Ghid Indrumare Aplicare Norma 6-2015

1

GHID DE NDRUMARE

a implementrii activitilor desfurate de ctre entiti n aplicarea Normei privind

gestionarea riscurilor operaionale generate de sistemele informatice utilizate de entitile

reglementate, autorizate/avizate i/sau supravegheate de Autoritatea de Supraveghere

Financiar

I. Domeniul de aplicare

Prezentul ghid de ndrumare cuprinde detalii i parametrii, n conformitate cu prevederile art.7 alin. (2) din Norma A.S.F. nr. 6/2015 privind gestionarea riscurilor operaionale generate de sistemele informatice utilizate de entitile reglementate, autorizate/avizate i/sau supravegheate de Autoritatea de Supraveghere Financiar, referitoare la modalitatea de implementare corespunztoare a activitilor desfurate de ctre entiti n aplicarea acesteia.

Prezentul ghid stabilete modul n care este aplicat Norma A.S.F. nr. 6/2015 cu privire la practicile adecvate referitoare la activitile desfurate de ctre entitile reglementate, autorizate/avizate i supravegheate de A.S.F., aa cum sunt acestea prevzute n anexa nr.2 a acestei norme.

Aceste ghiduri se refer la urmtoarele activiti: A. Evaluarea intern a riscului operaional i registrul riscurilor B. Organizarea pe procese a activitilor aferente utilizrii tehnologiei informaiei:

1. Managementul disponibilitii; 2. Managementul utilizatorilor; 3. Managementul incidentelor; 4. Managementul schimbrii; 5. Managementul capacitii; 6. Managementul configuraiilor; 7. Managementul nivelurilor de servicii; 8. Managementul securitii; 9. Managementul continuitii.

C. Punctele de control i msurare: 1. Controale generale; 2. Controale la nivelul programelor informatice; 3. Controale de flux financiar.

D. Elementele de control tip indicatori de performan (KPI) pe procese E. Indicatorii cheie de risc (KRI) afereni punctelor de control F. Managementul Securitii Sistemelor Informatice i de Comunicaii:

1. Msuri organizatorice; 2. Proceduri de securitate; 3. Evaluarea intern de securitate; 4. Plan de cooperare n domeniul securitii sistemelor i a informaiei.

II. Modalitatea de aplicare

Entitile reglementate, autorizate/avizate i supravegheate de A.S.F. vor ncorpora prezentele ghiduri n activitatea lor curent, n funcie de categoria de risc n care sunt ncadrate conform Normei A.S.F. nr. 6/2015 i n conformitate cu natura, dimensiunea i complexitatea activitilor desfurate.

2

III. Ghiduri de implementare

A. Evaluarea intern a riscurilor operaionale i registrul riscurilor

A.1) Entitile i evalueaz intern riscurile operaionale generate de utilizarea tehnologiei informaiilor i comunicaiilor i constituie un Registru al riscurilor operaionale generate de utilizarea sistemelor informatice de ctre oameni, procese, sisteme i mediul extern. A.2) Entitile identific toate categoriile relevante de risc, le menioneaz n registrul riscurilor pe patru categorii: oameni, procese, sisteme/tehnologii i mediul extern, innd cont de riscurile activitilor externalizate ctre furnizorii de produse i servicii informatice i de comunicaii. A.3) Evaluarea de risc se efectueaz regulat, dar cel puin anual. Funcia de administrare a riscului integreaz toate riscurile semnificative pentru entitate pe o hart ce reprezint profilul de risc al entitii. Profilul de risc este analizat i discutat oricnd au loc schimbri importante n entitate. A.4) A.S.F. va publica, pana la data de 30 iunie 2015, un exemplu de metodologie privind

evaluarea interna a riscurilor care va propune i o metod de calcul aferent evalurii riscurilor, precum i un ablon pentru raportarea anual a evalurii interne a riscurilor.

B. Organizarea pe procese a activitilor aferente utilizrii tehnologiei informaiei

1) Managementul disponibilitii

B.1.1) Entitile implementeaz un proces documentat de management al disponibilitii n vederea asigurrii funcionrii sistemelor informatice pentru asigurarea serviciilor contractate de ctre clieni i a raportrilor ctre A.S.F. Activitile aferente procesului managementului disponibilitii definesc, analizeaz, planific, msoar i mbuntesc aspectele legate de disponibilitatea unui serviciu IT. B.1.2) Entitile definesc nivelurile corespunztoare referitoare la disponibilitatea serviciilor IT

(interne sau externalizate), inclusiv a centrelor de procesare i stocare date. Entitile utilizeaz

centre de date pentru a asigura un timp corespunztor de funcionare raportat la durata unui an

calendaristic echivalent unui centru de date de nivel 2.

B.1.3) Entitile contracteaz servicii cu furnizori de soluii informatice care implementeaz cel

puin standardul SR ISO/IEC 27001, precum i cerinele prevzute la art. 11alin. (1) din Norma

A.S.F. nr. 6/2015. n cazul externalizrilor n lan, cerinele trebuie s fie ndeplinite de toi

furnizorii pe lanul externalizrii.

2) Managementul utilizatorilor

B.2.1) Entitile implementeaz un proces de instruire pentru utilizatorii sistemelor informatice, astfel:

1. instruirea utilizatorilor - nstruirea individual cu privire la utilizarea sistemelor informatice este obligatorie i trebuie s se fac innd cont de responsabilitile specifice fiecrui utilizator; 2. instruirea noilor angajai - noii angajai trebuie s fie instruii obligatoriu cu privire la utilizarea sistemelor informatice n momentul angajrii. Angajaii vor semna un document prin care s se confirme faptul c au luat la cunotin politica de securitate a entitii; 3. instruirea pentru sistemele noi introduse - entitatile se angajeaz s instruiasc toi utilizatorii sistemelor nou introduse pentru a garanta faptul c acestea vor fi folosite eficient i c nu vor compromite securitatea informatic

B.2.2) Fiecare utilizator trebuie s aib un identificator unic i o parol personal secret pentru

accesul la sistemele/programele informatice ale entitii. Modul de selectare, folosire i protecie a

parolelor, ca mecanism principal de control al accesului, trebuie s se fac n conformitate cu o

politica de securitate intern. Accesul la sistemele proprii trebuie autorizat de ctre proprietarii

3

sistemelor, iar acest lucrul include drepturile de acces (sau privilegiile) acordate care trebuie

nregistrate n Listele de Control a Accesului (Access Control List). Toate privilegiile de acces la

sistemele informatice trebuie revocate imediat n momentul n care un angajat i nceteaz

activitatea n cadrul organizaiei.

B.2.3) Privilegiile acordate utilizatorilor trebuie revizuite periodic pentru a determina dac acestea

continu s fie necesare pentru ca utilizatorul s-i poat ndeplini sarcinile ce i revin. Dac nu,

aceste privilegii trebuie revocate imediat. Pentru orice conexiuni la distanta se va impune o durata

maxima de viata a conexiunii inactive.

B.2.4) Modulele de conectare n sistem trebuie configurate astfel nct s limiteze numrul de

ncercri de conectare nereuite nainte de a bloca accesul pentru utilizatorul respectiv. Pentru

deblocarea accesului, utilizatorul trebuie s ia legtura personal cu administratorul de sistem.

B.2.5) Entitile dispun de mecanisme privind gestionarea adecvat a accesului la

sistemele/programele informatice importante, care vor ine cont cel puin de urmtoarele:

1. Aplicaiile din producie la care au acces mai muli utilizatori trebuie s dispun de o

politic de control a accesului;

2. Controlul accesului la aplicaii trebuie configurat astfel nct s minimizeze riscurile

cu privire la securitatea informaiei i s permit desfurarea n bune condiii a

activitilor din cadrul organizatiei;

3. Utilizatorilor li se va permite accesul numai la comenzile i funciile sistem pe care au

dreptul s le foloseasc;

4. Accesul la informaiile cu caracter personal trebuie permis numai angajailor care au

nevoie de acest lucru pentru ndeplinirea sarcinilor ce le revin;

5. Accesul la sisteme trebuie jurnalizat i monitorizat pentru a putea identifica aciunile

de folosire necorespunztoare a acestora. Toate sistemele de calcul din producie trebuie

s dispun de jurnale de audit care s nregistreze cel puin activitile desfurate pe

parcursul unei sesiuni utilizator: ID-ul utilizatorului, data i timpul conectrii n sistem,

data i timpul deconectrii, aplicaiile apelate, modificrile efectuate asupra fiierelor

critice din sistem, adugarea sau modificarea de privilegii ale utilizatorului, precum i

momentele n care sistemul a fost pornit sau oprit.

B.2.6) Sistemele de calcul ce manipuleaz informaii confidentiale trebuie s jurnalizeze toate

evenimentele relevante din punct de vedere al securitii cum ar fi: ncercrile de conectare la

sistem, ncercrile de a folosi privilegii neautorizate, modificarea privilegiilor utilizatorilor,

modificarea aplicaiilor software din producie i modificarea software-ului de sistem.

B.2.7) Securitatea jurnalelor trebuie s fie suficient de ridicat pentru a evita dezactivarea,

modificarea, tergerea sau suprascrierea acestora. Accesul la jurnale trebuie permis numai

persoanelor autorizate.

3) Managementul incidentelor

B.3.1) Entitile implementeaz un proces documentat de management al incidentelor n vederea identificarii, colectrii, analizrii i rezolvrii incidentelor care afecteaz buna funcionare a activitii personalului propriu, a sistemelor informatice i de comunicaii, a asigurrii serviciilor ctre clieni, a raportrilor ctre A.S.F..

4) Managementul schimbrii

B.4.1) Entitile implementeaz un proces documentat de management al schimbrii n vederea asigurrii controlului asupra implementrii modificrilor/schimbrilor solicitate de planurile de afaceri i operaionale, la nivelul organizaiei, al personalului, al proceselor, al sistemelor, al

4

serviciilor IT i al operrii cu furnizorii externi. Entitile implementeaz procesul de management al schimbrii printre altele pentru asigurarea trasabilitii, transparenei, documentrii i evidenei, a reducerii erorilor i fraudelor. B.4.2) Entitile implementeaz schimbri adaptnd, dup caz, bunele practici aferente managementului de proiecte.

a) Managementul ciclului de via al programelor informatice

B.4.3) Entitile implementeaz un proces documentat de colectare a cerinelor de afaceri, de analizare a lor, de redactare a specificaiilor de afaceri i tehnice, de alocare a resurselor, de dezvoltare software a programului informatic, de testare, promovare, de suport dup implementare i de primire de noi cerine pentru modificarea celor iniiale dup ce acestea sunt deja n funciune.

b) Managementul versiunilor

B.4.4) Entitile pstreaz istoricul cu privire la procesul de versionare a aplicaiilor/sistemelor n scopul normei, pe toat perioada de utilizare a aplicaiei/sistemului. n acest sens:

1) fiecare versiune a unui program informatic va primi un cod unic;

2) testele de acceptan sunt finalizate si semnate de utilizatorii de test i de

utilizatorii finali;

3) toate versiunile trebuie aprobate naintea implementrii.

c) Managementul testrii i asigurrii calitii programelor informatice

B.4.5) Entitile testeaz sistemul informatic utilizat cu resurse umane i tehnice interne sau externe entitii.

B.4.6) Testarea se efectueaz n baza unei proceduri scrise i a unui scenariu formalizat de testare, prin care s se asigure c testarea rspunde cerinelor impuse la managementul securitaii.

5) Managementul capacitii

B.5.1) Entitile implementeaz un proces documentat privind asigurarea performanei, scalabilitii i a capacitii serviciilor IT asigurate de infrastructura informatic pentru prevenirea afectrii pariale sau totale a capacitii de procesare, stocare sau furnizare a serviciilor ctre beneficiari sau a raportrilor ctre A.S.F..

6) Managementul configuraiilor

B.6.1) Entitile implementeaz un proces documentat pentru evidena activelor tangibile i intangibile informatice i de comunicaii, inclusiv utilizatori, manuale de utilizare si documentaii ale programelor informatice.

7) Managementul nivelurilor de servicii

B.7.1) Entitile implementeaz un proces documentat privind definirea nivelurilor agreate de servicii aferente furnizorilor de servicii externalizate.

B.7.2) Entitile identific i aplic msuri de securitate pentru gestionarea accesului furnizorilor la mijloacele de procesare a datelor i la informaii. B.7.3) Entitile prevd n contractul cu furnizorului extern:

1) responsabiliti i obligaii legale;

2) cerinele de securitate sau msurile interne de securitate necesare;

5

3) responsabiliti i obligaii aferente accesrii, procesrii sau gestionrii informaiilor

entitii i a facilitilor sale de procesare a datelor;

4) responsabiliti i obligaii de planificare a perioadei de tranziie i rezolvarea

problemelor poteniale ale ntreruperii operaiunilor pe parcursul acestei perioade;

5) planificri pentru situaii neprevzute;

6) culegerea de informaii i monitorizarea privind incidentele de securitate i

managementul acestora;

7) planificarea i gestionarea tranziiei spre un acord de servicii IT externalizate i aplic

procese adecvate pentru managementul schimbrii i renegocierea/rezilierea

acordurilor.

B.7.4) Acordul de servicii externalizate prevede procedurile pentru continuarea procesrii n cazul n care furnizorul devine incapabil s mai furnizeze serviciile, pentru a se evita ntrzierea nejustificat n obinerea unor servicii nlocuitoare.

B.7.5) Acordurile de servicii externalizate pot implica i alte pri. Acordurile care ofer acces unei tere pri trebuie s includ posibilitatea de desemnare explicit a acestora, criteriile precum i condiiile pentru accesul i implicarea acestora.

8) Managementul securitii

a) Cerine generale

B.8.1)Entitile implementeaz cerinele generale de securitate astfel cum sunt prevzute la art. 8 alin. (1) din Norma A.S.F. nr. 6/2015.

B.8.2)De asemenea, entitile urmresc:(i) pstrarea la sediul propriu a documentaiei complete i actualizate, pe fiecare nivel de acces, a programelor informatice utilizate;(ii) respectarea oricror altor cerine care rezult din dispoziiile legale n vigoare, aplicabile n funcie de obiectul de activitate al entitii;

b) Teste de penetrare

B.8.3)Entitile adopt msuri pentru implementarea unui proces de testare a posibilitii de penetrare a sistemelor, cel puin din exteriorul entitii, la nivel de program informatic, sisteme de operare, baze de date, reea.

9) Managementul continuitii

B.9.1) Entitile asigur replicarea datelor i a sistemelor informatice importante. Pentru sistemele informatice importante, entitile urmresc s asigure: a) o disponibilitate ridicat, corelat cu natura, dimensiunea i complexitatea activitii, la sediul principal de procesare a entitii (propriu sau externalizat); b) un sistem de recuperare n caz de dezastru situat fie ntr-o alt locaie a entitii, fie prin intermediul unui furnizor extern de servicii, care s minimizeze riscul de dezastru natural; c) furnizorul extern de servicii trebuie s respecte cerinele de la managementul disponibilitii prevzute la cap. B.1.2) B.9.2) Funcionarea planurilor alternative de recuperare i continuitate a afacerii se testeaz periodic pe baza unor scenarii practice i reale, cu asigurarea posibilitii continurii operaiunilor pe sistemele de rezerv. B.9.3) Entitile i continu activitatea n caz de avarie sau dezastru, prin intermediul unui centru de recuperare cu reluarea activitii ntr-un interval de timp foarte scurt, definit n cadrul profilului de risc. Pentru entitile ncadrate n categoria de risc major intervalul de timp optim

6

este de dou ore. Pentru entitile ncadrate n categoria de risc important intervalul de timp optim este de dou zile. Pentru entitile ncadrate n categoria de risc mediu intervalul de timp optim este de patru zile. Pentru entitile ncadrate n categoria de risc sczut intervalul de timp optim este de cinci zile.

B.9.4) Entitile urmresc urmtoarele caracteristici ale centrului de date i ale planului de recuperare:

a) este permanent operaional, pe perioada de definire a serviciilor (numr zile pe sptmn, numr ore pe zi) i asigur serviciile IT susinute de sistemele informatice importante i definite n planul de recuperare, n timpul angajat prin registrul riscurilor i comunicat ctre A.S.F.;

b) este sincronizat cu sistemul principal pentru a se asigura acelai nivel sau un nivel de servicii cu o scdere acceptabil de servicii pentru serviciile replicate; c) asigur comutarea i continuarea activitii n locaia alternativ, n intervalul de timp prevzut n profilul de risc al entitii, evaluat i comunicat ctre A.S.F. Entitile urmresc ncadrarea n intervalul de timp optim prevzut la pct. B. 8.3). B.9.5) Entitile definesc un proces de control al incidentului n cadrul planului de continuare a activitii, prin intermediul unui plan de urgen pentru administrarea situaiei de criz.

C) Puncte de control i msurare

C.1) Entitile implementeaz urmtoarele tipuri de controaleca urmare a evalurilor proprii i, cnd este cazul:

a) controale preventive;

b) controale de avertizare.

C.2) Entitile controleaz riscurile generate de utilizarea sistemelor informatice prin: a) stabilirea de obiective de control;

b) implementarea de puncte de control de ctre entitate sau de furnizorul extern de servicii;

c) monitorizarea punctelor de control i a indicatorilor cheie de risc. n acest scop, se implementeaz att controale generale la nivelul sistemului informatic, ct i controale specifice la nivelul fiecrei componente a acestuia, dup caz. Informaiile din punctele de control vor fi colectate periodic la alegerea entitii sau cnd este cazul i vor fi pstrate la dispoziia entitii i raportate ctre A.S.F. pe baza cerinelor de raportare.

C.3) Entitile aplic proceduri operaionale n domeniul combaterii splrii banilor i finanrii terorismului, precum i regimului de sanciuni internaionale ca parte integrat a reglementrilor emise de A.S.F..

a) Controale generale

Controalele generale la nivelul entitilor sau al furnizorilor externi de servicii sunt proiectate nct informaiile financiare generate de sistemele informatice ale entitii s fie de ncredere, reale i corecte. Controalele generale includ:

a) controale referitoare la sincronizarea de timp la o referin recunoscut naional sau

internaional;

b) controale asupra operrii centrului de date;

c) controale asupra sistemelor de aplicaii;

d) controale asupra securitii accesului;

e) controale asupra dezvoltrii, administrrii i ntreinerii programelor informatice.

Controalele generale includ i verificarea existenei i aplicrii unei strategii de informatizare, a politicilor de aprobare i efectuare a achiziiilor, a externalizrilor serviciilor informatice, inclusiv prevenirea riscului sistemic datorat criminalitii informatice.

7

b) Controale programe informatice

Entitile implementeaz controale la nivelul programelor informatice prin proceduri de validare i control incluse n codul software utilizat, prin includerea punctelor de control n codul software pentru prevenirea i detectarea tranzaciilor neautorizate, precum i proceduri manuale de verificare a modului de procesare a tranzaciilor i a efecturii operaiunilor.

Entitile implementeaz controale aferente separrii mediului de dezvoltare a programelor informatice de mediul de testare a programelor informatice i de mediul de operare a programelor informatice. Accesul la diversele medii trebuie controlat, innd cont de exigena limitrii riscurilor i a fraudei. Controalele susin sigurana datelor i a informaiilor, separarea de atribuii n funcie de cele trei tipuri de medii, limitnd accesul persoanelor neautorizate la informaii i n mediul de operare i nregistrnd toate tentativele de acces neautorizate. Entitile asigur sigurana fizic a sistemelor hardware, software i a bazelor de date, pentru prevenirea utilizrii necorespunztoare a informaiei de ctre personalul entitii n vederea obinerii unor beneficii personale sau prejudicierea reputaiei societii.

Entitile se asigur c furnizorii de programe informatice dezvoltate la cerere de ctre entiti utilizeaz obiectivele de control recomandate de bunele practici n domeniu pentru controalele aferente programelor informatice.

c) Controale de flux financiar

Entitile implementeaz controale de flux financiar pentru verificarea periodic, din perspectiva procesrii electronice, a fluxurile de date dintre datele din contabilitate, datele din activitile operaionale, datele de la parteneri.

D) Elemente de control tip indicatori de performan (KPI) pe procese

Entitile selecioneaz i monitorizeaz indicatorii cheie de performan (KPI) pe care i consider relevani pentru procesele proprii.

E) Indicatori cheie de risc (KRI) afereni punctelor de control

E.1) Entitile urmresc riscurile operaionale din perspectiva expunerii i a schimbrilor n profilul de risc operaional prin indicatori de risc n funcie de natura, dimensiunea i complexitatea activitii. Entitile i definesc apetitului la risc prin definirea unor limite la care indicatorii de risc sunt folosii ca suport. Entitile asigur procesul de monitorizare i msur prin indicatorii cheie de risc (KRI), identificnd pierderile operaionale poteniale cauzate de deficienele legate de IT i comunicaii. E.2) Entitile i stabilesc un set de indicatori cheie de risc (KRI) afereni proceselor specificate n Norma A.S.F. nr. 6/2015, n conformitate cu categoria proprie de risc.

F) Managementul Securitii Sistemelor Informatice i de Comunicaii

Entitile care utilizeaz sisteme informatice de prelucrare automat a datelor vor elabora un set de msuri de siguran, n concordan cu legislaia n domeniu, utiliznd principiile referenialului SR ISO/CEI 27002 (fr a se solicita certificarea expres), n funcie de profilul i apetitul de risc, natura, dimensiunea i complexitatea activitii entitii i de categoria de risc alocat de ctre A.S.F. sau a solicitrii exprese a A.S.F. ctre o entitate specific, ce va include cel puin urmtoarele elemente:

8

1. Msuri organizatorice

(1) Entitile definesc i implementeaz urmtoarelor activiti, proceduri i responsabiliti:

a) politica de securitate;

b) obiectivele de securitate;

c) desemnarea responsabilului cu securitatea informaiei; d) desemnarea n cadrul entitii a personalului responsabil cu: (i) intervenia n caz de incidente; (ii) mentenana programelor informatice i a echipamentelor; (iii) recuperarea datelor n caz de dezastre;

(iv) formularea propunerilor privind modificarea regulamentelor interioare i a procedurilor de lucru, astfel nct s se asigure ndeplinirea obiectivelor de securitate.

(2) Entitile se nregistreaz obligatoriu ca operatori de date cu caracter personal conform legii.

(3) Entitile instruiesc periodic personalul angajat, inclusiv angajaii cheie, n vederea cunoaterii riscurilor generale i specifice generate de oameni, procese, sisteme i mediul extern, riscurile aferente criminalitii i a obligaiilor ce decurg din setul de msuri prevzut n prezentul ghid.

2. Proceduri de securitate

(1) Entitile dein proceduri de securitate care descriu activitile sau procesele specificate n Norma A.S.F. nr. 6/2015, conform ncadrrii n categoria de risc, care se desfoar la nivelul tuturor departamentelor.

(2) Toate documentele referitoare la procedurile de sistem vor face parte integrant din procedurile de securitate.

3. Evaluarea intern de securitate

Entitile evalueaz intern anual, sau de cte ori este nevoie, rezultatele sistemului de securitate, revizia rezultatelor i aciunile corective pentru determinarea nivelului de maturitate intern a controalelor de securitate ale entitii, conform tabelului de mai jos, care este parte integrant din evaluarea intern a riscurilor entitii respective.

Evaluare intern a maturitii controalelor de securitate Domenii ale

Securitii

Informaiei

Ratingul maturitii controalelor de securitate

0 - Ne

existent

1 - Iniial / Ad-Hoc

2 - Repetabil dar intuitiv 3 - Proces definit 4 - Controlat i msurabil

5 - Optimizat

I. Politici de

securitate

Nu au fost

stabilite

politici prin

care s se defineasc securitatea

informaional

Politicile i procedurile

nu au fost

formalizate

Au fost definite obiective,

dar acestea nu sunt clare si

concise sau, dupa caz, nu

sunt aplicabile in raport

activitatea propriu-zisa

desfasurate de entitate

Personalul

responsabil a fost

informat si instruit

cu privire la

politicile si

obiectivele

stabilite

Se aplic proceduri de

verificare a

realizrii obiectivelor

stabilite prin

politici

Politicile

corespund

exigentelor

sporite, sunt

revizuite periodic,

inclusiv in cazul

aparitiei riscurilor

semnificative

II. Securitatea

organizaionala

Nu au fost

definite

principiile

care stau la

baza

management

ului

securitii

Exist principii la nivel

informal

Au fost definite principii,

dar acestea nu sunt clare i concise sau, dupa caz, nu



desfasurata de entitate

Intreg personalul

responsabil a fost


in legatura cu

principiile

aprobate de

conducere


verificare a

respectrii principiilor

stabilite i aprobate

Procedurile sunt

revizuite si

imbunatatite

periodic, inclusiv

in cazul aparitiei

riscurilor

semnificative

III. Controlul

i clasificarea activelor

Nu au fost

definite

proceduri de

securitate i

Procedurile de

securitate i siguran a

activelor sunt

A fost stabilita modalitatea

de control, dar acestea nu se

efectueaza in mod concret

Persoanele

responsabile au

fost informate in

raport cu

Persoanele

responsabile

aplic adecvat procedurile de

Procedurile de

securitate i siguran a

activelor sunt

9

Domenii ale

Securitii

Informaiei


0 - Ne

existent

1 - Iniial / Ad-Hoc


5 - Optimizat

siguran a activelor

aplicate

informal

procedurile de

securitate i siguran a activelor

securitate i siguran a activelor

revizuite i modificate

periodic, inclusiv

in cazul aparitiei

riscurilor

semnificative

IV.

Securitatea

personalului

Nu au fost

definite

principiile

care stau la

baza

management

ului

securitii si incidentelor

Exist principii la doar la nivel

informal

Au fost definite principii,





Asupra principiilor

aprobate de

conducere a fost


ntreg personalul

responsabil


verificare a



Procedurile sunt

revizuite si

imbunatatite

periodic, inclusiv

in cazul aparitiei

riscurilor

semnificative

V. Securitatea

fizica i de

mediului de

lucru

Nu au fost

definite

planuri/

proceduri de

securiate

Exist politici si proceduri

doar la nivel

informal

Au fost definite proceduri,





Asupra

procedurilor

aprobate de

conducere a fost


ntreg personalul

responsabil


verificare a



Procedurile sunt

revizuite periodic,

si sunt avute in

vedere concluziile

controalelor

generale

implementate in

cadrul entitatilor

VI.

Securitatea

echipamentelo

r

Nu au fost

definite

planuri/

proceduri de

securiate


doar la nivel

informal






Asupra

procedurilor

aprobate de

conducere a fost


ntreg personalul

responsabil


verificare a



Procedurile sunt

revizuite si

imbunatatite

periodic, inclusiv

in cazul aparitiei

riscurilor

semnificative

VII. Controale

generale

Nu au fost

definite

controalele

generale

pentru

gestionarea

activitii


doar la nivel

informal






Asupra

procedurilor

aprobate de

conducere a fost


ntreg personalul

responsabil


verificare

stabilite si

aprobate de

conducere, se

respecta

indicatiile privind

controalele

generale

Procedurile sunt

revizuite si

imbunatatite

periodic, inclusiv

in cazul aparitiei

riscurilor

semnificative

VIII.

Managementu

l operaiunilor

i a comunicaiilor

Nu au fost

definite

obiectivele

specifice


doar la nivel

informal






Asupra

procedurilor

aprobate de

conducere a fost


ntreg personalul

responsabil


verificare a


stabilite i aprobate de

conducere

Procedurile sunt

revizuite si

imbunatatite

periodic, inclusiv

in cazul aparitiei

riscurilor

semnificative

IX. Controlul

accesului

Nu au fost

definite

controalele

pentru

verificarea

accesului


doar la nivel

informal






Principiile care

guverneaz accesul securizat

la informaii au fost aduse la

cunostinta

personalului

responsabil, care a

fost instruit in

consecinta


verificare a


stabilite i aprobate de

conducere

Procedurile sunt

revizuite si

imbunatatite

periodic, inclusiv

in cazul aparitiei

riscurilor

semnificative

X.

ntreinerea i dezvoltarea

sistemelor

Nu au fost

definite

instrumente

i proceduri


doar la nivel

informal






Asupra

procedurilor

aprobate de

conducere a fost


ntreg personalul

responsabil

Au fost

respectate

cerintele legate

de securitate ce

trebuie avute in

vedere in fiecare

etapa a ciclului

de viata a

sistemelor

Procedurile sunt

revizuite si

imbunatatite

periodic, inclusiv

in cazul aparitiei

riscurilor

semnificative

10

Domenii ale

Securitii

Informaiei


0 - Ne

existent

1 - Iniial / Ad-Hoc


5 - Optimizat

XI.

Continuitatea

afacerii

Nu au fost

definite

controalele

de

management

al

continuitatii


doar la nivel

informal






Asupra

procedurilor

aprobate de

conducere a fost


ntreg personalul

responsabil


verificare a



Procedurile sunt

revizuite si

imbunatatite

periodic, inclusiv

in cazul aparitiei

riscurilor

semnificative

XII.

Conformitate

Nu au fost

definite

controalele

privind

asigurarea

conformitii


doar la nivel

informal






Asupra

procedurilor

aprobate de

conducere a fost


ntreg personalul

responsabil


verificare a



Procedurile sunt

revizuite si

imbunatatite

periodic, inclusiv

in cazul aparitiei

riscurilor

semnificative

4. Plan de cooperare

a) Entitile coopereaz n cadrul unui Plan de cooperare n domeniul securitii sistemelor i a informaiei care va fi stabilit de ctre A.S.F. itransmit date i informaii relevante n acest sens privind ameninrile, vulnerabilitile i incidentele generatoare de riscuri majore i crize, proprii sau ale furnizorilor externi, inclusiv cele de securitate cibernetic, tehnici i tehnologii folosite n rezolvarea incidentelor/crizelor, precum i bune practici pentru protecia infrastructurilor proprii, inclusiv cibernetice.

b) Entitile particip, la solicitarea A.S.F., i susin schimbul de informaii anonimizate dintre diverse echipe de rspuns la situaii de urgen, precum echipele tip CERT, utilizatori, autoriti, productori de echipamente i soluii de securitate cibernetic, precum i furnizori de servicii informatice i comunicaii.

c) Entitile nfiineaz puncte de contact pentru colectarea sesizrilor i a informaiilor despre incidente de securitate att automatizat, ct i prin comunicare direct securizat, dup caz.

Ghid Indrumare Aplicare Norma 6-2015

Documents

Transcript of Ghid Indrumare Aplicare Norma 6-2015