Reg Si Proc Securitatea Sisteme Informatice
-
Upload
zaheer78607 -
Category
Documents
-
view
15 -
download
0
Transcript of Reg Si Proc Securitatea Sisteme Informatice
SSIF Fairwind Securities SA
21 Fabrica de Glucoza,
1th floor, 020331
Bucharest, Romania
Fiscal Identification Code: 11478052
Trade Registry Number: J40/1275/1999
BRD Bank, Groupe Soc.Gen., SMCC
RO72 BRDE 450S V429 8902 4500
Registry CNVM: JR01SSIF/400009
Autorisation CNVM : 2005/01.07.2003
tel: +40 (31) 860 18 00
fax.: +40 (31) 860 18 18
email: [email protected]
REGULI SI PROCEDURI PRIVIND SECURITATEA SI CONTROLUL
SISTEMELOR INFORMATICE, PENTRU ASIGURAREA
CONFIDENTIALITATII SI PASTRARII IN SIGURANTA A DATELOR SI
INFORMATIILOR STOCATE, INCLUSIV RECUPERAREA ACESTORA IN CAZ
DE DEZASTRU
1. DISPOZITII GENERALE
1.1 Prezentele reguli si proceduri sunt in conformitate cu Legea 297/2004, Regulamentul nr. 32/2006,
Legea 161/2003, Regulamentul nr. 5/2010, Regulamentele institutiilor pietei de capital (Bursei de Valori
Bucuresti, Depozitarul Central, Bursa Monetar-Financiara si de Marfuri Sibiu).
1.2 Termenii si expresiile utilizate in cadrul prezentelor proceduri au semnificatia prevazuta in Legile si
Regulamentele mai sus amintite.
1.3 Prezentele proceduri sunt documente interne ale S.S.I.F. FAIRWIND SECURITIES S.A.. Ele sunt
o completare a legilor si regulamentelor in vigoare emise de C.N.V.M. si institutiile mai sus amintite si se
subordoneaza acestora.
1.4. Prezentele Reguli si Proceduri vor fi abdatate in functie de modificarile impuse de Bursa de Valori
Bucuresti si Depozitarul Central.
2. DEFINITII SI SCOP
2.1. In prezenta procedura, termenii si expresiile de mai jos au urmatorul inteles:
a) prin sistem informatic se intelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate
in relatie functionala, dintre care unul sau mai multe asigura prelucrarea automata a datelor, cu ajutorul
unui program informatic;
b) prin prelucrare automata a datelor se intelege procesul prin care datele dintr-un sistem informatic sunt
prelucrate prin intermediul unui program informatic;
c) prin program informatic se intelege un ansamblu de instructiuni care pot fi executate de un sistem
informatic in vederea obtinerii unui rezultat determinat;
SSIF Fairwind Securities SA
21 Fabrica de Glucoza,
1th floor, 020331
Bucharest, Romania
Fiscal Identification Code: 11478052
Trade Registry Number: J40/1275/1999
BRD Bank, Groupe Soc.Gen., SMCC
RO72 BRDE 450S V429 8902 4500
Registry CNVM: JR01SSIF/400009
Autorisation CNVM : 2005/01.07.2003
tel: +40 (31) 860 18 00
fax.: +40 (31) 860 18 18
email: [email protected]
d) prin date informatice se intelege orice reprezentare a unor fapte, informatii sau concepte intr-o forma
care poate fi prelucrata printr-un sistem informatic. In aceasta categorie se include si orice program
informatic care poate determina realizarea unei functii de catre un sistem informatic;
e) prin furnizor de servicii se intelege:
1. orice persoana fizica sau juridica ce ofera utilizatorilor posibilitatea de a comunica prin
intermediul sistemelor informatice;
2. orice alta persoana fizica sau juridica ce prelucreaza sau stocheaza date informatice pentru
persoanele prevazute la pct. 1 si pentru utilizatorii serviciilor oferite de acestea;
f) prin date referitoare la traficul informational se intelege orice date informatice referitoare la o
comunicare realizata printr-un sistem informatic si produse de acesta, care reprezinta o parte din lantul de
comunicare, indicand originea, destinatia, ruta, ora, data, marimea, volumul si durata comunicarii, precum
si tipul serviciului utilizat pentru comunicare;
g) prin date referitoare la utilizatori se intelege orice informatie care poate conduce la identificarea unui
utilizator, incluzand tipul de comunicatie si serviciul folosit, adresa postala, adresa geografica, numere de
telefon sau alte numere de acces si modalitatea de plata a serviciului respectiv, precum si orice alte date
care pot conduce la identificarea utilizatorului;
h) prin masuri de securitate se intelege folosirea unor proceduri, dispozitive sau programe informatice
specializate cu ajutorul carora accesul la un sistem informatic este restrictionat sau interzis pentru anumite
categorii de utilizatori;
i) prin mijloace de comunicare la distanta se intelege orice mijloc care, fara a necesita prezenta fizica
simultana a ofertantului si a beneficiarului de servicii de investitii financiare, poate fi utilizat pentru
realizarea acordului de vointa intre parti si a obiectului contractului.
2.2. Scopul procedurii de fata este acela de a stabili procedeele de prevenire si combatere a
infractiunilor informatice, astfel incat sa fie respectata confidentialitatea datelor personale ale clientilor
S.S.I.F., integritatea acestor date atat in timpul derularii contractului de intermediere, cat si dupa incheierea
acestuia. Procedura are ca scop de asemei, protejarea cantitativa si calitativa a transferului de date si
informatii de la S.S.I.F. la client.
2.3. Datele si informatiile transferate de la S.S.I.F. la client se refera la:
a) informari referitoare la portofoliul clientului;
b) informari referitoare la confirmarea executarii ordinelor de tranzactionare;
c) informari referitoare la extrasele de cont;
d) informari referitoare la contractele de intermediere si anexele acestora (in cazul contractelor de
intermediere la distanta);
e) informari referitoare la situatia pietei, analize, recomandari etc.
SSIF Fairwind Securities SA
21 Fabrica de Glucoza,
1th floor, 020331
Bucharest, Romania
Fiscal Identification Code: 11478052
Trade Registry Number: J40/1275/1999
BRD Bank, Groupe Soc.Gen., SMCC
RO72 BRDE 450S V429 8902 4500
Registry CNVM: JR01SSIF/400009
Autorisation CNVM : 2005/01.07.2003
tel: +40 (31) 860 18 00
fax.: +40 (31) 860 18 18
email: [email protected]
3. CARACTERISTICI TEHNICE
3.1. Societatea a achizitionat de la o firma specializata o aplicatie de back-office care evidentieza zilnic
si arhiveza istoricul subconturilor individuale ale clientilor:
3.1.1. identitatea fiecarui client,
3.1.2. detinerile fiecarui client,
3.1.3. inregistrarea expresa a sarcinilor existente asupra valorilor mobiliare detinute de clienti,
3.1.4. inregistrareai operatiunilor de imprumut de valori mobiliare,
3.1.5. inregistrareai operatiunilor de constituire a garantiilor asociate imprumuturilor.
3.2. Societatea dispune de spatii dotate cu sisteme de alarma antiefractie si sisteme de alarma in caz de
incendiu. Societatea dispune de doua servere pe care sunt instalate sistemele de back-office; serverul back-
up al sistemului de back-office este transferat intro locatie diferita de cea in care se gaseste serverul
principal (Data Center Star Storage – centru autorizat in recuperarea informatiilor in caz de dezastru, centru
autorizat de date). Sistemul de back-office salveaza in timp real datele si informatiile. Sistemul de back-
office va fi auditat de un auditor IT certificate de Asociatia de Audit si Control al Sistemelor Informatice
3.3. In cazuri de urgent, cat si la sfarsitul fiecarei zile de tranzactionare, serverul back-up al sistemului
de back-office din Data Center Star Storage dispune automat conservarea a datelor informatice ori a datelor
referitoare la traficul informational asiguranduse astfel continuitatea activitatii si informarii corecte a
clientilor.
4. TIPURI DE INFRACTIUNI INFORMATICE SI OBLIGATIILE PROPRIETARILOR SI
ADMINISTRATORILOR DE SISTEME INFORMATICE
4.1. In sensul prezentei proceduri, actioneaza fara drept persoana care se afla in una dintre urmatoarele
situatii:
a) nu este autorizata, in temeiul legii sau al unui contract;
b) depaseste limitele autorizarii;
c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, sa o
acorde, de a folosi, administra sau controla un sistem informatic ori de a desfasura cercetari
stiintifice sau de a efectua orice alta operatiune intr-un sistem informatic.
4.2. Tipuri de infractiuni care pot aparea in acest domeniu:
SSIF Fairwind Securities SA
21 Fabrica de Glucoza,
1th floor, 020331
Bucharest, Romania
Fiscal Identification Code: 11478052
Trade Registry Number: J40/1275/1999
BRD Bank, Groupe Soc.Gen., SMCC
RO72 BRDE 450S V429 8902 4500
Registry CNVM: JR01SSIF/400009
Autorisation CNVM : 2005/01.07.2003
tel: +40 (31) 860 18 00
fax.: +40 (31) 860 18 18
email: [email protected]
1. Infractiuni contra confidentialitatii si integritatii datelor si sistemelor informatice = accesul, fara
drept, la un sistem informatic.
2. Infractiuni informatice = fapta de a introduce, modifica sau sterge, fara drept, date informatice ori
de a restrictiona, fara drept, accesul la aceste date, rezultand date necorespunzatoare adevarului, in
scopul de a fi utilizate in vederea producerii unei consecinte juridice, economice, etc.
4.3. S.S.I.F. in calitate de proprietar/utilizator, cat si administratorii cu care S.S.I.F. a incheiat contracte
in acest sens, de sisteme informatice, la care accesul este interzis sau restrictionat pentru anumite categorii
de utilizatori au obligatia de a avertiza utilizatorii si administratorii cu privire la conditiile legale de acces si
utilizare, precum si cu privire la consecintele juridice ale accesului fara drept la aceste sisteme informatice.
Avertizarea trebuie sa fie accesibila oricarui utilizator.
4.4. S.S.I.F. FAIRWIND SECURITIES S.A. are incheiate contracte privind sistemele informatice:
a) Comisia Nationala a Valorilor Mobiliare – privind comunicarea electronica a datelor;
b) Bursa de Valori Buicuresti – privind utilizarea platformei de tranzactionare;
c) Bursa Electronica Rasdaq - privind utilizarea platformei de tranzactionare;
d) Depozitarul central – emiterea extraselor de cont;
e) Idilis S.R.L. si RDS-RCS S.R.L. – privind furnizarea serviciilor de internet;
f) Capital Software S.R.L. – privind furnizarea programelor de Back – Office.
Privind hostingul viitoarei pagini de web si securitatea sistemelor informatice S.S.I.F. FAIRWIND
SECURITIES S.A. va avea in vedere la selectionarea viitorului furnizor, ca acesta sa ofere pentru protectia
datelor, sisteme similare cu cele folosite de societatile bancare in transferurile financiare.
4.6. Rferitor la modalitatea de stocare a datelor, S.S.I.F. FAIRWIND SECURITIES S.A. arhiveaza
datele electronice continand ordinele, tranzactiile, confirmarile ordinelor, portofoliile (contul de valori
mobiliare si contul de numerar) si datele de identificare a clientilor pe serverul de la sediul societatii.
Arhiva este salvata cu o periodicitate lunara pe suport informatic (CD).
4.7. Modalitatea de recuperare a datelor, in caz de dezastru, se face prin copierea arhivei informatice
(CD) in serverul societatii.
5. PROCEDURI DE PREVENIRE SI COMBATERE A INFRACTIUNILOR INFORMATICE
5.1. Proceduri si masurile de securitate si supreveghere aplicate sistemelor si echipamentelor
informatice al S.S.I.F. FAIRWIND SECURITIES S.A. sunt de patru tipuri:
a) Masuri restrictive - reduc probabilitatea unui atac deliberat.
SSIF Fairwind Securities SA
21 Fabrica de Glucoza,
1th floor, 020331
Bucharest, Romania
Fiscal Identification Code: 11478052
Trade Registry Number: J40/1275/1999
BRD Bank, Groupe Soc.Gen., SMCC
RO72 BRDE 450S V429 8902 4500
Registry CNVM: JR01SSIF/400009
Autorisation CNVM : 2005/01.07.2003
tel: +40 (31) 860 18 00
fax.: +40 (31) 860 18 18
email: [email protected]
Ca masuri restrictive conducerea S.S.I.F. FAIRWIND SECURITIES S.A. a dispus angajarea unor
persoane dedicate pe fiecare post si alocarea de coduri si parole pentru persoanele dedicate. Este
interzisa inlocuirea unei persoane, pe un anumit post, cu o alta persoana fara acordul expres al sefului
direct. Persoana care inlocuieste va avea cod si parola distincta de persoana inlocuita, astfel incat sa se
poata verifiva cine a facut o eventuala greseala.
b) Masuri preventive - protejeaza vulnerabilitatile cunoscute sau presupuse si reduc impactul unui atac
reusit.
Ca masuri preventive sunt utilizate schimbarile periodice ale parolelor, actualizarea periodica a
programelor antivirus; chei de verificare a soft-ului de back-office si crearea unui back-up pentru
bazale de date (responsabilitatea firmei furnizoare a programului de back-office – S.C. Capital
Software S.R.L).
c) Masuri detective - descopera atacuri initiate sau in desfasurare si alarmeaza sistemul corespunzator.
Principala masura detectiva abordata de S.S.I.F. FAIRWIND SECURITIES S.A. este aceea de a
verivica periodic si comparativ datele din baza de date back-office a societatii, cu datele furnizate de
pietele pe care tranzactionam (Bursa de Valori Bucuresti si Rasdaq) si cu informatiile stocate pe suport
material (dosarele clientilor, documente contabile, etc.).
d) Masuri corective - reduc efectul unui atac prin supravegherea corectitudinii si integritatii datelor.
Masurile corective constau in abdatarea, corectarea, verificarea bazelor de date cu informatiile din
programul back-up si cu informatiile stocate pe suport material.
5.2. In cazuri urgente si temeinic justificate, daca exista date sau indicii temeinice cu privire la
pregatirea sau savarsirea unei infractiuni prin intermediul sistemelor informatice, in scopul strangerii de
probe sau al identificarii faptuitorilor, se poate dispune conservarea imediata a datelor informatice ori a
datelor referitoare la traficul informational, fata de care exista pericolul distrugerii ori alterarii.
Dispunerea de conservare imediata a datelor informatice este data de firma care asigura mentenanta sau de
firma furnizoare a programului de back-office si aprobata si contrasemnata de unul din conducatorii
societatii.