169 views
|
Actul publicat în Monitorul Oficial |
Sumar |
| Norma Autorității de Supraveghere Financiară (ASF) nr. 25/2021 privind guvernanţa şi securitatea sistemelor de tehnologia informaţiilor şi a comunicaţiilor utilizate de către societăţile de asigurare şi de reasigurare
(M. Of. nr. 877 din 13 septembrie 2021)
|
Se emite norma privind guvernanţa şi securitatea sistemelor de tehnologia informaţiilor şi a comunicaţiilor utilizate de către societăţile de asigurare şi de reasigurare. |
În M. Of. nr. 877 din 13 septembrie 2021 s-a publicat Norma Autorității de Supraveghere Financiară (ASF) nr. 25/2021 privind guvernanţa şi securitatea sistemelor de tehnologia informaţiilor şi a comunicaţiilor utilizate de către societăţile de asigurare şi de reasigurare.
Vă prezentăm, în continuare, cele mai importante dispoziții din respectiva normă.
Art. 2: Responsabilitatea conducerii
„(1) Conducerea stabileşte şi aprobă, în cadrul strategiei generale de afaceri, strategia TIC şi în cadrul politicii generale privind continuitatea activităţii, politica privind continuitatea activităţii TIC; de asemenea, conducerea aprobă politica privind securitatea cibernetică şi raportul de management al riscului TIC.
(2) Conducerea este responsabilă pentru:
a) asigurarea comunicării în timp util către personalul relevant şi furnizorii de servicii TIC a strategiei TIC şi a politicii privind continuitatea activităţii TIC;
b) asigurarea supervizării aplicării în practică a strategiei TIC şi a politicii privind continuitatea activităţii TIC;
c) managementul efectiv şi adecvat al riscului TIC în cadrul sistemului de guvernanţă;
d) alocarea de resurse suficiente şi adecvate pentru asigurarea guvernanţei şi securităţii sistemelor TIC.
(3) Conducerea asigură aplicarea unor programe de instruire periodică cu scopul ca personalul să deţină în permanenţă pregătirea necesară pentru aplicarea strategiei TIC şi pentru desfăşurarea eficientă a operaţiunilor TIC şi a proceselor de management al riscului TIC”.
Art. 4: Procesul de management al riscului TIC
„(1) În cadrul procesului de management al riscului TIC, societăţile determină nivelul toleranţei la risc, în concordanţă cu strategia generală de risc adoptată.
(2) Procesul de management al riscului TIC derulat de societăţi are în vedere cel puţin următoarele:
a) cartarea periodică a elementelor TIC pentru a stabili interdependenţa dintre acestea şi riscurile TIC;
b) identificarea şi evaluarea riscurilor TIC pe baza unor criterii stabilite în funcţie de nivelul de semnificaţie al elementelor TIC, vulnerabilităţile cunoscute şi incidentele anterioare;
c) clasificarea elementelor TIC expuse la riscurile TIC în funcţie de pragul de semnificaţie stabilit şi de nivelul de protecţie a acestora din punctul de vedere al confidenţialităţii, integrităţii şi disponibilităţii;
d) identificarea proprietarilor de active TIC pentru a se realiza clasificarea prevăzută la lit. c);
e) metodele utilizate pentru determinarea pragului de semnificaţie şi a nivelului de protecţie prevăzute la lit. c) pentru a se asigura o abordare unitară şi consecventă;
f) evaluarea şi documentarea periodic a riscurilor TIC;
g) evaluarea şi documentarea riscurilor TIC înainte de realizarea unor modificări semnificative ale infrastructurii şi ale procedurilor care au impact asupra elementelor TIC;
h) stabilirea metodelor şi a măsurilor pentru gestionarea, monitorizarea şi raportarea riscurilor identificate;
i) stabilirea metodelor şi a măsurilor pentru protejarea activelor TIC în funcţie de clasificarea acestora;
j) stabilirea metodelor şi a măsurilor pentru gestionarea, monitorizarea şi raportarea riscurilor reziduale.
(3) Raportul periodic de management al riscului prezentat conducerii include şi rezultatele procesului de management al riscului TIC”.
Art. 6: Prevederi generale referitoare la securitatea cibernetică
„(1) În vederea implementării strategiei TIC stabilite şi aprobate de conducere conform art. 2 alin. (1), societăţile instituie politici privind securitatea cibernetică în care stabilesc principii şi reguli pentru a se asigura respectarea confidenţialităţii, integrităţii şi disponibilităţii activelor TIC.
(2) În politicile prevăzute la alin. (1), societăţile au în vedere cel puţin:
a) alocarea clară a atribuţiilor şi răspunderii pentru managementul securităţii cibernetice;
b) criteriile avute în vedere la derularea proceselor şi achiziţionarea echipamentelor tehnologice;
c) cerinţele specifice pentru tot personalul în funcţie de nivelul ierarhic.
(3) Societăţile elaborează proceduri în vederea punerii în practică a politicilor prevăzute la alin. (1) având drept scop dezvoltarea de procese prin care să minimizeze riscurile TIC.
(4) Societăţile desemnează persoanele cărora le alocă atribuţiile funcţiei de securitate cibernetică care este independentă de funcţiile operaţionale şi de cele de dezvoltare a sistemelor TIC, pentru a putea asigura în mod obiectiv securitatea cibernetică.
(5) Prin excepţie de la prevederile alin. (4), societăţile pot aloca atribuţiile funcţiei de securitate cibernetică unor persoane care deţin funcţii operaţionale, cu respectarea principiului documentării, numai dacă sunt îndeplinite cumulativ următoarele condiţii:
a) cumularea funcţiilor este necesară date fiind natura, amploarea şi complexitatea riscurilor inerente activităţii;
b) nu apar conflicte de interese pentru persoanele care exercită funcţia de securitate cibernetică;
c) costurile pentru menţinerea în funcţia de securitate cibernetică a unor persoane care nu exercită alte funcţii ar genera pentru societăţi costuri disproporţionate în raport cu totalul cheltuielilor administrative.
(6) Funcţia instituită conform alin. (4) are cel puţin următoarele atribuţii:
a) consiliază conducerea în vederea stabilirii politicii privind securitatea cibernetică;
b) asigură cunoaşterea de către toţi furnizorii de servicii TIC şi de către toţi angajaţii care au acces la date şi la sistemele TIC a politicii privind securitatea cibernetică prin organizarea unor sesiuni de informare şi de instruire;
c) supervizează aplicarea şi respectarea procedurilor prevăzute la alin. (3) de către furnizorii de servicii TIC şi de către toţi angajaţii care au acces la date şi la sistemele TIC;
d) coordonează procesul de verificare a producerii incidentelor de securitate;
e) transmite un raport către conducere, periodic sau ad-hoc, referitor la stadiul elementelor menţionate la lit. a) – d)”.
Art. 8: Planurile pentru asigurarea continuităţii activităţii
„(1) Societăţile instituie planuri pentru asigurarea continuităţii activităţii în care prevăd cel puţin:
a) obligaţia de identificare a riscurilor care pot afecta sistemele TIC şi serviciile TIC;
b) măsuri pentru a proteja sau a restabili confidenţialitatea, integritatea şi disponibilitatea elementelor TIC;
c) perioadele maxime de restabilire a funcţionalităţii sistemelor TIC în situaţiile în care se înregistrează incidente;
d) perioadele maxime în care datele pot fi pierdute în cazul în care se produc incidente la anumite niveluri ale serviciilor TIC;
e) realizarea unui număr suficient de teste şi de scenarii de disfuncţionalitate a sistemelor TIC;
f) realizarea de scenarii de atac cibernetic controlat asupra sistemelor TIC pentru verificarea rezilienţei cibernetice a acestora, prin tehnici, tactici şi proceduri cunoscute de efectuare a unui atac cibernetic, care are în vedere zone de date, procese, tehnologii şi angajaţi care nu sunt avertizaţi şi fără ca simularea respectivă să aibă efecte negative asupra operaţiunilor în desfăşurare;
g) realizarea de analize în urma testelor şi scenariilor pentru determinarea nivelului de asigurare a securităţii cibernetice;
h) măsurile pentru comunicarea eficientă şi în timp util atât intern, cât şi cu factori externi în caz de urgenţă sau de funcţionare defectuoasă a sistemelor TIC;
i) actualizarea periodică a planurilor în funcţie de rezultatele testelor efectuate, de evenimentele înregistrate şi de modificarea obiectivelor şi a activităţii.
(2) În vederea elaborării planurilor pentru asigurarea continuităţii activităţii, societăţile colaborează cu toţi factorii externi şi interni adecvaţi.
(3) În cadrul planurilor pentru asigurarea continuităţii activităţii, societăţile prevăd realizarea unor analize de impact pe bază de scenarii pentru a evalua efectele cantitative şi calitative ale unor disfuncţionalităţi severe, având în vedere cel puţin:
a) datele interne şi externe;
b) clasificarea elementelor TIC în funcţie de nivelul de semnificaţie;
c) interdependenţele dintre elementele TIC.
(4) În funcţie de analizele de impact realizate conform alin. (3), societăţile configurează sistemele şi serviciile TIC astfel încât să prevină disfuncţionalităţile cauzate de evenimentele care afectează componentele-cheie.
(5) Pe baza analizelor de impact realizate conform alin. (3), societăţile elaborează planuri privind modalitatea de reacţie şi de recuperare a sistemelor TIC şi serviciilor TIC astfel încât să se minimizeze efectele negative asupra activităţii, în care prevăd cel puţin:
a) obiectivele procesului de recuperare;
b) situaţiile care determină activarea planurilor respective;
c) alocarea în mod clar a responsabilităţilor şi atribuţiilor;
d) măsurile pentru asigurarea integrităţii, disponibilităţii şi recuperării în principal a celor mai importante active TIC, activităţi şi servicii TIC;
e) măsurile pentru situaţiile în care recuperarea nu este posibilă într-un termen scurt şi factorii care pot afecta recuperarea;
f) măsurile pentru asigurarea continuităţii în cazul în care furnizorii de servicii TIC înregistrează disfuncţionalităţi, având în vedere politica privind sistemul de guvernanţă şi, în special, politica privind externalizarea;
g) măsuri pentru situaţiile în care sunt activate clauzele de reziliere a contractelor de externalizare;
h) condiţiile care necesită actualizarea planurilor respective.
(6) Societăţile actualizează planurile prevăzute la alin. (5) în funcţie de incidentele înregistrate anterior, de rezultatele testelor efectuate, de noile riscuri identificate, de modificarea obiectivelor privind procesul de recuperare, de modificarea priorităţilor şi de alte elemente pe care le consideră necesare.
(7) Planurile prevăzute la alin. (5) sunt documentate, sunt accesibile personalului adecvat şi departamentelor-suport în caz de urgenţă şi au în vedere măsuri pe termen scurt şi pe termen lung”.
Art. 10: Dezvoltarea internă a sistemelor TIC sau achiziţionarea acestora
„(1) Societăţile instituie politici bazate pe risc referitoare la dezvoltarea internă a sistemelor TIC sau la achiziţionarea acestora, care au drept scop menţinerea sistemelor respective astfel încât să se respecte cerinţele de securitate cibernetică privind confidenţialitatea, integritatea şi disponibilitatea datelor.
(2) Societăţile stabilesc în mod clar obiectivele tehnice, cerinţele operaţionale şi neoperaţionale, regulile de securitate cibernetică înainte de achiziţionarea sau dezvoltarea internă a sistemelor TIC.
(3) Societăţile stabilesc proceduri pentru prevenirea unor modificări neintenţionate sau intenţionate ale sistemelor TIC în timpul dezvoltării interne a acestora şi se asigură că furnizorii de servicii TIC au instituite proceduri similare.
(4) Societăţile stabilesc proceduri pentru asigurarea integrităţii codurilor-sursă ale sistemelor TIC şi pentru documentarea întregului proces de dezvoltare a sistemelor TIC astfel încât să reducă dependenţa de experţi.
(5) Societăţile includ în procedurile referitoare la achiziţionarea sau dezvoltarea internă a sistemelor TIC măsuri pentru utilizatorii finali ai aplicaţiilor; de asemenea, menţin un registru al aplicaţiilor critice pentru activitate”.
Art. 11: Prevederi finale şi intrarea în vigoare
„(1) În cadrul sistemului de guvernanţă, societăţile pun în aplicare toate procedurile şi politicile elaborate conform prevederilor prezentei norme, în vederea asigurării guvernanţei şi securităţii sistemelor TIC.
(2) Nerespectarea prevederilor prezentei norme se sancţionează de către Autoritatea de Supraveghere Financiară conform prevederilor art. 163 din Legea nr. 237/2015, cu modificările şi completările ulterioare.
(3) Prezenta normă se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare la data publicării acesteia.
(4) Pentru a efectua modificările necesare în vederea conformării cu prevederile prezentei norme, societăţile revizuiesc sistemul de guvernanţă instituit, politicile şi procedurile până la data de 30 iunie 2022 şi revizuiesc contractele de externalizare până la data de 31 decembrie 2022”.
