite. Gestiunea riscului proces coordonat de identificare, analiz, evaluare, tratare, monitorizare i revizuire a riscurilor de securitate. Sistem informaional (SI) totalitatea sistemelor de gestiune a informaiei din cadrul unei bnci, mpreun cu resursele organizaionale asociate, cum ar fi resursele informaionale, resursele umane, structurile organizatorice. Sistem informatic (sisteme TI) - totalitatea mijloacelor software i hardware, destinate pentru procesarea, colectarea, stocarea datelor i a informaiei aferente unui sau mai multor procese de activitate ale bncii. Sistem de Management al Securitii Informaiei parte component a sistemului de control intern, bazat pe abordarea riscurilor de securitate a informaiei, constituit dintr-un complex de msuri tehnico-organizatorice, (de ex. acte normative, proceduri interne, resurse umane, procese TI, resurse i servicii TI etc.) i orientat spre atingerea obiectivelor de asigurare a securitii informaiei n cadrul bncii; Serviciu TI - serviciu furnizat unei entiti (ex. aplicaie, proces, utilizator etc.), bazat pe utilizarea Tehnologiilor Informaionale. Echipamentul TI tehnica de calcul, de comunicaie, alte mijloacele tehnice ale SI al bncii. Resurse orice prezint valoare pentru banc, inclusiv informaia; Resurse informaionale orice informaie utilizat n cadrul proceselor de activitate a bncii, sau orice bun material sau nematerial implicat direct sau indirect n crearea, procesarea, stocarea i accesarea informaiei n cadrul proceselor de activitate (de exemplu: date, aplicaii program, soft de sistem, echipamente de calcul, alte elemente de infrastructur); Resurs informaional sensibil resursa informaional, compromiterea securitii creia poate implica riscuri majore pentru banc. Infrastructura TI totalitatea mijloacelor software i hardware inclusiv serviciile TI, destinate asigurrii funcionrii sistemului informaional. Reea intern a bncii totalitatea echipamentelor i canalelor tehnice de comunicare ntre componentele infrastructurii TI n cadrul bncii. Zona Demilitarizat - o parte a reelei (fizic i/sau logic delimitat) n cadrul creia sunt amplasate acele servicii ale bncii ce acceseaz sau pot fi accesate din afara reelei interne a bncii (de obicei din cadrul unui extranet sau din cadrul reelei Internet) i are rolul de a separa resursele accesibile din exteriorul reelei de celelalte resurse interne, n scopul prevenirii accesului nesancionat la resursele TI din reelele publice. 3 Gestiunea resurselor informaionale totalitatea aciunilor direcionate la atingerea scopurilor predefinite, inclusiv aferent asigurrii securitii acestor resurse. Eveniment de securitate situaie identificat n legtur cu un sistem, un serviciu sau o reea, care implic o posibil nclcare a politicii de securitate a informaiei, un eec al msurilor de securitate, sau informaie ignorat anterior, dar relevant din punct de vedere al securitii. Incident de securitate a informaiei un eveniment sau o serie de evenimente de securitate a informaiei care au o probabilitate semnificativ de a compromite activitile bncii i de a aduce ameninri securitii informaiei. Staie de lucru componenta SI al bncii cu ajutorul creia utilizatorul acceseaz, creeaz, prelucreaz datele de lucru conform atribuiilor de serviciu. Tehnic de calcul componentele SI al bncii utilizate pentru accesarea, pstrarea i prelucrarea datelor de lucru (servere, stocuri de date, staii de lucru, imprimante, scanere etc.). Administrator angajat, care conform funciilor de serviciu este responsabil de gestionarea resurselor TI ale SI al bncii. Utilizator angajat al bncii sau a unei tere pri, nregistrat n cadrul SI al bncii i autorizat s utilizeze resursele i serviciile sistemului informaional al bncii. Posesor al datelor subdiviziunea sau utilizatorul care poart rspundere primar pentru corectitudinea, integritatea i confidenialitatea datelor. Posesor al resurselor informaionale subdiviziunea ce deine n posesia sa resursele informaionale din cadrul SI al bncii i care poart responsabilitate primar pentru securitatea lor. Zon de securitate mediu controlat i monitorizat n scopul evitrii aciunilor nesancionate. Zona utilizatorului mediu situat n afara zonei de securitate n care se utilizeaz resursele informaionale ale bncii (de exemplu, utilizarea calculatoarelor portabile n afara sediului bncii). Informaie public totalitatea datelor aferente activitii bncii supus publicrii conform actelor normative sau care pot fi publicate fr a implica riscuri de securitate.
III. Cadrul de organizare a securitii informaiei 3.1. Politica de securitate a informaiei Obiectiv: s asigure orientarea general de management i sprijinul pentru securitatea informaiei n conformitate cu cerinele de afacere, legislaia i actele normative aplicabile. 3.1.1. Consiliul bncii elaboreaz i aprob documentul de politic a securitii informaiei. Politica de securitate se public i se comunic tuturor angajailor i terelor pri relevante. 3.1.2. Politica de securitate se revizuiete anual sau atunci cnd apar schimbri semnificative la nivelul SI sau reglementrilor aferente. 3.2. Organizarea SMSI Obiectiv: s asigure cadrul intern adecvat pentru managementul securitii informaiei. 4 3.2.1. SMSI al bncii se stabilete, implementeaz, opereaz, monitorizeaz, revizuiete, menine i mbuntete n cadrul unui proces continuu de tipul Planific- Implementeaz-Verific-mbuntete (Plan-Do-Check-Act). 3.2.2. Consiliul bncii asigur suportul necesar aferent implementrii i meninerii unui SMSI eficient. 3.2.3. Consiliul bncii numete i desemneaz responsabilitatea pentru coordonarea procesului de management al securitii informaiei la nivel de banc (ofier pe securitatea informaiei). 3.2.4. Organizarea SMSI se efectueaz cu implicarea tuturor subdiviziunilor bncii, n scopul asigurrii unei abordri complexe i multidisciplinare a cerinelor de securitate. 3.2.5. Toate rolurile i responsabilitile pentru securitatea informaiei se definesc n mod adecvat i clar, se comunic i sunt asumate n cadrul bncii. 3.2.6. n scopul consolidrii culturii organizatorice cu privire la securitatea informaiei, banca ncurajeaz i asigur condiiile necesare pentru meninerea de contacte corespunztoare cu grupurile specializate de interes i cu asociaiile profesionale n domeniul securitii informaiei. 3.2.7. SMSI al bncii se supune unei revizuiri independente cel puin o dat n an, n scopul asigurrii funcionrii lui corespunztoare. 3.3. Relaia cu terele pri Obiectiv: s asigure securitatea informaiei n relaia cu terele pri care presteaz sau beneficiaz de servicii ce implic informaia bncii. 3.3.1. Banca asigur c riscurile pentru informaia din cadrul bncii i pentru sistemele de procesare a informaiei din cadrul proceselor de afacere care implic pri din afara bncii se identific, iar nainte de acordarea accesului sau iniierea relaiei, se implementeaz msuri de securitate corespunztoare. 3.3.2. Banca asigur c orice relaie cu o ter parte, care presupune accesul la resursele informaionale se iniiaz i se conduce n baza unui acord semnat ntre pri, care s acopere toate riscurile de securitate identificate. 3.3.3. Banca se asigur c tera parte cu care iniiaz o relaie de afacere are capacitatea de a gestiona corespunztor riscurile de securitate i de a respecta cerinele de securitate asumate. 3.4. Externalizarea serviciilor TI Obiectiv: s asigure securitatea i continuitatea serviciilor TI externalizate ctre furnizori externi de servicii. 3.4.1. Banca asigur c dispune de politici i proceduri interne adecvate privind evaluarea, gestionarea i monitorizarea activitilor externalizate, iar sistemul de control intern, sistemul de raportare intern i funciile auditului intern sunt adaptate la specificul activitilor externalizate. 3.4.2. La externalizarea serviciilor TI de importan material, banca se asigur c prin aciunile de externalizare nu va crea o dependen operaional excesiv fa de un furnizor extern de servicii TI, astfel nct s aib capacitatea de a relua n orice moment controlul direct asupra serviciilor externalizate. 3.4.3. La externalizarea serviciilor TI de importan material, banca efectueaz o analiz complex a scenariilor de risc i elaboreaz n acest sens un plan de asigurare a 5 continuitii cu proceduri detaliate de restabilire a activitilor externalizate (inclusiv a scenariilor de revenire la producerea serviciilor cu resurse proprii, n sediul bncii).
IV. Managementul resurselor informaionale 4.1. Responsabilitatea pentru resurse Obiectiv: s asigure stabilirea i asumarea responsabilitii pentru protecia corespunztoare a resurselor informaionale ale bncii. 4.1.1. Banca asigur c resursele informaionale ale bncii sunt clar identificate, totodat fiind efectuat i meninut inventarierea lor. Registrul de eviden a resurselor este actualizat continuu, pe msura modificrilor n lista resurselor. 4.1.2. Pentru toate resursele informaionale se stabilete un posesor (persoan sau subdiviziune). n cazul n care o resurs informaional este subiectul proprietii a mai multor posesori, atunci drepturile i responsabilitile de proprietate ale posesorilor se definesc reieind din importana resursei informaionale n cadrul activitii subdiviziunii i necesitatea subdiviziunii de a controla resursa. 4.1.3. Banca stabilete i implementeaz regulile i normele privind modul de utilizare a resurselor informaionale i asigur monitorizarea, respectrii acestora. 4.1.4. Posesorul resurselor informaionale poart responsabilitate primar pentru controlul adecvat al resurselor (creare, modificare, accesare, securizare). Implementarea i operarea anumitor msuri de control aferente resurselor poate fi delegat (de ex. ctre subdiviziunea TI) i se formalizeaz obligatoriu printr-un document. Totodat, responsabilitatea primar rmne a posesorului. 4.2. Clasificarea informaiei Obiectiv: s asigure faptul c informaia beneficiaz de un nivel de protecie adecvat, proporional importanei ei, reglementrilor aplicabile i ameninrilor aferente. 4.2.1. Banca asigur c un clasificator al informaiei este definit n conformitate cu legislaia n vigoare i necesitile bncii. Informaia se clasific pentru a indica necesitatea, prioritile i gradul ei de protecie. Un sistem de clasificare a informaiei este utilizat pentru a defini un set adecvat de niveluri de protecie i a comunica necesitatea msurilor speciale de gestionare. 4.2.2. Banca asigur c informaia clasificat din cadrul SI al bncii are ataat (la afiare, tiprire i circulaie) un marcator ce va indica clasa din care face parte informaia.
V. Cerine de securitate privind resursele umane 5.1. Asigurarea securitii la angajare Obiectiv: s asigure faptul c noii angajai, terele pri, precum i reprezentanii acestora sunt corespunztor verificai nainte de acordarea accesului la sisteme, iar responsabilitile pentru securitatea informaiei sunt adecvat stabilite, comunicate i asumate. 5.1.1. Banca asigur c responsabilitile de securitate pentru noii angajai sunt comunicate la etapa de angajare. 5.1.2. Informaia despre candidaii la angajare sau angajaii transferai se supune verificrilor de rigoare, n limitele cadrului legal. Nivelul de informaie solicitat i verificat 6 trebuie s corespund responsabilitilor funcionale, tipului de informaie la care va avea acces angajatul i riscurilor aferente funciei ce va fi ocupat. 5.1.3. n scopul asigurrii secretului informaiilor confideniale, la angajarea personalului banca poate prevedea ncheierea unui acord de confidenialitate. Acordul va prevedea obligaia angajatului privind pstrarea confidenialitii informaiilor la care a obinut acces sau pe care le-au aflat, inclusiv pentru perioada de dup ncetarea activitii sau n perioada suspendrii activitii. 5.2. Instruirea Obiectiv: s asigure faptul c cerinele de securitate sunt cunoscute n msur suficient de ctre angajaii bncii, terele pri, precum i reprezentanii acestora. 5.2.1. Banca asigur c angajaii bncii, dup caz i terele pri, beneficiaz de instruire privind securitatea informaiei la un nivel corespunztor funciei, responsabilitilor i activitilor desfurate. 5.2.2. Banca asigur c cerinele de securitate i responsabilitile individuale aferente securitii informaionale sunt disponibile pentru toi angajaii bncii, iar dup caz i pentru tere pri. 5.3. Asigurarea securitii n activitatea angajailor Obiectiv: s asigure faptul c cerinele de securitate sunt respectate necondiionat de ctre angajaii bncii, terele pri, precum i de reprezentanii acestora, iar responsabilitile i rspunderea juridic ale acestora sunt stabilite i contientizate corespunztor. 5.3.1. Banca asigur c cerinele de securitate a informaiei sunt respectate necondiionat de toi angajaii bncii, precum i de tere pri, n cazul n care acestea sunt autorizate s acceseze resursele informaionale ale bncii. 5.3.2. Managementul cere i se asigur c angajaii, contractanii i reprezentanii terelor pri cunosc i respect cerinele de securitate stabilite prin politicile i procedurile bncii. 5.3.3. Banca asigur existena unui proces formal disciplinar pentru angajaii care produc o nclcare a securitii informaiei. 5.4. ncetarea activitii sau schimbarea locului de munc Obiectiv: s asigure faptul c angajaii, terele pri, precum i reprezentanii acestora nceteaz relaia cu banca ntr-o manier controlat din punct de vedere al riscurilor de securitate. 5.4.1. Banca asigur c responsabilitile i procedurile aplicate la ncetarea contractului de munc sau schimbarea locului de munc sunt n mod clar stabilite. 5.4.2. Angajaii i terele pri, la ncetarea contractului de munc sau la schimbarea locului de munc, napoiaz resursele ncredinate, iar drepturile de acces avute sunt revocate sau revizuite. 5.4.3. La concedierea angajailor ce au deinut acces administrativ la sistemele bncii, se blocheaz conturile deinute de acetia, iar toate parolele de administrare relevante se modific.
VI. Securitatea fizic i a mediului de lucru 6.1. Zone de securitate Obiectiv: s previn accesul fizic neautorizat, distrugerile i ptrunderile n interiorul bncii, 7 precum i accesul la resursele informaionale. 6.1.1. Securitatea de perimetru (bariere, perei, ui de intrare n baz de autentificare, sisteme de securitate etc.) este organizat pentru a forma zone de securitate i a proteja resursele informaionale critice. Securitatea de perimetru este asigurat adecvat pentru toate ncperile bncii. 6.1.2. Banca asigur c sunt clar stabilite zonele de securitate, iar mijloacele de control i nivelul de securitate aferent fiecrei zone corespunde tipului zonei de securitate, sunt determinate n funcie de cerinele de securitate ale resurselor amplasate n zona respectiv i n baza unei analize a riscurilor. 6.1.3. Banca asigur c zonele cu acces public, precum cele aferente deservirii clienilor, primirii vizitatorilor, livrrilor i ncrcrilor, sunt controlate i delimitate de restul zonelor de securitate ale bncii. 6.1.4. Banca asigur c zonele de securitate sunt dotate cu mijloace adecvate de control al accesului pentru a asigura c doar persoanele autorizate vor avea acces (ex. lacte, cartele de acces, supraveghere video, detectori efracie, etc.) 6.1.5. Banca asigur c regulile i normele de lucru i acces n zonele de securitate sunt definite i aplicate, iar drepturile de acces la zonele de securitate revizuite i rennoite n mod regulat. 6.1.6. Banca asigur c regulile de gestiune a rechizitelor de acces (chei, card-uri, coduri, etc.) sunt stabilite, comunicate i aplicate. 6.1.7. Banca asigur c vizitatorii zonelor de securitate critice sunt supravegheai sau autorizai, iar data i ora intrrii i ieirii acestora este nregistrat. 6.1.8. Banca aplic msuri pentru protecia fizic mpotriva incendiilor, inundaiilor, cutremurelor, exploziilor, revoltelor publice i a oricror forme de dezastre naturale sau produse de oameni. 6.1.9. Banca asigur c echipamentul ce asigur securitatea ncperii / localului este instalat i funcionabil (ex.: sistem de alarm incendiar, echipament de stingere a focului, detectoare de fum i temperatur etc.). 6.2. Securitatea echipamentelor Obiectiv: s previn pierderea, distrugerea, furtul sau compromiterea echipamentelor TI i ntreruperea proceselor de activitate ale bncii. 6.2.1. Banca asigur c echipamentele TI ale bncii, n funcie de importana i riscurile aferente, sunt amplasate i protejate adecvat, astfel nct s se reduc riscurile fa de ameninrile i pericolele de mediu i fa de posibilitatea de acces neautorizat. 6.2.2. Echipamentele TI se protejeaz mpotriva penelor de curent sau a altor ntreruperi n funcionarea sistemelor de suport (ex. sisteme de meninere a microclimei). 6.2.3. Pentru a asigura buna funcionare a echipamentului TI critic se monitorizeaz factorii mediului ambiant afereni acestuia. 6.2.4. Cablurile de energie i reelele de telecomunicaii purttoare de date se protejeaz fa de interceptri sau avarii. 6.2.5. Echipamentele TI se menin i se utilizeaz adecvat, n scopul asigurrii integralitii i disponibilitii lui. 8 6.2.6. Pentru echipamentele TI scoase n afara ncperilor bncii se asigur o securitate corespunztoare, inndu-se cont de riscurile aferente echipamentelor i modului de utilizare a acestora (ex. utilizarea calculatoarelor portabile). 6.2.7. Echipamentele TI, informaiile sau produsele software nu se scot n afara spaiului de lucru fr o autorizaie prealabil. 6.2.8. Toate echipamentele ce conin medii de stocare se verific minuios nainte de casare sau transmitere, pentru a asigura c orice date importante sau produse soft liceniate au fost nlturate sau suprascrise ntr-un mod ce s asigure irecuperabilitatea lor.
VII. Managementul comunicaiilor i operaiunilor 7.1. Proceduri operaionale i responsabiliti Obiectiv: s asigure operarea corect i n condiii de securitate a sistemelor de procesare a informaiei a bncii. 7.1.1. Banca asigur c procedurile de gestiune i operare a echipamentelor i sistemelor TI sunt documentate i puse la dispoziia persoanelor responsabile. De asemenea, toate procedurile de gestiune i operare se menin n stare actual, iar toate modificrile aferente lor, se autorizeaz la un nivel adecvat. 7.1.2. Banca asigur c obligaiunile funcionale i domeniile de responsabilitate sunt adecvat segregate, pentru a reduce posibilitile de utilizare abuziv a resurselor informaionale ale bncii (ex. segregarea funciilor de elaborare, testare implementare a sistemelor informatice, administrare a bazelor de date, a sistemelor de operare, a serviciilor de reea, administrarea i monitorizare altor resurse informaionale etc.). 7.1.3. Banca asigur c mediile de dezvoltare, testare i producere sunt separate pentru a reduce riscul de acces neautorizat sau de modificri neautorizate asupra mediului de producie. 7.2. Managementul serviciilor terelor pri Obiectiv: s menin un nivel corespunztor de securitate aferent serviciilor terelor pri, conform prevederilor contractuale i politicii de securitate a bncii. 7.2.1. Banca se asigur c msurile de securitate i parametrii de furnizare a serviciilor terelor pri sunt respectate de ctre teri n procesul de prestare a serviciilor. 7.2.2. Banca asigur c serviciile prestate de ctre prile tere sunt monitorizate pentru a asigura corespunderea acestora cu condiiile contractuale, politica i normele de securitate ale bncii. Rapoartele i nregistrrile furnizate de tera parte se evalueaz i se revizuiesc periodic. 7.2.3. Modificrile privind furnizarea serviciilor, inclusiv meninerea i mbuntirea politicilor existente de securitate a informaiei, procedurilor i msurilor de securitate se efectueaz n mod controlat, innd cont de rezultatele reevalurii riscurilor pentru sistemele TI i procesele de afacere. 7.3. Planificarea i acceptana sistemelor TI Obiectiv: s reduc riscurile aferente implementrii noilor sisteme i modificrilor n sistemele existente. 7.3.1. Modificrile aferente sistemelor TI se efectueaz conform unei proceduri documentate i aprobate n cadrul bncii. 9 7.3.2. Banca asigur c sistemele noi, modificrile aferente sistemelor existente i noile versiuni sunt analizate din punct de vedere al conformrii la cerinele de securitate, iar impactul lor asupra mediului de producie este evaluat nainte de implementare. 7.3.3. Criteriile de acceptare pentru sistemele noi i modificrile la sistemele existente se stabilesc n mod clar. Pn la acceptarea n producie a sistemelor noi i a modificrilor la sistemele existente, se efectueaz testri adecvate. 7.3.4. Banca asigur c utilizarea echipamentelor TI este monitorizat i optimizat, iar necesitile curente i viitoare privind capacitatea de procesare sunt estimate n scopul asigurrii performanei necesare pentru sistemele TI. 7.4. Protecia contra softului cu potenial duntor Obiectiv: s protejeze softul i informaia bncii de activitatea maliioas a viruilor de calculator. 7.4.1. Banca asigur c toate cile posibile de ptrundere a softului cu potenial duntor n SI sunt identificate i c msuri adecvate de securitate ce s asigure detectarea i prevenirea rspndirii acestuia sunt implementate. 7.4.2. Banca asigur c soluiile antivirus se actualizeaz periodic, ruleaz permanent i nu pot fi stopate neautorizat. 7.4.3. Banca asigur c utilizatorii SI al bncii cunosc normele de protecie contra softului cu potenial duntor, n scopul diminurii riscului aferent factorului uman. 7.4.4. Banca asigur c activitatea la virui n cadrul bncii, precum i funcionarea soluiilor antivirus, sunt monitorizate adecvat. 7.5. Copii de rezerv Obiectiv: s asigure integritatea i disponibilitatea informaiei bncii i a sistemelor de procesare a informaiei. 7.5.1. Banca asigur c este stabilit o politic de efectuare a copiilor de rezerv ce s asigure efectuarea regulat a copiilor de rezerv i pstrarea lor n condiii de siguran. Politica de efectuare a copiilor de rezerv trebuie s stabileasc tipul datelor, frecvena efecturii copiilor de rezerv, tipul copiilor i modalitatea de pstrare a lor, innd cont de importana informaiei, cerinele actelor normative n vigoare i rezultatele analizei de risc. 7.5.2. Copiile de rezerv se pstreaz n condiii ce s asigure integritatea i disponibilitatea lor n caz de necesitate. 7.5.3. Banca asigur c pentru toat informaia important din cadrul sistemelor bncii exist copii de rezerv pstrate n afara localului de baz. Vechimea ultimei copii de rezerv pentru acest tip de informaie nu trebuie s depeasc o sptmn. 7.5.4. Banca asigur c copii de rezerv pentru softul de sistem i softul aplicativ din cadrul SI al bncii sunt efectuate regulat. Regulile de efectuare a copiilor de rezerv sunt stabilite astfel, nct n caz de necesitate s fie restabilite ultimele versiuni ale softului aflat n utilizare n momentul incidentului. 7.5.5. Banca asigur c copii de rezerv pentru toat documentaia n form electronic a bncii sunt efectuate i pstrate n condiii de siguran. 7.5.6. Banca stabilete i aplic proceduri de testare a copiilor de rezerv a bncii, n scopul asigurrii integritii i disponibilitii acestora. 10 7.6. Securitatea reelelor de comunicaii electronice Obiectiv: S asigure protecia reelelor de comunicaii electronice i protecia infrastructurii de suport. 7.6.1. Banca asigur c reeaua corporativ a bncii este adecvat gestionat i controlat, pentru a asigura securitatea informaiei, sistemelor i aplicaiilor ce utilizeaz reelele de comunicaii electronice. 7.6.2. Banca asigur c cerinele de securitate aferente serviciilor TI prestate prin intermediul reelei, sunt definite i implementate. 7.6.3. Banca asigur c toate conexiunile de reea ntre oficiile bncii efectuate prin intermediul reelelor terelor pri utilizeaz tehnologii de asigurare a confidenialitii i integritii datelor. 7.6.4. Securitatea de perimetru pentru reeaua corporativ a bncii se asigur prin organizarea zonei demilitarizate. Sistemele i serviciile disponibile n zona demilitarizat se protejeaz corespunztor. 7.6.5. Reeaua corporativ a bncii se divizeaz n sub-reele n scopul protejrii sistemelor, serviciilor i grupurilor de utilizatori critici. ntre sub-reelele bncii se stabilesc i se implementeaz reguli de acces corespunztoare. 7.6.6. Sisteme de prevenire i detectare a intruziunilor se utilizeaz pentru a proteja resursele reelei corporative. 7.7. Gestionarea suporturilor de informaie Obiectiv: s previn divulgarea neautorizat i modificarea informaiei, distrugerea, furtul sau pierderea suporturilor de informaie. 7.7.1. Banca asigur c toate cazurile de utilizare a suporturilor mobile de informaie n cadrul bncii sunt explicit autorizate, la baz fiind necesitile afacerii. 7.7.2. Proceduri de gestiune securizat a suporturilor mobile de informaie se stabilesc i se implementeaz n scopul asigurrii confidenialitii, disponibilitii datelor i a integritii fizice a acestora. 7.7.3. Retragerea din utilizare a suporturilor de informaie se efectueaz ntr-un mod care s asigure confidenialitatea datelor stocate pn la acel moment (ex.: distrugerea informaiei, distrugerea suporturilor). 7.7.4. Banca asigur c suporturile de informaie sunt protejate adecvat n cazul transportrii n afara bncii. Informaia sensibil pstrat pe aceste suporturi trebuie s fie criptat. 7.8. Schimbul de informaie Obiectiv: s asigure schimbul securizat de informaie i pachete soft cu terele pri, precum i n interiorul bncii. 7.8.1. Schimbul de informaii ntre banc i terele pri se efectueaz n baza unui acord semnat, ce s includ mijloacele, cerinele i responsabilitile aferente securitii informaiei. 7.8.2. Transmiterea / expedierea componentelor i modulelor produselor soft pe cale electronic se efectueaz n baza acordurilor semnate, care vor stabili i mijloacele de protecie necesar a fi implementate n scopul asigurrii confidenialitii, autenticitii i integritii mesajelor i fiierelor recepionate. 11 7.8.3. Informaia sensibil transmis n form electronic n afara bncii se protejeaz corespunztor pentru a nu permite divulgarea sau modificarea ei. 7.8.4. Proceduri i mijloace adecvate de control se implementeaz pentru a asigura schimbul securizat de informaie ntre aplicaiile program i diferite componente ale SI al bncii. 7.8.5. Banca asigur c informaia fcut public din cadrul bncii este autorizat n mod corespunztor. Informaia publicat pe pagina web oficial a bncii se protejeaz pentru a preveni modificarea neautorizat a ei. 7.9. Gestiunea mijloacelor criptografice Obiectiv: s asigure utilizarea securizat a mijloacelor de protecie criptografic a informaiei. 7.9.1. Banca stabilete politici i proceduri pentru gestiunea i utilizarea securizat a mijloacelor de protecie criptografic a informaiei, lund n considerare cerinele normative aplicabile. 7.9.2. Mijloacele criptografice se gestioneaz ntr-o manier ce s asigure integritatea lor fizic i disponibilitatea lor doar pentru persoanele autorizate. 7.9.3. Utilizarea mijloacelor criptografice n cadrul bncii se monitorizeaz continuu n scopul asigurrii utilizrii i gestiunii lor conform politicilor i procedurilor stabilite. 7.10. Managementul vulnerabilitilor Obiectiv: s previn existena vulnerabilitilor pentru resursele bncii. 7.10.1. Toate sistemele bncii se configureaz securizat, n acest scop fiind stabilite standarde de configurare securizat. 7.10.2. Proceduri formale se stabilesc n scopul urmririi noilor vulnerabiliti aferente sistemelor bncii i reacionrii corespunztoare pentru nlturarea acestora. 7.11. Monitorizarea Obiectiv: s asigure identificarea n timp util a activitilor neautorizate de accesare a informaiei i utilizare a resurselor informaionale. 7.11.1. Banca asigur c jurnalele de audit care nregistreaz activitile utilizatorului, excepiile i evenimentele de securitate a informaiei sunt formate i pstrate pentru o perioad de timp determinat pentru a facilita investigaiile viitoare i pentru monitorizarea accesului. Perioada de pstrare a jurnalelor de audit nu trebuie s fie mai mic de 12 luni. 7.11.2. Banca asigur c toate resursele informaionale importante au asociate jurnale de audit, n care s se nregistreze toate evenimentele ce pot avea impact asupra securitii resurselor informaionale. 7.11.3. Banca stabilete i implementeaz proceduri de monitorizare a utilizrii resurselor informaionale, iar rezultatele activitilor de monitorizare se nregistreaz i se revizuiesc periodic. Instrumente ce s asigure monitorizarea eficient a sistemelor i serviciilor TI trebuie s fie implementate i utilizate. 7.11.4. La stabilirea responsabilitii pentru analiza jurnalelor de audit se ine cont de necesitatea segregrii funciilor. 7.11.5. Jurnalele de audit se pstreaz i gestioneaz ntr-o manier ce s asigure integritatea i autenticitatea informaiei coninute. 12 7.11.6. Banca asigur c toate activitile utilizatorilor critici sunt nregistrate (ex. administratorul de sistem). 7.11.7. Ceasurile tuturor sistemelor din cadrul bncii se sincronizeaz cu o surs de timp precis i sigur.
VIII. Controlul accesului la resursele informaionale 8.1. Politica de control al accesului Obiectiv: s stabileasc principii adecvate pentru controlul accesului la resursele informaionale ale bncii. 8.1.1. Banca stabilete politica de control a accesului la resursele i sistemele sale, avnd la baz principiul accesului minim conform necesitilor de afacere, n scopul realizrii atribuiilor de serviciu sau a celor contractuale. 8.2. Managementul accesului utilizatorilor Obiectiv: s asigure controlul corespunztor al accesului la informaie i alte resurse informaionale ale bncii. 8.2.1. Banca asigur c este stabilit o procedur de acordare, modificare, revizuire i retragere a drepturilor de acces la toate sistemele i resursele sale. Procedura trebuie s vizeze att angajaii bncii, ct i utilizatorii terelor pri. 8.2.2. Accesul la toate resursele informaionale ale bncii se acord n strict conformitate cu necesitile de serviciu. 8.2.3. Toate cazurile de utilizare a resurselor informaionale ale bncii necesit a fi autorizate. La stabilirea drepturilor de acces se va aplica principiul este interzis tot ce nu este permis. 8.2.4. Banca asigur c toi utilizatorii si dein identificatori unici n cadrul sistemelor accesate, iar rechizitele de acces (parola, token, cheie, etc) sunt deinute sau cunoscute doar de acetia. 8.2.5. Banca stabilete politici adecvate de utilizare a parolelor pentru toate sistemele sale. 8.2.6. Banca stabilete o procedur special pentru gestiunea conturilor cu drepturi privilegiate la resursele bncii (administratori, super utilizatori, etc). Procedura va asigura pstrarea n condiii de confidenialitate a parolelor pentru conturile respective i disponibilitatea acestora n situaii de incident. 8.2.7. Banca asigur c toate parolele implicite pentru echipamentele i sistemele bncii se schimb nainte de lansarea n exploatare. 8.2.8. Toate drepturile de acces ale utilizatorilor se revizuiesc la intervale regulate, ns nu mai rar de o dat n an. 8.3. Responsabilitile utilizatorilor Obiectiv: s previn accesul neautorizat la resursele bncii, precum i furtul sau pierderea de informaii. 8.3.1. Banca asigur c utilizatorilor si li se comunic regulile de utilizare a rechizitelor de acces la sisteme i li se cere respectarea strict a acestora. 8.3.2. Utilizatorii bncii se asigur c echipamentul TI aflat n dotare este protejat n mod corespunztor. 13 8.3.3. Banca stabilete o politic de tipul birou curat, ecran protejat i o comunic tuturor utilizatorilor pentru a fi aplicat n scopul evitrii pstrrii documentelor pe biroul de lucru i lsrii staiilor de lucru neprotejate. 8.4. Controlul accesului la reea Obiectiv: s protejeze informaia i serviciile de reea. 8.4.1. Banca asigur c toate conexiunile la reeaua bncii sunt autorizate i efectuate numai dup analiza potenialului lor impact asupra securitii informaiei. 8.4.2. Banca asigur c identificarea automat a echipamentului conectat la reea este utilizat ca o metod de autentificare a conexiunilor. 8.4.3. Banca asigur c tot traficul de intrare n reeaua corporativ i de ieire din reea este corespunztor controlat de ctre banc. 8.4.4. Banca asigur c regulile de rutare a traficului intern i extern sunt stabilite pentru a implementa politica de acces la resurse i servicii. 8.4.5. Utilizarea reelelor WiFi n cadrul bncii se controleaz ntr-un mod strict. Accesul la reelele WiFi se autorizeaz n mod corespunztor. Utilizarea protocolului WEP n cadrul reelelor WiFi trebuie evitat. 8.4.6. Conexiunea la distan a utilizatorilor prin intermediul reelelor publice se autorizeaz n mod corespunztor. Banca asigur c soluii eficiente de securitate sunt utilizate pentru autentificarea nominal a utilizatorilor, limitarea accesului la resursele necesare i asigurarea confidenialitii comunicaiilor. 8.4.7. Banca asigur c utilizatorii serviciilor n reea ale bncii au acces doar la serviciile pentru care au fost autorizai n mod specific. 8.4.8. Banca asigur c accesul la interfeele de administrare pentru echipamentele de reea este limitat i corespunztor protejat. 8.5. Controlul accesului la sistemele de operare i mediile de virtualizare Obiectiv: s previn accesul neautorizat la sistemele de operare i mediile de virtualizare. 8.5.1. Banca asigur c exist proceduri i msuri de securitate care s permit accesul la sistemele de operare pe staiile utilizatorilor i pe servere doar pentru utilizatorii autorizai. 8.5.2. Banca implementeaz msuri de securitate care s asigure: identificarea i autentificarea utilizatorului, nregistrarea evenimentelor de securitate (de ex. accesrilor reuite sau nereuite ctre sistem), limitarea accesului la resursele autorizate (de ex. sistemul de fiiere local, aplicaiile instalate, porturi i echipamente periferice). 8.5.3. Banca asigur c mediile de virtualizare sunt implementate n baza unei analize de risc, ntr-o manier ce s previn compromiterea sistemelor i a serviciilor gzduite. 8.5.4. Pentru staiile de lucru critice i calculatoarele portabile banca asigur securitate suplimentar (de ex.: parol power on, utilizarea cartelei de acces, criptare, etc.). 8.5.5. Banca asigur c drepturile utilizatorilor la nivelul sistemelor de operare corespund necesitilor de serviciu. Instalarea i rularea utilitarelor de sistem nu trebuie s fie permis. 8.5.6. Banca asigur c utilizarea aplicaiilor i serviciilor de sistem care asigur dirijarea la distan a staiilor de lucru este limitat i strict monitorizat. 14 8.5.7. Instalarea de aplicaii program pe staiile de lucru ale utilizatorilor se efectueaz doar de persoanele responsabile. 8.6. Accesul la aplicaii i informaii Obiectiv: s previn accesul neautorizat la informaia deinut n sistemele de aplicaii. 8.6.1. Accesul la funciile sistemelor de aplicaii i informaia din sisteme se restricioneaz n conformitate cu politica de control al accesului stabilit n banc. 8.6.2. Banca asigur c sistemele de aplicaii dispun de msuri de protecie suficiente i eficiente n scopul limitrii accesului doar pentru utilizatorii autentificai i doar n limita drepturilor autorizate.
IX. Achiziionarea, dezvoltarea i mentenan sistemelor de aplicaii 9.1. Cerinele de securitate pentru sistemele aplicative Obiectiv: s asigure c cerinele de securitate sunt considerate la planificarea, elaborarea, implementarea i modificarea sistemelor de aplicaii. 9.1.1. Banca asigur c cerinele pentru noile sisteme sau pentru mbuntirea sistemelor existente cuprind n mod specific cerinele de securitate. 9.2. Procesarea corect a datelor n cadrul aplicaiilor Obiectiv: s previn erorile, pierderile, modificrile neautorizate sau folosirea greit a informaiilor n cadrul aplicaiilor. 9.2.1. Datele de intrare ale aplicaiilor se valideaz pentru a se asigura c aceste date sunt corecte i corespunztoare. 9.2.2. n cadrul aplicaiilor se implementeaz verificri de validare pentru a detecta orice modificare a informaiei prin procesare eronat sau prin acte deliberate. 9.2.3. Banca asigur c cerinele pentru integritatea mesajelor electronice n cadrul aplicaiilor sunt stabilite i msuri de securitate corespunztoare sunt identificate i implementate. 9.2.4. Datele de ieire din cadrul aplicaiilor se valideaz pentru a se asigura c procesarea informaiei stocate este corect. 9.2.5. Toate activitile importante n cadrul sistemelor aplicative se nregistreaz pentru a asigura monitorizarea utilizrii sistemului aplicativ. 9.3. Securitatea fiierelor de sistem Obiectiv: s asigure securitate fiierelor de sistem pentru aplicaii. 9.3.1. Banca asigur c toate modificrile aferente mediului de operare pentru sistemele de aplicaii sunt strict controlate. Orice modificare n prealabil se testeaz i se autorizeaz. 9.3.2. Mediile de operare pentru sistemele de aplicaii critice se izoleaz de alte medii, pentru a evita compromiterea securitii lor n rezultatul compromiterii securitii sistemelor mai puin critice. 9.3.3. Banca asigur c accesul la codurile surs ale sistemelor de aplicaii este strict limitat. 9.3.4. Fiierele de configuraie ale sistemelor de aplicaie se protejeaz corespunztor. Parolele existente n fiierele de configuraie se cripteaz. 15 9.4. Securitatea n procesul de dezvoltare i de suport Obiectiv: s menin securitatea sistemelor de aplicaii. 9.4.1. Banca stabilete o procedur formal pentru implementarea controlat a tuturor modificrilor aferente sistemelor de aplicaii. 9.4.2. Datele de testare se selecteaz, protejeaz i controleaz n mod adecvat. 9.4.3. Banca asigur c accesul la mediul de producie pentru persoanele ce particip la elaborarea sistemelor, este limitat. Toate modificrile aferente aplicaiilor program din mediul de producie se testeaz i autorizeaz. 9.4.4. Aplicaiile critice, n cazul modificrilor n componentele hard sau aferente mediului de operare, se testeaz pentru a se asigura c nu exist impact advers asupra funcionrii acestora. 9.4.5. Elaborarea sistemelor de aplicaii de ctre tere pri se efectueaz n baza acordurilor formale ntre pri i n baza unui proces documentat ce corespunde politicilor stabilite de banc. 9.4.6. Banca asigur c toate sistemele aplicative, dezvoltate intern sau achiziionate din exterior, sunt adecvat documentate.
X. Managementul incidentelor de securitate a informaiei 10.1. Identificarea i raportarea incidentelor Obiectiv: s asigure identificarea i reacionarea n timp util la incidentele de securitate a informaiei. 10.1.1. Banca stabilete o procedur formal privind managementul incidentelor de securitate a informaiei. 10.1.2. Pentru raportarea n timp util a incidentelor de securitate a informaiei, banca asigur un singur punct de contact pentru toi utilizatorii bncii, la care acetia vor fi instruii s raporteze ct mai curnd orice incident sau problem legat de utilizarea sistemelor i tehnologiilor bncii. 10.1.3. Toi angajaii, contractanii i utilizatorii teri ai sistemelor i serviciilor informaionale se instruiesc pentru a raporta orice vulnerabilitate de securitate observat sau suspectat n cadrul sistemelor sau a serviciilor. 10.2. Reaciunea la incidentele de securitate Obiectiv: s asigure reaciunea corespunztoare la incidentele de securitate. 10.2.1. Banca asigur c responsabilitile i procedurile de reaciune la incidentele de securitate sunt explicit stabilite n cadrul bncii, pentru a asigura un rspuns rapid, eficient i sistematic la incidentele de securitate a informaiei. 10.2.2. Probele aferente incidentelor de securitate se colecteaz i pstreaz n condiii de siguran n scopul investigrii incidentelor i asigurrii suportului n cazul eventualelor aciuni legale legate de incidentele petrecute. 10.2.3. Banca asigur un proces de analiz a incidentelor de securitate i nvarea din acestea, pentru a nu admite repetarea incidentelor similare. 10.2.4. Banca asigur nregistrarea, documentarea complet i raportarea incidentelor de securitate. 16
XI. Managementul continuitii activitii 11.1. Planificarea continuitii afacerii Obiectiv: s minimizeze impactul ntreruperilor n sisteme i servicii asupra proceselor de activitate ale bncii. 11.1.1. Banca definete i implementeaz un proces complex de planificare a continuitii activitii i restabilire a sistemelor TI n situaii de incident. 11.1.2. Banca elaboreaz, testeaz, aprob i menine n stare actual un plan de continuitate a afacerii i de restabilire n situaii de incident. 11.1.3. Planul de continuitate a afacerii se elaboreaz n baza unei analize la impact asupra proceselor de activitate ale bncii provocat de riscurile de securitate a informaiei. 11.1.4. Planul de continuitate a afacerii se revizuiete cel puin anual. 11.2. Restabilirea sistemelor TI Obiectiv: s asigure restabilirea sistemelor i serviciilor n termeni i condiii acceptabile pentru afacere. 11.2.1. Cerinele afacerii pentru nivelul de continuitate i restabilire a sistemelor i serviciilor TI se stabilesc i se aprob n cadrul bncii (ex. timpul de restabilire, momentul restabilirii datelor, etc). 11.2.2. Banca asigur proceduri documentate de restabilire a sistemelor i serviciilor critice conform necesitilor afacerii. 11.2.3. Procedurile de restabilire se testeaz la intervale regulate, sau ori de cte ori sunt efectuate modificri importante aferente sistemelor i serviciilor. Testele trebuie s asigure c toi angajaii antrenai n procesul de restabilire sunt contieni de aciunile efectuate. 11.2.4. Banca asigur un local de rezerv i infrastructura necesar pentru restabilirea sistemelor i serviciilor critice n situaii de incident major. 11.2.5. Banca asigur c localul de rezerv nu este expus acelorai riscuri precum localul de baz i dispune de capacitile necesare pentru susinerea procesului de restabilire.
XII. Conformitatea 12.1. Conformitatea cu cerinele legale i regulatorii Obiectiv: s evite nclcarea actelor normative ce in de securitatea informaiei. 12.1.1. Banca identific i este la curent cu toate modificrile aferente actelor normative aplicabile n sfera securitii informaiei. 12.1.2. Banca se asigur c nu ncalc actele normative la utilizarea produselor ce pot fi subiect al drepturilor de autor (ex. produse soft, materiale, etc). 12.1.3. Banca asigur protecia corespunztoare a datelor cu caracter personal n conformitate cu actele normative. Considerate trebuie s fie att datele personale ale clienilor, ct i datele angajailor bncii.
17 XIII. Securitatea datelor de carduri bancare 13.1. Securitatea datelor de carduri n posesia bncii Obiectiv: s asigurare respectarea actelor normative ce in de securitatea datelor de carduri bancare. 13.1.1. Banca asigur c este efectuat o analiz de risc pentru utilizarea cardurilor bancare n cadrul serviciilor oferite de banc clienilor si. 13.1.2. Banca asigur c standardul PCI DSS este luat n considerare la asigurarea unui cadru de control al securitii datelor cardurilor bancare accesate, procesate i transmise de banc.
XIV. Auditul intern al securitii informaiei 14.1. Planificarea i organizarea auditului Obiectiv: s asigure organizarea i planificarea eficient a auditului intern al securitii informaiei. 14.1.1. Banca asigur c auditorii interni TI sunt independeni n raport cu responsabilitile operaionale aferent ariilor de audit TI. 14.1.2. Planul de audit TI se elaboreaz n baza unei analize a riscurilor pentru toate sistemele, serviciile, procesele TI i a proiectelor planificate sau derulate. 14.1.3. Banca asigur c toate sistemele i serviciile TI utilizate n cadrul proceselor de activitate de baz vor fi supuse auditului cel puin o dat n trei ani. Suplimentar, se asigur c audite ale eficienei i eficacitii proceselor TI importante sunt efectuate. 14.1.4. Auditul intern al SMSI al bncii se efectueaz cel puin anual.