Documente Academic
Documente Profesional
Documente Cultură
Recomandri
cu privire la obiectivele de control i msurile de securitate ale
Sistemului de Management al Securitii Informaiei n bnci
I.
Prevederi generale
emis de
e. Payment Card Industry Data Security Standard, emis de Payment Card Industry Data
Security Council (https://www.pcisecuritystandards.org).
1.3. n scopul stabilirii, implementrii, operrii, monitorizrii, revizuirii, meninerii i
mbuntirii propriilor Sisteme de Management al Securitii Informaiei (n continuare SMSI), bncile pot aplica prezentele Recomandri, precum i alte surse metodologice din
domeniul securitii informaiei.
II. Termeni i definiii
n sensul prezentului document, se aplic urmtoarele noiuni:
Securitatea informaiei pstrarea confidenialitii, integritii i disponibilitii
informaiei n orice form a sa (electronic, pe suport hrtie, etc.) i protejarea resurselor
implicate la gestiunea acesteia, n plus, alte proprieti precum autenticitatea, responsabilitatea,
non-repudierea i fiabilitatea pot fi de asemenea implicate.
3.1.2.
Politica de securitate se revizuiete anual sau atunci cnd apar schimbri semnificative
la nivelul SI sau reglementrilor aferente.
3.2.1.
3.2.2.
Consiliul bncii asigur suportul necesar aferent implementrii i meninerii unui SMSI
eficient.
3.2.3.
3.2.4.
3.2.5.
3.2.6.
3.2.7.
SMSI al bncii se supune unei revizuiri independente cel puin o dat n an, n scopul
asigurrii funcionrii lui corespunztoare.
Banca asigur c riscurile pentru informaia din cadrul bncii i pentru sistemele de
procesare a informaiei din cadrul proceselor de afacere care implic pri din afara
bncii se identific, iar nainte de acordarea accesului sau iniierea relaiei, se
implementeaz msuri de securitate corespunztoare.
3.3.2.
Banca asigur c orice relaie cu o ter parte, care presupune accesul la resursele
informaionale se iniiaz i se conduce n baza unui acord semnat ntre pri, care s
acopere toate riscurile de securitate identificate.
3.3.3.
Banca se asigur c tera parte cu care iniiaz o relaie de afacere are capacitatea de a
gestiona corespunztor riscurile de securitate i de a respecta cerinele de securitate
asumate.
3.4.2.
3.4.3.
Banca asigur c resursele informaionale ale bncii sunt clar identificate, totodat fiind
efectuat i meninut inventarierea lor. Registrul de eviden a resurselor este
actualizat continuu, pe msura modificrilor n lista resurselor.
4.1.2.
4.1.3.
4.1.4.
4.2.2.
Banca asigur c informaia clasificat din cadrul SI al bncii are ataat (la afiare,
tiprire i circulaie) un marcator ce va indica clasa din care face parte informaia.
V.
5.1.2.
5.2. Instruirea
Obiectiv: s asigure faptul c cerinele de securitate sunt cunoscute n msur suficient de ctre
angajaii bncii, terele pri, precum i reprezentanii acestora.
5.2.1.
Banca asigur c angajaii bncii, dup caz i terele pri, beneficiaz de instruire
privind securitatea informaiei la un nivel corespunztor funciei, responsabilitilor i
activitilor desfurate.
5.2.2.
5.3.2.
5.3.3.
Banca asigur existena unui proces formal disciplinar pentru angajaii care produc o
nclcare a securitii informaiei.
5.4.2.
5.4.3.
6.1.2.
Banca asigur c sunt clar stabilite zonele de securitate, iar mijloacele de control i
nivelul de securitate aferent fiecrei zone corespunde tipului zonei de securitate, sunt
determinate n funcie de cerinele de securitate ale resurselor amplasate n zona
respectiv i n baza unei analize a riscurilor.
6.1.3.
Banca asigur c zonele cu acces public, precum cele aferente deservirii clienilor,
primirii vizitatorilor, livrrilor i ncrcrilor, sunt controlate i delimitate de restul
zonelor de securitate ale bncii.
6.1.4.
6.1.5.
6.1.6.
Banca asigur c regulile de gestiune a rechizitelor de acces (chei, card-uri, coduri, etc.)
sunt stabilite, comunicate i aplicate.
6.1.7.
6.1.8.
6.1.9.
6.2.2.
6.2.3.
6.2.4.
6.2.5.
6.2.6.
6.2.7.
6.2.8.
7.1.2.
7.1.3.
7.2.2.
Banca asigur c serviciile prestate de ctre prile tere sunt monitorizate pentru a
asigura corespunderea acestora cu condiiile contractuale, politica i normele de
securitate ale bncii. Rapoartele i nregistrrile furnizate de tera parte se evalueaz i
se revizuiesc periodic.
7.2.3.
7.3.2.
7.3.3.
7.3.4.
7.4.2.
7.4.3.
7.4.4.
7.5.2.
7.5.3.
Banca asigur c pentru toat informaia important din cadrul sistemelor bncii exist
copii de rezerv pstrate n afara localului de baz. Vechimea ultimei copii de rezerv
pentru acest tip de informaie nu trebuie s depeasc o sptmn.
7.5.4.
Banca asigur c copii de rezerv pentru softul de sistem i softul aplicativ din cadrul
SI al bncii sunt efectuate regulat. Regulile de efectuare a copiilor de rezerv sunt
stabilite astfel, nct n caz de necesitate s fie restabilite ultimele versiuni ale softului
aflat n utilizare n momentul incidentului.
7.5.5.
7.5.6.
7.6.2.
7.6.3.
Banca asigur c toate conexiunile de reea ntre oficiile bncii efectuate prin
intermediul reelelor terelor pri utilizeaz tehnologii de asigurare a confidenialitii
i integritii datelor.
7.6.4.
7.6.5.
7.6.6.
7.7.2.
7.7.3.
7.7.4.
Schimbul de informaii ntre banc i terele pri se efectueaz n baza unui acord
semnat, ce s includ mijloacele, cerinele i responsabilitile aferente securitii
informaiei.
7.8.2.
10
7.8.3.
7.8.4.
7.8.5.
Banca asigur c informaia fcut public din cadrul bncii este autorizat n mod
corespunztor. Informaia publicat pe pagina web oficial a bncii se protejeaz pentru
a preveni modificarea neautorizat a ei.
7.9.2.
7.9.3.
Toate sistemele bncii se configureaz securizat, n acest scop fiind stabilite standarde
de configurare securizat.
7.10.2.
7.11. Monitorizarea
Obiectiv: s asigure identificarea n timp util a activitilor neautorizate de accesare a informaiei
i utilizare a resurselor informaionale.
7.11.1.
7.11.2.
7.11.3.
7.11.4.
7.11.5.
11
7.11.6.
7.11.7.
8.2.2.
8.2.3.
8.2.4.
8.2.5.
Banca stabilete politici adecvate de utilizare a parolelor pentru toate sistemele sale.
8.2.6.
8.2.7.
8.2.8.
8.3.2.
12
8.3.3.
Banca stabilete o politic de tipul birou curat, ecran protejat i o comunic tuturor
utilizatorilor pentru a fi aplicat n scopul evitrii pstrrii documentelor pe biroul de
lucru i lsrii staiilor de lucru neprotejate.
Banca asigur c toate conexiunile la reeaua bncii sunt autorizate i efectuate numai
dup analiza potenialului lor impact asupra securitii informaiei.
8.4.2.
8.4.3.
Banca asigur c tot traficul de intrare n reeaua corporativ i de ieire din reea este
corespunztor controlat de ctre banc.
8.4.4.
Banca asigur c regulile de rutare a traficului intern i extern sunt stabilite pentru a
implementa politica de acces la resurse i servicii.
8.4.5.
Utilizarea reelelor WiFi n cadrul bncii se controleaz ntr-un mod strict. Accesul la
reelele WiFi se autorizeaz n mod corespunztor. Utilizarea protocolului WEP n
cadrul reelelor WiFi trebuie evitat.
8.4.6.
8.4.7.
Banca asigur c utilizatorii serviciilor n reea ale bncii au acces doar la serviciile
pentru care au fost autorizai n mod specific.
8.4.8.
8.5.2.
8.5.3.
Banca asigur c mediile de virtualizare sunt implementate n baza unei analize de risc,
ntr-o manier ce s previn compromiterea sistemelor i a serviciilor gzduite.
8.5.4.
8.5.5.
8.5.6.
13
8.5.7.
8.6.2.
Banca asigur c cerinele pentru noile sisteme sau pentru mbuntirea sistemelor
existente cuprind n mod specific cerinele de securitate.
Datele de intrare ale aplicaiilor se valideaz pentru a se asigura c aceste date sunt
corecte i corespunztoare.
9.2.2.
9.2.3.
9.2.4.
9.2.5.
9.3.2.
Mediile de operare pentru sistemele de aplicaii critice se izoleaz de alte medii, pentru
a evita compromiterea securitii lor n rezultatul compromiterii securitii sistemelor
mai puin critice.
9.3.3.
Banca asigur c accesul la codurile surs ale sistemelor de aplicaii este strict limitat.
9.3.4.
14
9.4.2.
9.4.3.
9.4.4.
9.4.5.
9.4.6.
Banca asigur c toate sistemele aplicative, dezvoltate intern sau achiziionate din
exterior, sunt adecvat documentate.
X.
10.1.2.
10.1.3.
10.2.2.
10.2.3.
10.2.4.
15
11.1.2.
11.1.3.
11.1.4.
11.2.2.
11.2.3.
Procedurile de restabilire se testeaz la intervale regulate, sau ori de cte ori sunt
efectuate modificri importante aferente sistemelor i serviciilor. Testele trebuie s
asigure c toi angajaii antrenai n procesul de restabilire sunt contieni de aciunile
efectuate.
11.2.4.
11.2.5.
Banca asigur c localul de rezerv nu este expus acelorai riscuri precum localul de
baz i dispune de capacitile necesare pentru susinerea procesului de restabilire.
XII. Conformitatea
12.1. Conformitatea cu cerinele legale i regulatorii
Obiectiv: s evite nclcarea actelor normative ce in de securitatea informaiei.
12.1.1.
12.1.2.
12.1.3.
16
Banca asigur c este efectuat o analiz de risc pentru utilizarea cardurilor bancare n
cadrul serviciilor oferite de banc clienilor si.
13.1.2.
Banca asigur c standardul PCI DSS este luat n considerare la asigurarea unui cadru
de control al securitii datelor cardurilor bancare accesate, procesate i transmise de
banc.
14.1.2.
Planul de audit TI se elaboreaz n baza unei analize a riscurilor pentru toate sistemele,
serviciile, procesele TI i a proiectelor planificate sau derulate.
14.1.3.
14.1.4.
17